Singapurdagi Digital Ocean tuguniga asal potini o'rnatgandan keyin 24 soatlik statistika
Pew Pew! Darhol hujum xaritasidan boshlaylik
Bizning ajoyib xaritamiz 24 soat ichida Cowrie honeypotimizga ulangan noyob ASNlarni ko'rsatadi. Sariq rang SSH ulanishlariga, qizil rang esa Telnetga mos keladi. Bunday animatsiyalar ko'pincha kompaniya direktorlar kengashini hayratda qoldiradi, bu esa xavfsizlik va resurslar uchun ko'proq moliyalashtirishga yordam beradi. Biroq, xarita atigi 24 soat ichida bizning uy egasiga hujum manbalarining geografik va tashkiliy tarqalishini aniq ko'rsatuvchi ma'lum qiymatga ega. Animatsiya har bir manbadan kelgan trafik miqdorini aks ettirmaydi.
Pew Pew xaritasi nima?
Pew Pew xaritasi Ismi?
Leafletjs bilan yaratilgan
Operatsion markazida katta ekran uchun hujum xaritasini yaratmoqchi bo'lganlar uchun (sizning xo'jayiningizga yoqadi), kutubxona mavjud.
WTF: bu Cowrie honeypot nima?
Honeypot - bu tajovuzkorlarni jalb qilish uchun maxsus tarmoqqa joylashtirilgan tizim. Tizimga ulanishlar odatda noqonuniydir va batafsil jurnallar yordamida tajovuzkorni aniqlashga imkon beradi. Jurnallar nafaqat muntazam ulanish ma'lumotlarini, balki ochib beradigan sessiya ma'lumotlarini ham saqlaydi texnikalar, taktikalar va protseduralar (TTP) bosqinchi.
Hujumga duchor bo'lmaydi deb o'ylaydigan kompaniyalarga mening xabarim: "Siz qattiq qidiryapsiz."
- Jeyms Snook
Jurnallarda nima bor?
Ulanishlarning umumiy soni
Ko'p xostlar tomonidan qayta ulanishga urinishlar bo'ldi. Bu normal holat, chunki hujum skriptlarida hisobga olish ma'lumotlarining to'liq ro'yxati mavjud va bir nechta kombinatsiyalarni sinab ko'ring. Cowrie Honeypot ma'lum foydalanuvchi nomi va parol birikmalarini qabul qilish uchun tuzilgan. Bu sozlangan user.db fayli.
Hujumlar geografiyasi
Maxmind geolocation ma'lumotlaridan foydalanib, men har bir mamlakatdan ulanishlar sonini hisobladim. Braziliya va Xitoy katta farq bilan yetakchilik qilmoqda va ko'pincha bu mamlakatlardan kelayotgan skanerlardan juda ko'p shovqin bor.
Tarmoq blokining egasi
Tarmoq bloklari (ASN) egalarini o'rganish ko'p sonli hujum qiluvchi xostlarga ega bo'lgan tashkilotlarni aniqlashi mumkin. Albatta, bunday hollarda siz doimo ko'plab hujumlar yuqtirgan xostlardan kelib chiqishini yodda tutishingiz kerak. Ko'pchilik tajovuzkorlar tarmoqni uy kompyuteridan skanerlash uchun etarlicha ahmoq emas deb taxmin qilish oqilona.
Hujum qiluvchi tizimlarda portlarni oching (Shodan.io ma'lumotlari)
Ajoyib orqali IP ro'yxatini ishga tushirish
Qiziqarli topilma - Braziliyada mavjud bo'lgan ko'p sonli tizimlar ochilmaydi 22, 23 yoki boshqa portlar, Censys va Shodanga ko'ra. Ko'rinishidan, bu oxirgi foydalanuvchi kompyuterlarining ulanishlari.
Botlarmi? Shart emas
ma'lumotlar
Ammo bu yerda siz telnetni skanerlaydigan kam sonli xostlarda 23-port tashqariga ochiq ekanligini ko'rishingiz mumkin.Bu tizimlar boshqa yo'l bilan buzilgan yoki tajovuzkorlar skriptlarni qo'lda ishga tushirayotganini bildiradi.
Uy aloqalari
Yana bir qiziqarli topilma namunadagi uy foydalanuvchilarining ko'pligi edi. Yordamida teskari qidirish Muayyan uy kompyuterlaridan 105 ta ulanishni aniqladim. Ko'pgina uy ulanishlari uchun teskari DNS qidiruvi dsl, uy, kabel, tola va hokazo so'zlar bilan xost nomini ko'rsatadi.
O'rganing va o'rganing: o'zingizning asal potingizni ko'taring
Men yaqinda qanday qilish haqida qisqacha darslik yozdim
Internetda Cowrie-ni ishga tushirish va barcha shovqinlarni ushlash o'rniga, mahalliy tarmog'ingizdagi honeypotdan foyda olishingiz mumkin. Agar so'rovlar ma'lum portlarga yuborilsa, doimiy ravishda bildirishnoma o'rnating. Bu tarmoq ichidagi tajovuzkor yoki qiziquvchan xodim yoki zaiflikni tekshirish.
topilmalar
Hujumchilarning XNUMX soatlik harakatlarini ko'rib chiqqandan so'ng, biron bir tashkilot, mamlakat va hatto operatsion tizimda hujumlarning aniq manbasini aniqlashning iloji yo'qligi ayon bo'ladi.
Manbalarning keng tarqalishi shuni ko'rsatadiki, skanerlash shovqinlari doimiy va ma'lum bir manba bilan bog'liq emas. Internetda ishlaydigan har bir kishi o'z tizimiga ishonch hosil qilishi kerak bir nechta xavfsizlik darajalari. Umumiy va samarali yechim sSH xizmat tasodifiy yuqori portga o'tadi. Bu qattiq parolni himoya qilish va monitoring qilish zaruratini bartaraf etmaydi, lekin hech bo'lmaganda doimiy skanerlash orqali jurnallar tiqilib qolmasligini ta'minlaydi. Yuqori port ulanishlari sizni qiziqtirishi mumkin bo'lgan maqsadli hujumlar bo'lish ehtimoli ko'proq.
Ko'pincha ochiq telnet portlari marshrutizatorlarda yoki boshqa qurilmalarda bo'ladi, shuning uchun ularni yuqori portga osongina ko'chirish mumkin emas.
Manba: www.habr.com