Singapur'daki bir Dijital Okyanus düğümüne bal küpü kurulduktan sonraki 24 saatlik istatistikler
Pew Pew! Hemen saldırı haritasıyla başlayalım
Süper harika haritamız, Cowrie bal küpümüze 24 saat içinde bağlanan benzersiz ASN'leri gösterir. Sarı, SSH bağlantılarına, kırmızı ise Telnet'e karşılık gelir. Bu tür animasyonlar genellikle şirketin yönetim kurulunu etkiliyor ve bu da güvenlik ve kaynaklar için daha fazla finansman sağlanmasına yardımcı olabiliyor. Ancak haritanın, yalnızca 24 saat içinde sunucumuzdaki saldırı kaynaklarının coğrafi ve organizasyonel yayılımını açıkça göstermesi açısından bir değeri vardır. Animasyon, her kaynaktan gelen trafik miktarını yansıtmaz.
Pew Pew haritası nedir?
Pew Pew Haritası - Mı
Leafletjs ile yapıldı
Operasyon merkezinde büyük ekran için saldırı haritası tasarlamak isteyenler için (patronunuz buna bayılacak) bir kütüphane bulunmaktadır.
WTF: Bu Cowrie bal küpü nedir?
Honeypot, özellikle saldırganları cezbetmek için ağa yerleştirilen bir sistemdir. Sisteme yapılan bağlantılar genellikle yasa dışıdır ve ayrıntılı günlükler kullanarak saldırganı tespit etmenize olanak tanır. Günlükler yalnızca normal bağlantı bilgilerini değil aynı zamanda oturum bilgilerini de saklar. teknikler, taktikler ve prosedürler (TTP) Davetsiz misafir.
Saldırıya uğramayacağını düşünen şirketlere mesajım: "Çok dikkatli bakıyorsunuz."
—James Snook
Günlüklerde ne var?
Toplam bağlantı sayısı
Birçok ana bilgisayardan tekrar tekrar bağlantı denemeleri yapıldı. Saldırı komut dosyalarının tam bir kimlik bilgileri listesi olduğundan ve çeşitli kombinasyonları denediğinden bu normaldir. Cowrie Honeypot belirli kullanıcı adı ve şifre kombinasyonlarını kabul edecek şekilde yapılandırılmıştır. Bu, şurada yapılandırılmıştır: user.db dosyası.
Saldırıların coğrafyası
Maxmind coğrafi konum verilerini kullanarak her ülkeden bağlantı sayısını saydım. Brezilya ve Çin açık ara önde ve bu ülkelerden gelen tarayıcılardan genellikle çok fazla gürültü geliyor.
Ağ bloğu sahibi
Ağ bloklarının (ASN) sahiplerini araştırmak, çok sayıda saldıran ana bilgisayara sahip kuruluşları tespit edebilir. Elbette bu gibi durumlarda birçok saldırının virüslü ana bilgisayarlardan geldiğini her zaman hatırlamanız gerekir. Çoğu saldırganın Ağı ev bilgisayarından tarayacak kadar aptal olmadığını varsaymak mantıklıdır.
Saldıran sistemlerde açık bağlantı noktaları (Shodan.io'dan veriler)
IP listesini mükemmel bir şekilde çalıştırmak
İlginç bir bulgu, Brezilya'da bulunan çok sayıda sistemdir. açık değil 22, 23 veya diğer bağlantı noktalarıCensys ve Shodan'a göre. Görünüşe göre bunlar son kullanıcı bilgisayarlarından gelen bağlantılar.
Botlar mı? Gerekli değil
Veri
Ancak burada telnet'i tarayan çok az sayıda ana bilgisayarın 23 numaralı bağlantı noktasının dışarıya açık olduğunu görebilirsiniz.Bu, sistemlerin ya başka bir şekilde ele geçirildiği ya da saldırganların komut dosyalarını manuel olarak çalıştırdığı anlamına gelir.
Ev bağlantıları
Bir diğer ilginç bulgu ise örneklemde çok sayıda ev kullanıcısının bulunmasıydı. Kullanarak geriye doğru arama Belirli ev bilgisayarlarından 105 bağlantı belirledim. Birçok ev bağlantısı için, ters DNS araması, ana bilgisayar adını dsl, home, cable, fiber vb. sözcüklerle birlikte görüntüler.
Öğrenin ve Keşfedin: Kendi Balküpünüzü Artırın
Yakın zamanda nasıl yapılacağına dair kısa bir eğitim yazdım.
Cowrie'yi internette çalıştırıp tüm gürültüyü yakalamak yerine yerel ağınızdaki honeypot'tan faydalanabilirsiniz. Belirli bağlantı noktalarına istek gönderilirse sürekli olarak bir bildirim ayarlayın. Bu ya ağ içindeki bir saldırgandır, ya meraklı bir çalışandır, ya da bir zafiyet taramasıdır.
Bulgular
Saldırganların XNUMX saatlik bir süre içindeki eylemlerini inceledikten sonra, herhangi bir kuruluşta, ülkede ve hatta işletim sisteminde açık bir saldırı kaynağı belirlemenin imkansız olduğu ortaya çıkıyor.
Kaynakların geniş dağılımı, tarama gürültüsünün sabit olduğunu ve belirli bir kaynakla ilişkili olmadığını göstermektedir. İnternette çalışan herkes, sistemlerinin çeşitli güvenlik seviyeleri. için ortak ve etkili bir çözüm SSH hizmet rastgele bir yüksek bağlantı noktasına taşınacaktır. Bu, sıkı şifre koruması ve izleme ihtiyacını ortadan kaldırmaz ancak en azından günlüklerin sürekli tarama nedeniyle tıkanmamasını sağlar. Yüksek bağlantı noktası bağlantılarının hedefli saldırılar olma olasılığı daha yüksektir ve bu ilginizi çekebilir.
Genellikle açık telnet bağlantı noktaları yönlendiricilerde veya diğer cihazlarda bulunur, bu nedenle kolayca yüksek bir bağlantı noktasına taşınamazlar.
Kaynak: habr.com