新加坡Digital Ocean节点安装蜜罐后24小时统计
皮尤皮尤! 让我们立即从攻击图开始
我们超酷的地图显示了 24 小时内连接到我们的 Cowrie 蜜罐的独特 ASN。 黄色对应 SSH 连接,红色对应 Telnet。 此类动画通常会给公司董事会留下深刻的印象,这有助于他们获得更多的安全资金和资源。 不过,该地图确实有一定的价值,它清楚地显示了短短 24 小时内攻击源在我们主机上的地理和组织分布情况。 动画并不反映每个来源的流量。
什么是 Pew Pew 地图?
皮尤皮尤地图 -
用 Leafletjs 制作
对于那些想要为运营中心的大屏幕设计攻击地图的人(你的老板会喜欢它),有一个库
WTF:这个 Cowrie 蜜罐是什么?
蜜罐是专门放置在网络上用于引诱攻击者的系统。 与系统的连接通常是非法的,并且允许您使用详细的日志来检测攻击者。 日志不仅存储常规连接信息,还存储揭示的会话信息 技术、策略和程序(TTP) 入侵者。
我想向那些认为自己不会受到攻击的公司传达这样的信息:“你们正在努力寻找。”
— 詹姆斯·斯努克
日志里有什么?
连接总数
许多主机重复尝试连接。 这是正常的,因为攻击脚本具有完整的凭据列表并尝试多种组合。 Cowrie 蜜罐配置为接受某些用户名和密码组合。 这是配置在 用户.db 文件.
攻击的地理分布
使用 Maxmind 地理定位数据,我计算了来自每个国家/地区的连接数量。 巴西和中国遥遥领先,来自这些国家的扫描仪常常发出大量噪音。
网络区块拥有者
研究网络块 (ASN) 的所有者可以识别拥有大量攻击主机的组织。 当然,在这种情况下,您应该始终记住许多攻击来自受感染的主机。 可以合理地假设大多数攻击者不会愚蠢到从家用计算机扫描网络。
攻击系统上的开放端口(数据来自 Shodan.io)
通过出色的运行 IP 列表
一个有趣的发现是巴西有大量系统 22、23 不开放 или 其他港口据 Censys 和 Shodan 称。 显然这些是来自最终用户计算机的连接。
机器人? 不必要
数据
但在这里你可以看到,只有少数扫描telnet的主机对外开放了23端口,这意味着系统要么以其他方式受到损害,要么攻击者手动运行脚本。
家庭连接
另一个有趣的发现是样本中存在大量家庭用户。 通过使用 反向查找 我识别出来自特定家用计算机的 105 个连接。 对于许多家庭连接,反向 DNS 查找会显示带有 dsl、home、cable、optical 等字样的主机名。
学习和探索:建立你自己的蜜罐
我最近写了一篇简短的教程,介绍如何
您可以从本地网络上的蜜罐中受益,而不是在互联网上运行 Cowrie 并捕获所有噪音。 如果请求发送到某些端口,则不断设置通知。 这要么是网络内部的攻击者,要么是好奇的员工,要么是漏洞扫描。
发现
查看攻击者在 XNUMX 小时内的行为后,我们会发现,在任何组织、国家甚至操作系统中都不可能识别出明确的攻击源。
源的广泛分布表明扫描噪声是恒定的并且与特定源无关。 任何在互联网上工作的人都必须确保他们的系统 几个安全级别。 一个通用且有效的解决方案 SSH的 该服务将移动到随机的高端口。 这并不能消除对严格密码保护和监控的需要,但至少可以确保日志不会因不断扫描而堵塞。 高端口连接更有可能是有针对性的攻击,您可能对此感兴趣。
通常开放的 telnet 端口位于路由器或其他设备上,因此无法轻松地将它们移至高端口。
来源: habr.com