Статистика за 24 години після встановлення ханіпоту на вузлі Digital Ocean у Сінгапурі

Піу піу! Почнемо відразу з карти атак

Наша суперкласна карта показує унікальні ASN, які підключалися до нашого ханіпота Cowrie за 24 години. Жовтий відповідає SSH-з'єднанням, а червоний Telnet. Такі анімації часто вражають рада директорів компанії, що дозволяє вибити більше фінансування на безпеку та ресурси. Тим не менш, карта має деяку цінність, чітко демонструючи географічне та організаційне поширення джерел атаки на наш хост лише за 24 години. В анімації не відображається обсяг трафіку кожного джерела.

Що таке картка Pew Pew?

Карта Pew Pew - це візуалізація кібератакзазвичай анімована і дуже красива. Це модний спосіб продати свій продукт, сумнозвісний тим, що його використовувала компанія Norse Corp. Компанія погано скінчила: виявилося, що гарні анімашки — їхня єдина гідність, а для аналізу вони використовували уривчасті дані.

Зроблено за допомогою Leafletjs

Для тих, хто хоче розробити карту атак для великого екрану в операційному центрі (вашему босові сподобається), є бібліотека leafletjs. Поєднуємо її з плагіном шару міграції leaflet, сервісом Maxmind GeoIP і зроблено.

WTF: що ще за ханіпіт Cowrie?

Ханіпіт - це система, яка розміщується в мережі спеціально для приманювання зловмисників. Підключення до системи, як правило, незаконне і дозволяє виявити зловмисника за допомогою докладних логів. Логи зберігають як звичайну інформацію про з'єднанні, а й інформацію про сеансі, що розкриває техніку, тактику та процедури (TTP) зловмисник.

Ханіпіт Cowrie призначений для записи з'єднань SSH та Telnet. Такі ханіпоти часто виводять в інтернет, щоб відстежувати інструменти, скрипти та хости зловмисників.

Моє послання для компаній, які думають, що їх не атакують: Ви погано шукаєте.
- Джеймс Снук

Що у логах?

Загальна кількість з'єднань

З багатьох хостів чинили неодноразові спроби підключення. Це нормально, оскільки в атакуючих скриптах забито список облікових даних, і вони пробують кілька комбінацій. Ханіпіт Cowrie налаштований на прийом певних комбінацій імені користувача та пароля. Це налаштовується у файлі user.db.

Географія атак

За даними геолокації Maxmind я підрахував кількість з'єднань із кожної країни. Бразилія та Китай лідирують з великим відривом, із цих країн часто йде великий шум від сканерів.

Власник мережного блоку

Вивчення власників мережевих блоків (ASN) може виявити організації з великою кількістю атакуючих хостів. Звичайно, а в таких випадках завжди слід пам'ятати, що багато атак йдуть із заражених хостів. Розумно припустити, що більшість зловмисників не настільки безглузді, щоб сканувати мережу з домашнього комп'ютера.

Відкриті порти на атакуючих системах (дані Shodan.io)

Прогін списку IP через чудовий Shodan API швидко визначає системи з відкритими портами і що то за порти. На малюнку нижче показано концентрацію відкритих портів країнами і організаціям. Можна було б виявити блоки скомпрометованих систем, але не більше маленької вибірки не видно нічого видатного, крім великої кількості відкритих портів 500 у Китаї.

Цікава знахідка – велика кількість систем у Бразилії, у яких не відкриті 22, 23 або інші порти, За даними Censys та Shodan. Зважаючи на все, це з'єднання з комп'ютерів кінцевих користувачів.

Боти? Не обов'язково

Дані Censys для портів 22 та 23 за той день показали дивне. Я припускав, що більшість сканів та парольних атак йде від ботів. Скрипт розповсюджується відкритими портами, підбираючи паролі, а з нової системи копіює себе і продовжує поширюватися тим же методом.

Але тут видно, що лише у невеликої кількості хостів, що сканують telnet, відкритий назовні порт 23. Це означає, що системи скомпрометовані іншим способом, або зловмисники запускають скрипти вручну.

Домашні підключення

Іншою цікавою знахідкою стала велика кількість домашніх користувачів у вибірці. За допомогою зворотного перегляду я визначив 105 з'єднань із конкретних домашніх комп'ютерів. Для багатьох домашніх з'єднань при перегляді DNS відображається ім'я хоста зі словами dsl, home, cable, fiber тощо.

Вчіться та досліджуйте: підніміть власний ханіпіт

Нещодавно я написав короткий мануал, як встановити на своїй системі ханіпіт Cowrie. Як уже згадувалося, у нашому випадку використовувався Digital Ocean VPS у Сінгапурі. За 24 години аналізу вартість склала буквально кілька центів, а час на збирання системи – 30 хвилин.

Замість того, щоб запускати Cowrie в інтернеті та ловити весь шум, можна отримати користь від ханіпота в локальній мережі. Після того, як на певні порти пішли запити, поставте повідомлення. Це чи зловмисник усередині мережі, чи цікавий співробітник, чи сканування вразливостей.

Висновки

Після перегляду дій зловмисників за добу стає зрозумілим, що не можна виділити явне джерело атак в якійсь організації, країні чи навіть операційній системі.

Широке поширення джерел показує, що шум сканування постійний і асоціюється з конкретним джерелом. Будь-хто, хто працює в інтернеті, повинен переконатися, що у його системи кілька рівнів безпеки. Поширеним та ефективним рішенням для SSH буде переміщення сервісу на випадковий порт. Це не позбавляє необхідності суворого парольного захисту та моніторингу, але хоча б гарантує, що логи не забиваються постійним скануванням. Підключення до високого порту - це з більшою ймовірністю націлені атаки, які можуть вас зацікавити.

Часто відкриті порти telnet знаходяться на маршрутизаторах або інших пристроях, тому їх не можна легко перемістити на високий порт. Інформація про всі відкриті порти и поверхні атаки — єдиний спосіб переконатися, що ці служби захищені файрволом чи вимкнено. По можливості взагалі не потрібно використовувати Telnet, цей протокол не шифрується. Якщо він потрібний і без цього ніяк, то уважно його контролюйте та використовуйте надійні паролі.

Джерело: habr.com