- ฮันนีพอต: กลไกที่ใช้ตรวจจับและบันทึกการโจมตีเมื่อผู้โจมตีพยายามเจาะเข้าสู่ระบบ
- SSH ฮันนีพอต: ฮันนีพอตที่มุ่งเป้าไปที่ SSH
- ผลจากการเปิดใช้งาน SSH Honeypot เป็นเวลา 30 วัน
- ตลอด 30 วัน มีความพยายามล็อกอินทั้งหมด 11,599 ครั้ง และมีความพยายามล็อกอินเฉลี่ยวันละ 386 ครั้ง
- ชื่อผู้ใช้ที่ถูกใช้มากที่สุดคือ root, 345gs5662d34, admin, pi เป็นต้น นอกจากนี้ยังมี ubuntu, ubnt, support, user, oracle ฯลฯ
- 345gs5662d34 อาจเป็นข้อมูลรับรองเริ่มต้นของโทรศัพท์ IP Polycom CX600
- รหัสผ่านที่ถูกใช้มากที่สุดคือ 345gs5662d34, 3245gs5662d34, admin, 123456, password เป็นต้น
- จากการวิเคราะห์คำสั่งที่ถูกเรียกใช้หลังล็อกอิน พบกิจกรรมที่น่าสงสัยดังต่อไปนี้:
- คำสั่งที่ถูกรันมากที่สุด
echo -e “\x6F\x6B”: 6,775 ครั้งcd ~; chattr -ia .ssh; lockr -ia .ssh: 1,016 ครั้งuname -s -v -n -r -m: 320 ครั้ง
- หลังรันสคริปต์
oinasf มีความพยายามเก็บข้อมูลระบบด้วยคำสั่ง uname -s -m
- มีความพยายามโจมตีเราเตอร์ MikroTik ผ่านคำสั่ง
./ip cloud print
- ติดตั้งตัวขุดคริปโต
mdrfckr และสั่งหยุดโปรเซสของตัวขุดตัวอื่น
- มีความพยายามเผยแพร่มัลแวร์สำหรับสถาปัตยกรรม MIPS (มุ่งเป้าไปที่เราเตอร์และอุปกรณ์ IoT เป็นหลัก)
- รันสคริปต์
Sakura.sh ซึ่งเป็นส่วนหนึ่งของมัลแวร์ Gafgyt (BASHLITE)
- Gafgyt เป็นบอตเน็ตที่แพร่เชื้อไปยังอุปกรณ์ IoT และระบบลินุกซ์ และมีความสามารถอย่างการโจมตี DDoS
- พยายามยึดอุปกรณ์โดยอาศัยรหัสผ่านที่อ่อนแอหรือรหัสผ่านเริ่มต้น รวมถึงช่องโหว่ที่เป็นที่รู้จัก
- มีมาตั้งแต่ปี 2014 และพัฒนาแตกแขนงเป็นหลายสายพันธุ์ที่สามารถใช้ก่อการโจมตี DDoS ได้
ความเห็นของ GN⁺
- ฮันนีพอตมีประโยชน์ในการวิเคราะห์รูปแบบการโจมตีและวางกลยุทธ์การป้องกัน
- จะเห็นได้ว่าการใช้ชื่อผู้ใช้และรหัสผ่านเริ่มต้นนั้นอันตรายอย่างมาก
- อุปกรณ์ IoT และเราเตอร์มีความเปราะบางเป็นพิเศษ จึงควรเสริมความเข้มงวดของการตั้งค่าความปลอดภัย
- มัลแวร์อย่างตัวขุดคริปโตทำให้ทรัพยากรระบบสูญเปล่าและก่อให้เกิดภัยคุกคามด้านความปลอดภัย
- จำเป็นต้องมีการเฝ้าติดตามและอัปเดตอย่างต่อเนื่องเพื่อรับมือกับภัยคุกคามใหม่ๆ
3 ความคิดเห็น
เห็น
