Singapurdagi Digital Ocean tuguniga asal potini o'rnatgandan keyin 24 soatlik statistika
Pew Pew! Darhol hujum xaritasidan boshlaylik
Bizning ajoyib xaritamiz 24 soat ichida Cowrie honeypotimizga ulangan noyob ASNlarni ko'rsatadi. Sariq rang SSH ulanishlariga, qizil rang esa Telnetga mos keladi. Bunday animatsiyalar ko'pincha kompaniya direktorlar kengashini hayratda qoldiradi, bu esa xavfsizlik va resurslar uchun ko'proq moliyalashtirishga yordam beradi. Biroq, xarita atigi 24 soat ichida bizning uy egasiga hujum manbalarining geografik va tashkiliy tarqalishini aniq ko'rsatuvchi ma'lum qiymatga ega. Animatsiya har bir manbadan kelgan trafik miqdorini aks ettirmaydi.
Pew Pew xaritasi nima?
Pew Pew xaritasi Ismi? , odatda jonlantirilgan va juda chiroyli. Bu Norse Corp tomonidan mashhur bo'lgan mahsulotingizni sotishning ajoyib usuli. Kompaniya yomon yakunlandi: ma'lum bo'lishicha, chiroyli animatsiyalar ularning yagona afzalligi edi va ular tahlil qilish uchun parcha-parcha ma'lumotlardan foydalanganlar.
Leafletjs bilan yaratilgan
Operatsion markazida katta ekran uchun hujum xaritasini yaratmoqchi bo'lganlar uchun (sizning xo'jayiningizga yoqadi), kutubxona mavjud. . Biz uni plagin bilan birlashtiramiz , Maxmind GeoIP xizmati - .
WTF: bu Cowrie honeypot nima?
Honeypot - bu tajovuzkorlarni jalb qilish uchun maxsus tarmoqqa joylashtirilgan tizim. Tizimga ulanishlar odatda noqonuniydir va batafsil jurnallar yordamida tajovuzkorni aniqlashga imkon beradi. Jurnallar nafaqat muntazam ulanish ma'lumotlarini, balki ochib beradigan sessiya ma'lumotlarini ham saqlaydi texnikalar, taktikalar va protseduralar (TTP) bosqinchi.
uchun yaratilgan SSH va Telnet ulanish yozuvlari. Bunday honeypotlar ko'pincha tajovuzkorlarning vositalarini, skriptlarini va xostlarini kuzatish uchun Internetga joylashtiriladi.
Hujumga duchor bo'lmaydi deb o'ylaydigan kompaniyalarga mening xabarim: "Siz qattiq qidiryapsiz."
- Jeyms Snook
Jurnallarda nima bor?
Ulanishlarning umumiy soni
Ko'p xostlar tomonidan qayta ulanishga urinishlar bo'ldi. Bu normal holat, chunki hujum skriptlarida hisobga olish ma'lumotlarining to'liq ro'yxati mavjud va bir nechta kombinatsiyalarni sinab ko'ring. Cowrie Honeypot ma'lum foydalanuvchi nomi va parol birikmalarini qabul qilish uchun tuzilgan. Bu sozlangan user.db fayli.
Hujumlar geografiyasi
Maxmind geolocation ma'lumotlaridan foydalanib, men har bir mamlakatdan ulanishlar sonini hisobladim. Braziliya va Xitoy katta farq bilan yetakchilik qilmoqda va ko'pincha bu mamlakatlardan kelayotgan skanerlardan juda ko'p shovqin bor.
Tarmoq blokining egasi
Tarmoq bloklari (ASN) egalarini o'rganish ko'p sonli hujum qiluvchi xostlarga ega bo'lgan tashkilotlarni aniqlashi mumkin. Albatta, bunday hollarda siz doimo ko'plab hujumlar yuqtirgan xostlardan kelib chiqishini yodda tutishingiz kerak. Ko'pchilik tajovuzkorlar tarmoqni uy kompyuteridan skanerlash uchun etarlicha ahmoq emas deb taxmin qilish oqilona.
