Thống kê 24 giờ sau khi cài đặt honeypot trên nút Digital Ocean ở Singapore
Ối ôi! Hãy bắt đầu ngay với sơ đồ tấn công
Bản đồ cực thú vị của chúng tôi hiển thị các ASN duy nhất được kết nối với honeypot Cowrie của chúng tôi trong vòng 24 giờ. Màu vàng tương ứng với kết nối SSH và màu đỏ tương ứng với Telnet. Những hình ảnh động như vậy thường gây ấn tượng với ban giám đốc công ty, điều này có thể giúp đảm bảo có thêm kinh phí cho an ninh và nguồn lực. Tuy nhiên, bản đồ có một số giá trị, hiển thị rõ ràng sự lan rộng về mặt địa lý và tổ chức của các nguồn tấn công trên máy chủ của chúng tôi chỉ trong 24 giờ. Hoạt ảnh không phản ánh lượng lưu lượng truy cập từ mỗi nguồn.
Bản đồ Pew Pew là gì?
Bản đồ Pew Pew - , thường hoạt hình và rất đẹp. Đó là một cách thú vị để bán sản phẩm của bạn, được Norse Corp. sử dụng một cách khét tiếng. Công ty đã kết thúc một cách tồi tệ: hóa ra hình ảnh động đẹp mắt là lợi thế duy nhất của họ và họ sử dụng dữ liệu rời rạc để phân tích.
Được làm bằng Leafletjs
Đối với những người muốn thiết kế bản đồ tấn công cho màn hình lớn trong trung tâm điều hành (sếp của bạn sẽ thích nó), có thư viện . Chúng tôi kết hợp nó với plugin , Dịch vụ Maxmind GeoIP - .
WTF: hũ mật ong Cowrie này là gì vậy?
Honeypot là một hệ thống được đặt trên mạng đặc biệt để thu hút những kẻ tấn công. Các kết nối với hệ thống thường là bất hợp pháp và cho phép bạn phát hiện kẻ tấn công bằng cách sử dụng nhật ký chi tiết. Nhật ký không chỉ lưu trữ thông tin kết nối thông thường mà còn cả thông tin phiên tiết lộ kỹ thuật, chiến thuật và thủ tục (TTP) kẻ xâm nhập.
Tạo cho Bản ghi kết nối SSH và Telnet. Những honeypot như vậy thường được đưa lên Internet để theo dõi các công cụ, tập lệnh và máy chủ của những kẻ tấn công.
Thông điệp của tôi gửi tới những công ty nghĩ rằng họ sẽ không bị tấn công: "Các bạn đang tìm kiếm kỹ càng."
— James Snook
Có gì trong nhật ký?
Tổng số kết nối
Đã có nhiều lần thử kết nối từ nhiều máy chủ. Điều này là bình thường vì các tập lệnh tấn công có danh sách đầy đủ thông tin xác thực và thử một số kết hợp. Cowrie Honeypot được cấu hình để chấp nhận một số kết hợp tên người dùng và mật khẩu nhất định. Điều này được cấu hình trong tập tin user.db.
Địa lý của các cuộc tấn công
Sử dụng dữ liệu định vị địa lý của Maxmind, tôi đếm số lượng kết nối từ mỗi quốc gia. Brazil và Trung Quốc dẫn đầu với khoảng cách lớn và thường có rất nhiều tiếng ồn từ máy quét đến từ các quốc gia này.
Chủ sở hữu khối mạng
Nghiên cứu chủ sở hữu các khối mạng (ASN) có thể xác định được các tổ chức có số lượng lớn máy chủ tấn công. Tất nhiên, trong những trường hợp như vậy bạn phải luôn nhớ rằng nhiều cuộc tấn công đến từ các máy chủ bị nhiễm virus. Thật hợp lý khi cho rằng hầu hết những kẻ tấn công không đủ ngu ngốc để quét Mạng từ máy tính ở nhà.
