Mga istatistika sa loob ng 24 na oras pagkatapos mag-install ng honeypot sa isang Digital Ocean node sa Singapore
Pew Pew! Magsimula tayo kaagad sa mapa ng pag-atake
Ipinapakita ng aming sobrang cool na mapa ang mga natatanging ASN na nakakonekta sa aming Cowrie honeypot sa loob ng 24 na oras. Ang dilaw ay tumutugma sa mga koneksyon sa SSH, at ang pula ay tumutugma sa Telnet. Ang ganitong mga animation ay madalas na humahanga sa board of directors ng kumpanya, na makakatulong sa pag-secure ng mas maraming pondo para sa seguridad at mga mapagkukunan. Gayunpaman, ang mapa ay may ilang halaga, na malinaw na nagpapakita ng heograpiko at organisasyonal na pagkalat ng mga mapagkukunan ng pag-atake sa aming host sa loob lamang ng 24 na oras. Hindi ipinapakita ng animation ang dami ng trapiko mula sa bawat pinagmulan.
Ano ang mapa ng Pew Pew?
Mapa ng Pew Pew - Ay , karaniwang animated at napakaganda. Isa itong magarbong paraan upang ibenta ang iyong produkto, na hindi kapani-paniwalang ginagamit ng Norse Corp. Ang kumpanya ay natapos na masama: ito ay naka-out na ang mga magagandang animation ay ang kanilang tanging kalamangan, at gumamit sila ng fragmentary data para sa pagsusuri.
Ginawa gamit ang Leafletjs
Para sa mga gustong magdisenyo ng attack map para sa malaking screen sa operations center (magugustuhan ito ng boss mo), mayroong library . Pinagsasama namin ito sa plugin , serbisyo ng Maxmind GeoIP - .
WTF: ano itong Cowrie honeypot?
Ang Honeypot ay isang sistema na inilalagay sa network na partikular para mang-akit ng mga umaatake. Ang mga koneksyon sa system ay karaniwang ilegal at nagbibigay-daan sa iyong makita ang umaatake gamit ang mga detalyadong log. Ang mga log ay nag-iimbak hindi lamang ng regular na impormasyon ng koneksyon, kundi pati na rin ang impormasyon ng session na nagpapakita mga diskarte, taktika at pamamaraan (TTP) nanghihimasok.
nilikha para sa Mga talaan ng koneksyon sa SSH at Telnet. Ang ganitong mga honeypot ay madalas na inilalagay sa Internet upang subaybayan ang mga tool, script at host ng mga umaatake.
Ang mensahe ko sa mga kumpanyang nag-iisip na hindi sila aatakehin: "Naghahanap ka nang husto."
β James Snook
Ano ang nasa logs?
Kabuuang bilang ng mga koneksyon
Mayroong paulit-ulit na mga pagtatangka sa koneksyon mula sa maraming mga host. Normal ito, dahil ang mga script ng pag-atake ay may buong listahan ng mga kredensyal at sumubok ng ilang kumbinasyon. Ang Cowrie Honeypot ay na-configure upang tanggapin ang ilang mga kumbinasyon ng username at password. Ito ay naka-configure sa user.db file.
Heograpiya ng mga pag-atake
Gamit ang Maxmind geolocation data, binilang ko ang bilang ng mga koneksyon mula sa bawat bansa. Ang Brazil at China ay nangunguna sa isang malawak na margin, at kadalasan ay maraming ingay mula sa mga scanner na nagmumula sa mga bansang ito.
May-ari ng network block
Ang pagsasaliksik sa mga may-ari ng network blocks (ASN) ay maaaring makilala ang mga organisasyong may malaking bilang ng mga umaatakeng host. Siyempre, sa ganitong mga kaso dapat mong laging tandaan na maraming mga pag-atake ay nagmumula sa mga nahawaang host. Makatuwirang ipagpalagay na ang karamihan sa mga umaatake ay hindi sapat na hangal upang i-scan ang Network mula sa isang computer sa bahay.
Buksan ang mga port sa mga umaatake na system (data mula sa Shodan.io)
Pagpapatakbo ng listahan ng IP sa pamamagitan ng mahusay mabilis na nakikilala mga sistema na may bukas na mga port at ano ang mga port na ito? Ipinapakita ng figure sa ibaba ang konsentrasyon ng mga bukas na daungan ayon sa bansa at organisasyon. Posibleng matukoy ang mga bloke ng mga nakompromisong sistema, ngunit sa loob maliit na sample walang nakikitang natitirang, maliban sa malaking bilang 500 bukas na port sa China.
