新加坡Digital Ocean节点安装蜜罐后24小时统计
皮尤皮尤! 让我们立即从攻击图开始
我们超酷的地图显示了 24 小时内连接到我们的 Cowrie 蜜罐的独特 ASN。 黄色对应 SSH 连接,红色对应 Telnet。 此类动画通常会给公司董事会留下深刻的印象,这有助于他们获得更多的安全资金和资源。 不过,该地图确实有一定的价值,它清楚地显示了短短 24 小时内攻击源在我们主机上的地理和组织分布情况。 动画并不反映每个来源的流量。
什么是 Pew Pew 地图?
皮尤皮尤地图 - ,通常是动画的并且非常漂亮。 这是一种销售产品的奇特方式,挪威公司曾臭名昭著地使用过这种方式。 该公司结局很糟糕:事实证明,漂亮的动画是他们唯一的优势,他们使用零碎的数据进行分析。
用 Leafletjs 制作
对于那些想要为运营中心的大屏幕设计攻击地图的人(你的老板会喜欢它),有一个库 。 我们将它与插件结合起来 , Maxmind GeoIP 服务 - .
WTF:这个 Cowrie 蜜罐是什么?
蜜罐是专门放置在网络上用于引诱攻击者的系统。 与系统的连接通常是非法的,并且允许您使用详细的日志来检测攻击者。 日志不仅存储常规连接信息,还存储揭示的会话信息 技术、策略和程序(TTP) 入侵者。
专为 SSH和Telnet连接记录。 此类蜜罐通常放置在互联网上以跟踪攻击者的工具、脚本和主机。
我想向那些认为自己不会受到攻击的公司传达这样的信息:“你们正在努力寻找。”
— 詹姆斯·斯努克
日志里有什么?
连接总数
许多主机重复尝试连接。 这是正常的,因为攻击脚本具有完整的凭据列表并尝试多种组合。 Cowrie 蜜罐配置为接受某些用户名和密码组合。 这是配置在 用户.db 文件.
攻击的地理分布
使用 Maxmind 地理定位数据,我计算了来自每个国家/地区的连接数量。 巴西和中国遥遥领先,来自这些国家的扫描仪常常发出大量噪音。
网络区块拥有者
研究网络块 (ASN) 的所有者可以识别拥有大量攻击主机的组织。 当然,在这种情况下,您应该始终记住许多攻击来自受感染的主机。 可以合理地假设大多数攻击者不会愚蠢到从家用计算机扫描网络。
攻击系统上的开放端口(数据来自 Shodan.io)
通过出色的运行 IP 列表 快速识别 具有开放端口的系统 这些端口是什么? 下图显示了按国家和组织划分的开放端口的集中度。 识别受感染系统的块是可能的,但在 小样本 除了大量之外,看不到任何突出的东西 中国开放500个口岸.
一个有趣的发现是巴西有大量系统 22、23 不开放 или 其他港口据 Censys 和 Shodan 称。 显然这些是来自最终用户计算机的连接。
机器人? 不必要
数据 那天,22 号和 23 号端口出现了一些奇怪的情况。 我认为大多数扫描和密码攻击都来自机器人。 该脚本在开放端口上传播,猜测密码,并从新系统中复制自身,并使用相同的方法继续传播。
但在这里你可以看到,只有少数扫描telnet的主机对外开放了23端口,这意味着系统要么以其他方式受到损害,要么攻击者手动运行脚本。
家庭连接
另一个有趣的发现是样本中存在大量家庭用户。 通过使用 反向查找 我识别出来自特定家用计算机的 105 个连接。 对于许多家庭连接,反向 DNS 查找会显示带有 dsl、home、cable、optical 等字样的主机名。
学习和探索:建立你自己的蜜罐
我最近写了一篇简短的教程,介绍如何 。 如前所述,在我们的案例中,我们使用了新加坡的 Digital Ocean VPS。 对于 24 小时的分析,成本实际上只有几美分,而组装系统的时间为 30 分钟。
您可以从本地网络上的蜜罐中受益,而不是在互联网上运行 Cowrie 并捕获所有噪音。 如果请求发送到某些端口,则不断设置通知。 这要么是网络内部的攻击者,要么是好奇的员工,要么是漏洞扫描。
发现
查看攻击者在 XNUMX 小时内的行为后,我们会发现,在任何组织、国家甚至操作系统中都不可能识别出明确的攻击源。
源的广泛分布表明扫描噪声是恒定的并且与特定源无关。 任何在互联网上工作的人都必须确保他们的系统 几个安全级别。 一个通用且有效的解决方案 SSH的 该服务将移动到随机的高端口。 这并不能消除对严格密码保护和监控的需要,但至少可以确保日志不会因不断扫描而堵塞。 高端口连接更有可能是有针对性的攻击,您可能对此感兴趣。
通常开放的 telnet 端口位于路由器或其他设备上,因此无法轻松地将它们移至高端口。 и 是确保这些服务受到防火墙保护或禁用的唯一方法。 如果可能,您根本不应该使用 Telnet;该协议未加密。 如果您需要它并且离不开它,请仔细监控它并使用强密码。
来源: habr.com