Mở cổng trên hệ thống tấn công (dữ liệu từ Shodan.io)
Chạy danh sách IP thông qua xuất sắc nhanh chóng xác định hệ thống có cổng mở và đây là những loại cổng nào. Hình dưới đây cho thấy mức độ tập trung của các cảng mở theo quốc gia và tổ chức. Có thể xác định được các khối của hệ thống bị xâm nhập, nhưng trong phạm vi mẫu nhỏ không có gì nổi bật được nhìn thấy, ngoại trừ một số lượng lớn 500 cảng mở ở Trung Quốc.
Một phát hiện thú vị là số lượng lớn các hệ thống ở Brazil có không mở 22, 23 hoặc các cổng khác, theo Censys và Shodan. Rõ ràng đây là những kết nối từ máy tính của người dùng cuối.
Bot? Không cần thiết
Dữ liệu đối với cổng 22 và 23 ngày hôm đó họ cho thấy điều gì đó kỳ lạ. Tôi cho rằng hầu hết các lần quét và tấn công mật khẩu đều đến từ bot. Tập lệnh lây lan trên các cổng đang mở, đoán mật khẩu và tự sao chép từ hệ thống mới và tiếp tục lây lan bằng phương pháp tương tự.
Nhưng ở đây bạn có thể thấy rằng chỉ một số lượng nhỏ máy quét telnet có cổng 23 mở ra bên ngoài. Điều này có nghĩa là hệ thống đã bị xâm phạm theo cách nào đó hoặc kẻ tấn công đang chạy các tập lệnh theo cách thủ công.
Kết nối gia đình
Một phát hiện thú vị khác là số lượng lớn người dùng gia đình trong mẫu. Bằng cách sử dụng tra cứu ngược Tôi đã xác định được 105 kết nối từ các máy tính ở nhà cụ thể. Đối với nhiều kết nối gia đình, tra cứu DNS ngược sẽ hiển thị tên máy chủ với các từ dsl, home, cable, Fiber, v.v.
Tìm hiểu và khám phá: Nâng cao Honeypot của riêng bạn
Gần đây tôi đã viết một hướng dẫn ngắn về cách . Như đã đề cập, trong trường hợp của chúng tôi, chúng tôi đã sử dụng Digital Ocean VPS ở Singapore. Trong 24 giờ phân tích, chi phí thực sự chỉ là vài xu và thời gian lắp ráp hệ thống là 30 phút.
Thay vì chạy Cowrie trên internet và thu thập mọi tiếng ồn, bạn có thể hưởng lợi từ honeypot trên mạng cục bộ của mình. Liên tục đặt thông báo nếu yêu cầu được gửi đến một số cổng nhất định. Đây có thể là kẻ tấn công bên trong mạng hoặc nhân viên tò mò hoặc quét lỗ hổng.
Những phát hiện
Sau khi xem hành động của những kẻ tấn công trong khoảng thời gian 24 giờ, có thể thấy rõ rằng không thể xác định được nguồn tấn công rõ ràng ở bất kỳ tổ chức, quốc gia hoặc thậm chí hệ điều hành nào.
Sự phân bố rộng rãi của các nguồn cho thấy tiếng ồn quét là không đổi và không liên quan đến một nguồn cụ thể. Bất kỳ ai làm việc trên Internet đều phải đảm bảo rằng hệ thống của họ một số cấp độ bảo mật. Giải pháp chung và hiệu quả cho SSH dịch vụ sẽ chuyển đến một cổng cao ngẫu nhiên. Điều này không loại bỏ nhu cầu bảo vệ và giám sát mật khẩu nghiêm ngặt, nhưng ít nhất đảm bảo rằng nhật ký không bị tắc do quét liên tục. Các kết nối cổng cao có nhiều khả năng trở thành mục tiêu tấn công hơn, điều này có thể khiến bạn quan tâm.
Thông thường các cổng telnet mở nằm trên bộ định tuyến hoặc các thiết bị khác nên không thể dễ dàng di chuyển chúng lên cổng cao. и là cách duy nhất để đảm bảo rằng các dịch vụ này được tường lửa hoặc vô hiệu hóa. Nếu có thể, bạn hoàn toàn không nên sử dụng Telnet, giao thức này không được mã hóa. Nếu bạn cần và không thể thiếu nó, hãy theo dõi cẩn thận và sử dụng mật khẩu mạnh.
Nguồn: www.habr.com