Hujum qiluvchi tizimlarda portlarni oching (Shodan.io ma'lumotlari)
Ajoyib orqali IP ro'yxatini ishga tushirish tezda aniqlaydi ochiq portli tizimlar va bu portlar nima? Quyidagi rasmda mamlakatlar va tashkilotlar bo'yicha ochiq portlar kontsentratsiyasi ko'rsatilgan. Buzilgan tizimlarning bloklarini aniqlash mumkin edi, lekin ichida kichik namuna katta sondan tashqari hech qanday ajoyib narsa ko'rinmaydi Xitoyda 500 ta ochiq port.
Qiziqarli topilma - Braziliyada mavjud bo'lgan ko'p sonli tizimlar ochilmaydi 22, 23 yoki boshqa portlar, Censys va Shodanga ko'ra. Ko'rinishidan, bu oxirgi foydalanuvchi kompyuterlarining ulanishlari.
Botlarmi? Shart emas
ma'lumotlar portlar uchun 22 va 23 ular o'sha kuni g'alati narsa ko'rsatdi. Ko'p skanerlar va parol hujumlari botlardan keladi deb o'ylagandim. Skript ochiq portlar bo'ylab tarqaladi, parollarni taxmin qiladi va o'zini yangi tizimdan nusxalaydi va xuddi shu usul yordamida tarqalishda davom etadi.
Ammo bu yerda siz telnetni skanerlaydigan kam sonli xostlarda 23-port tashqariga ochiq ekanligini ko'rishingiz mumkin.Bu tizimlar boshqa yo'l bilan buzilgan yoki tajovuzkorlar skriptlarni qo'lda ishga tushirayotganini bildiradi.
Uy aloqalari
Yana bir qiziqarli topilma namunadagi uy foydalanuvchilarining ko'pligi edi. Yordamida teskari qidirish Muayyan uy kompyuterlaridan 105 ta ulanishni aniqladim. Ko'pgina uy ulanishlari uchun teskari DNS qidiruvi dsl, uy, kabel, tola va hokazo so'zlar bilan xost nomini ko'rsatadi.
O'rganing va o'rganing: o'zingizning asal potingizni ko'taring
Men yaqinda qanday qilish haqida qisqacha darslik yozdim . Yuqorida aytib o'tilganidek, bizning holatlarimizda biz Singapurda Digital Ocean VPS-dan foydalanganmiz. 24 soatlik tahlil uchun xarajat tom ma'noda bir necha sentni tashkil etdi va tizimni yig'ish vaqti 30 daqiqani tashkil etdi.
Internetda Cowrie-ni ishga tushirish va barcha shovqinlarni ushlash o'rniga, mahalliy tarmog'ingizdagi honeypotdan foyda olishingiz mumkin. Agar so'rovlar ma'lum portlarga yuborilsa, doimiy ravishda bildirishnoma o'rnating. Bu tarmoq ichidagi tajovuzkor yoki qiziquvchan xodim yoki zaiflikni tekshirish.
topilmalar
Hujumchilarning XNUMX soatlik harakatlarini ko'rib chiqqandan so'ng, biron bir tashkilot, mamlakat va hatto operatsion tizimda hujumlarning aniq manbasini aniqlashning iloji yo'qligi ayon bo'ladi.
Manbalarning keng tarqalishi shuni ko'rsatadiki, skanerlash shovqinlari doimiy va ma'lum bir manba bilan bog'liq emas. Internetda ishlaydigan har bir kishi o'z tizimiga ishonch hosil qilishi kerak bir nechta xavfsizlik darajalari. Umumiy va samarali yechim sSH xizmat tasodifiy yuqori portga o'tadi. Bu qattiq parolni himoya qilish va monitoring qilish zaruratini bartaraf etmaydi, lekin hech bo'lmaganda doimiy skanerlash orqali jurnallar tiqilib qolmasligini ta'minlaydi. Yuqori port ulanishlari sizni qiziqtirishi mumkin bo'lgan maqsadli hujumlar bo'lish ehtimoli ko'proq.
Ko'pincha ochiq telnet portlari marshrutizatorlarda yoki boshqa qurilmalarda bo'ladi, shuning uchun ularni yuqori portga osongina ko'chirish mumkin emas. и bu xizmatlar xavfsizlik devori yoki o'chirilganligini ta'minlashning yagona yo'li. Agar iloji bo'lsa, Telnet-dan umuman foydalanmaslik kerak, bu protokol shifrlanmagan. Agar sizga kerak bo'lsa va usiz qilolmasangiz, uni diqqat bilan kuzatib boring va kuchli parollardan foydalaning.
Manba: www.habr.com