345gs5662d34บ่อยเลยลองค้นดู ก็มีคนบอกว่าอาจหมายถึงpasswordบนคีย์บอร์ดบางแบบ ( https://isc.sans.edu/diary/Common+usernames+submitted+to+honeypots/… ) แต่ก็ยังไม่แน่ใจครับ...ก็อาจจะให้ความรู้สึกประมาณ
votmdnjem(รหัสผ่าน) นิดหน่อยนะความคิดเห็นจาก Hacker News
การวิเคราะห์ล็อกไฟร์วอลล์และเมลเซิร์ฟเวอร์ที่โฮสต์เอง: ตั้งค่าสคริปต์เพื่อบล็อกทราฟฟิกผิดปกติ และบล็อกเครือข่ายสแกนเนอร์ของบริษัทรักษาความปลอดภัยอินเทอร์เน็ต เพื่อลดทราฟฟิกที่ไม่จำเป็นลงได้มากกว่า 50%
ปัญหาความปลอดภัยหลังเปิดใช้การล็อกอินด้วยรหัสผ่านอีกครั้ง: หลังจากเปิดใช้การล็อกอินด้วยรหัสผ่านชั่วคราว พบความพยายามล็อกอินหลายพันครั้ง และยืนยันได้ว่าส่วนใหญ่มาจากจีน
การทำภาพข้อมูลของสแกนเนอร์: ทำภาพข้อมูลตำแหน่งและ ASN ของสแกนเนอร์เพื่อช่วยให้เข้าใจได้ดีขึ้น ผู้ให้บริการ VPS ที่มีกระบวนการตรวจสอบเข้มงวดช่วยลดกิจกรรมของสแกนเนอร์ได้
การตั้งค่าความปลอดภัยของ SSH: แนะนำให้เปลี่ยนพอร์ต ปิดการยืนยันตัวตนด้วยรหัสผ่าน และตั้งค่าให้อนุญาตเฉพาะผู้ใช้บางรายเพื่อเสริมความปลอดภัยของเซิร์ฟเวอร์ SSH
SSH ที่ใช้เฉพาะการยืนยันตัวตนด้วยกุญแจสาธารณะ: หากใช้เฉพาะการยืนยันตัวตนด้วยกุญแจสาธารณะ เครื่องมือความปลอดภัยเพิ่มเติมอย่าง fail2ban อาจไม่ได้ช่วยมากนัก และแนะนำให้มีชั้นป้องกันเพิ่มอย่าง VPN
การบล็อก IP จากจีน: เนื่องจากความพยายามล็อกอิน SSH ส่วนใหญ่มาจากจีน จึงบล็อก IP จากจีนและปลดบล็อกชั่วคราวเมื่อจำเป็น
ประสบการณ์การเปิดเซิร์ฟเวอร์ FTP แบบ anonymous: แบ่งปันประสบการณ์การเปิดเซิร์ฟเวอร์ FTP แบบ anonymous ในช่วงต้นยุค 2000 ซึ่งทำให้ได้ซอฟต์แวร์แคร็กใหม่ล่าสุดมาอย่างง่ายดาย
แง่บวกของการโฮสต์เซิร์ฟเวอร์เอง: ทุกสิ่งที่เปิดเผยสู่อินเทอร์เน็ตย่อมมีคนพยายามหาทางนำไปใช้ในทางที่ผิด ดังนั้นการเพิ่มความเข้าใจด้านความปลอดภัยจึงเป็นเรื่องสำคัญ
คำสั่งที่ไม่ทราบว่า 'lockr' คืออะไร: ไม่พบข้อมูลอ้างอิงของคำสั่ง
lockrและพบว่ามัลแวร์มักเรียกใช้มันร่วมกับคำสั่งchattrเราเตอร์ MikroTik และกิจกรรมของผู้โจมตี: ผู้โจมตีใช้ฟังก์ชัน Cloud DNS ของเราเตอร์ MikroTik เพื่อตรวจสอบรายการ DNS แบบไดนามิกของเราเตอร์ ทำให้ยังเข้าถึงได้แม้ IP address จะเปลี่ยนไป