Singapur'daki bir Dijital Okyanus düğümüne bal küpü kurulduktan sonraki 24 saatlik istatistikler
Pew Pew! Hemen saldırı haritasıyla başlayalım
Süper harika haritamız, Cowrie bal küpümüze 24 saat içinde bağlanan benzersiz ASN'leri gösterir. Sarı, SSH bağlantılarına, kırmızı ise Telnet'e karşılık gelir. Bu tür animasyonlar genellikle şirketin yönetim kurulunu etkiliyor ve bu da güvenlik ve kaynaklar için daha fazla finansman sağlanmasına yardımcı olabiliyor. Ancak haritanın, yalnızca 24 saat içinde sunucumuzdaki saldırı kaynaklarının coğrafi ve organizasyonel yayılımını açıkça göstermesi açısından bir değeri vardır. Animasyon, her kaynaktan gelen trafik miktarını yansıtmaz.
Pew Pew haritası nedir?
Pew Pew Haritası - Mı , genellikle animasyonlu ve çok güzel. Ürününüzü satmanın süslü bir yolu, Norse Corp. tarafından meşhur bir şekilde kullanılıyor. Şirketin sonu kötü oldu: tek avantajlarının güzel animasyonlar olduğu ortaya çıktı ve analiz için parçalı veriler kullandılar.
Leafletjs ile yapıldı
Operasyon merkezinde büyük ekran için saldırı haritası tasarlamak isteyenler için (patronunuz buna bayılacak) bir kütüphane bulunmaktadır. . Eklentiyle birleştiriyoruz , Maxmind GeoIP hizmeti - .
WTF: Bu Cowrie bal küpü nedir?
Honeypot, özellikle saldırganları cezbetmek için ağa yerleştirilen bir sistemdir. Sisteme yapılan bağlantılar genellikle yasa dışıdır ve ayrıntılı günlükler kullanarak saldırganı tespit etmenize olanak tanır. Günlükler yalnızca normal bağlantı bilgilerini değil aynı zamanda oturum bilgilerini de saklar. teknikler, taktikler ve prosedürler (TTP) Davetsiz misafir.
için yaratıldı SSH ve Telnet bağlantı kayıtları. Bu tür bal küpleri genellikle saldırganların araçlarını, komut dosyalarını ve ana bilgisayarlarını izlemek için İnternet'e yerleştirilir.
Saldırıya uğramayacağını düşünen şirketlere mesajım: "Çok dikkatli bakıyorsunuz."
—James Snook
Günlüklerde ne var?
Toplam bağlantı sayısı
Birçok ana bilgisayardan tekrar tekrar bağlantı denemeleri yapıldı. Saldırı komut dosyalarının tam bir kimlik bilgileri listesi olduğundan ve çeşitli kombinasyonları denediğinden bu normaldir. Cowrie Honeypot belirli kullanıcı adı ve şifre kombinasyonlarını kabul edecek şekilde yapılandırılmıştır. Bu, şurada yapılandırılmıştır: user.db dosyası.
Saldırıların coğrafyası
Maxmind coğrafi konum verilerini kullanarak her ülkeden bağlantı sayısını saydım. Brezilya ve Çin açık ara önde ve bu ülkelerden gelen tarayıcılardan genellikle çok fazla gürültü geliyor.
Ağ bloğu sahibi
Ağ bloklarının (ASN) sahiplerini araştırmak, çok sayıda saldıran ana bilgisayara sahip kuruluşları tespit edebilir. Elbette bu gibi durumlarda birçok saldırının virüslü ana bilgisayarlardan geldiğini her zaman hatırlamanız gerekir. Çoğu saldırganın Ağı ev bilgisayarından tarayacak kadar aptal olmadığını varsaymak mantıklıdır.
Saldıran sistemlerde açık bağlantı noktaları (Shodan.io'dan veriler)
IP listesini mükemmel bir şekilde çalıştırmak hızlı bir şekilde tanımlar açık portlu sistemler Peki bu portlar nelerdir? Aşağıdaki şekil ülke ve kuruluşa göre açık limanların yoğunluğunu göstermektedir. Güvenliği ihlal edilmiş sistem bloklarını tanımlamak mümkün olabilir, ancak küçük örnek çok sayıda dışında olağanüstü hiçbir şey görünmüyor Çin'de 500 açık liman.
