Статистика за 24 години після встановлення ханіпоту на вузлі Digital Ocean у Сінгапурі
Піу піу! Почнемо відразу з карти атак
Наша суперкласна карта показує унікальні ASN, які підключалися до нашого ханіпота Cowrie за 24 години. Жовтий відповідає SSH-з'єднанням, а червоний Telnet. Такі анімації часто вражають рада директорів компанії, що дозволяє вибити більше фінансування на безпеку та ресурси. Тим не менш, карта має деяку цінність, чітко демонструючи географічне та організаційне поширення джерел атаки на наш хост лише за 24 години. В анімації не відображається обсяг трафіку кожного джерела.
Що таке картка Pew Pew?
Карта Pew Pew - це
Зроблено за допомогою Leafletjs
Для тих, хто хоче розробити карту атак для великого екрану в операційному центрі (вашему босові сподобається), є бібліотека
WTF: що ще за ханіпіт Cowrie?
Ханіпіт - це система, яка розміщується в мережі спеціально для приманювання зловмисників. Підключення до системи, як правило, незаконне і дозволяє виявити зловмисника за допомогою докладних логів. Логи зберігають як звичайну інформацію про з'єднанні, а й інформацію про сеансі, що розкриває техніку, тактику та процедури (TTP) зловмисник.
Моє послання для компаній, які думають, що їх не атакують: Ви погано шукаєте.
- Джеймс Снук
Що у логах?
Загальна кількість з'єднань
З багатьох хостів чинили неодноразові спроби підключення. Це нормально, оскільки в атакуючих скриптах забито список облікових даних, і вони пробують кілька комбінацій. Ханіпіт Cowrie налаштований на прийом певних комбінацій імені користувача та пароля. Це налаштовується у файлі user.db.
Географія атак
За даними геолокації Maxmind я підрахував кількість з'єднань із кожної країни. Бразилія та Китай лідирують з великим відривом, із цих країн часто йде великий шум від сканерів.
Власник мережного блоку
Вивчення власників мережевих блоків (ASN) може виявити організації з великою кількістю атакуючих хостів. Звичайно, а в таких випадках завжди слід пам'ятати, що багато атак йдуть із заражених хостів. Розумно припустити, що більшість зловмисників не настільки безглузді, щоб сканувати мережу з домашнього комп'ютера.
Відкриті порти на атакуючих системах (дані Shodan.io)
Прогін списку IP через чудовий
Цікава знахідка – велика кількість систем у Бразилії, у яких не відкриті 22, 23 або інші порти, За даними Censys та Shodan. Зважаючи на все, це з'єднання з комп'ютерів кінцевих користувачів.
Боти? Не обов'язково
Дані
Але тут видно, що лише у невеликої кількості хостів, що сканують telnet, відкритий назовні порт 23. Це означає, що системи скомпрометовані іншим способом, або зловмисники запускають скрипти вручну.
Домашні підключення
Іншою цікавою знахідкою стала велика кількість домашніх користувачів у вибірці. За допомогою зворотного перегляду я визначив 105 з'єднань із конкретних домашніх комп'ютерів. Для багатьох домашніх з'єднань при перегляді DNS відображається ім'я хоста зі словами dsl, home, cable, fiber тощо.
Вчіться та досліджуйте: підніміть власний ханіпіт
Нещодавно я написав короткий мануал, як
Замість того, щоб запускати Cowrie в інтернеті та ловити весь шум, можна отримати користь від ханіпота в локальній мережі. Після того, як на певні порти пішли запити, поставте повідомлення. Це чи зловмисник усередині мережі, чи цікавий співробітник, чи сканування вразливостей.
Висновки
Після перегляду дій зловмисників за добу стає зрозумілим, що не можна виділити явне джерело атак в якійсь організації, країні чи навіть операційній системі.
Широке поширення джерел показує, що шум сканування постійний і асоціюється з конкретним джерелом. Будь-хто, хто працює в інтернеті, повинен переконатися, що у його системи кілька рівнів безпеки. Поширеним та ефективним рішенням для SSH буде переміщення сервісу на випадковий порт. Це не позбавляє необхідності суворого парольного захисту та моніторингу, але хоча б гарантує, що логи не забиваються постійним скануванням. Підключення до високого порту - це з більшою ймовірністю націлені атаки, які можуть вас зацікавити.
Часто відкриті порти telnet знаходяться на маршрутизаторах або інших пристроях, тому їх не можна легко перемістити на високий порт.
Джерело: habr.com