Ang isang kawili-wiling paghahanap ay ang malaking bilang ng mga sistema sa Brazil na mayroon hindi bukas 22, 23 o iba pang mga port, ayon kay Censys at Shodan. Tila ang mga ito ay mga koneksyon mula sa mga end user computer.
Mga bot? Hindi kinakailangan
Data para sa port 22 at 23 nagpakita sila ng kakaiba sa araw na iyon. Ipinapalagay ko na ang karamihan sa mga pag-scan at pag-atake ng password ay nagmumula sa mga bot. Ang script ay kumakalat sa mga bukas na port, nanghuhula ng mga password, pagkatapos ay kinokopya ang sarili nito mula sa bagong system at patuloy na kumakalat gamit ang parehong paraan.
Ngunit dito makikita mo na maliit na bilang lamang ng mga host na nag-scan ng telnet ang may port 23 na bukas sa labas. Nangangahulugan ito na ang mga system ay maaaring nakompromiso sa ibang paraan, o ang mga umaatake ay nagpapatakbo ng mga script nang manu-mano.
Mga koneksyon sa bahay
Ang isa pang kawili-wiling paghahanap ay ang malaking bilang ng mga gumagamit ng bahay sa sample. Sa pamamagitan ng paggamit baligtarin ang paghahanap Natukoy ko ang 105 na koneksyon mula sa mga partikular na computer sa bahay. Para sa maraming koneksyon sa bahay, ipinapakita ng reverse DNS lookup ang hostname na may mga salitang dsl, home, cable, fiber, at iba pa.
Matuto at Mag-explore: Itaas ang Iyong Sariling Honeypot
Kamakailan ay nagsulat ako ng isang maikling tutorial kung paano . Tulad ng nabanggit na, sa aming kaso ginamit namin ang Digital Ocean VPS sa Singapore. Para sa 24 na oras ng pagsusuri, ang gastos ay literal na ilang sentimo, at ang oras upang tipunin ang system ay 30 minuto.
Sa halip na patakbuhin ang Cowrie sa internet at mahuli ang lahat ng ingay, maaari kang makinabang mula sa honeypot sa iyong lokal na network. Patuloy na magtakda ng isang abiso kung ang mga kahilingan ay ipinadala sa ilang mga port. Isa itong attacker sa loob ng network, o isang curious na empleyado, o isang vulnerability scan.
Natuklasan
Matapos tingnan ang mga aksyon ng mga umaatake sa loob ng XNUMX na oras, nagiging malinaw na imposibleng matukoy ang isang malinaw na pinagmulan ng mga pag-atake sa anumang organisasyon, bansa, o kahit na operating system.
Ang malawak na pamamahagi ng mga mapagkukunan ay nagpapakita na ang ingay ng pag-scan ay pare-pareho at hindi nauugnay sa isang partikular na pinagmulan. Ang sinumang nagtatrabaho sa Internet ay dapat tiyakin na ang kanilang sistema ilang antas ng seguridad. Isang karaniwan at epektibong solusyon para sa SSH lilipat ang serbisyo sa isang random na mataas na port. Hindi nito inaalis ang pangangailangan para sa mahigpit na proteksyon ng password at pagsubaybay, ngunit hindi bababa sa tinitiyak na ang mga log ay hindi barado sa pamamagitan ng patuloy na pag-scan. Ang mga mataas na koneksyon sa port ay mas malamang na maging mga naka-target na pag-atake, na maaaring maging interesado sa iyo.
Kadalasan ang mga bukas na telnet port ay nasa mga router o iba pang device, kaya hindi sila madaling ilipat sa isang mataas na port. ΠΈ ay ang tanging paraan upang matiyak na ang mga serbisyong ito ay firewall o hindi pinagana. Kung maaari, hindi mo dapat gamitin ang Telnet; hindi naka-encrypt ang protocol na ito. Kung kailangan mo ito at hindi mo magagawa nang wala ito, pagkatapos ay maingat na subaybayan ito at gumamit ng malakas na mga password.
Pinagmulan: www.habr.com