İlginç bir bulgu, Brezilya'da bulunan çok sayıda sistemdir. açık değil 22, 23 veya diğer bağlantı noktalarıCensys ve Shodan'a göre. Görünüşe göre bunlar son kullanıcı bilgisayarlarından gelen bağlantılar.
Botlar mı? Gerekli değil
Veri 22 ve 23 numaralı bağlantı noktaları için o gün tuhaf bir şey gösterdiler. Taramaların ve şifre saldırılarının çoğunun botlardan geldiğini varsaydım. Betik açık portlar üzerinden yayılarak şifreleri tahmin ederek kendini yeni sistemden kopyalar ve aynı yöntemi kullanarak yayılmaya devam eder.
Ancak burada telnet'i tarayan çok az sayıda ana bilgisayarın 23 numaralı bağlantı noktasının dışarıya açık olduğunu görebilirsiniz.Bu, sistemlerin ya başka bir şekilde ele geçirildiği ya da saldırganların komut dosyalarını manuel olarak çalıştırdığı anlamına gelir.
Ev bağlantıları
Bir diğer ilginç bulgu ise örneklemde çok sayıda ev kullanıcısının bulunmasıydı. Kullanarak geriye doğru arama Belirli ev bilgisayarlarından 105 bağlantı belirledim. Birçok ev bağlantısı için, ters DNS araması, ana bilgisayar adını dsl, home, cable, fiber vb. sözcüklerle birlikte görüntüler.
Öğrenin ve Keşfedin: Kendi Balküpünüzü Artırın
Yakın zamanda nasıl yapılacağına dair kısa bir eğitim yazdım. . Daha önce de belirtildiği gibi, bizim durumumuzda Singapur'da Digital Ocean VPS kullandık. 24 saatlik analizin maliyeti kelimenin tam anlamıyla birkaç sentti ve sistemi monte etme süresi 30 dakikaydı.
Cowrie'yi internette çalıştırıp tüm gürültüyü yakalamak yerine yerel ağınızdaki honeypot'tan faydalanabilirsiniz. Belirli bağlantı noktalarına istek gönderilirse sürekli olarak bir bildirim ayarlayın. Bu ya ağ içindeki bir saldırgandır, ya meraklı bir çalışandır, ya da bir zafiyet taramasıdır.
Bulgular
Saldırganların XNUMX saatlik bir süre içindeki eylemlerini inceledikten sonra, herhangi bir kuruluşta, ülkede ve hatta işletim sisteminde açık bir saldırı kaynağı belirlemenin imkansız olduğu ortaya çıkıyor.
Kaynakların geniş dağılımı, tarama gürültüsünün sabit olduğunu ve belirli bir kaynakla ilişkili olmadığını göstermektedir. İnternette çalışan herkes, sistemlerinin çeşitli güvenlik seviyeleri. için ortak ve etkili bir çözüm SSH hizmet rastgele bir yüksek bağlantı noktasına taşınacaktır. Bu, sıkı şifre koruması ve izleme ihtiyacını ortadan kaldırmaz ancak en azından günlüklerin sürekli tarama nedeniyle tıkanmamasını sağlar. Yüksek bağlantı noktası bağlantılarının hedefli saldırılar olma olasılığı daha yüksektir ve bu ilginizi çekebilir.
Genellikle açık telnet bağlantı noktaları yönlendiricilerde veya diğer cihazlarda bulunur, bu nedenle kolayca yüksek bir bağlantı noktasına taşınamazlar. и bu hizmetlerin güvenlik duvarı ile korunduğundan veya devre dışı bırakıldığından emin olmanın tek yolu budur. Mümkünse Telnet'i hiç kullanmamalısınız, bu protokol şifrelenmez. İhtiyacınız varsa ve onsuz yapamıyorsanız, dikkatlice izleyin ve güçlü şifreler kullanın.
Kaynak: habr.com