VoIP Honeypot Доклад 1

Результаты эксперимента медоносный горшок #1

ХААСТ

»

МЕДОВЫЙ ГОРШОК 1

Обзор

Telium поместил VoIP PBX (работает FreePBX со звездочкой 14) на общедоступный IP в течение 120 дней. Программное обеспечение безопасности Telium SecAst было добавлено в PBX для отслеживания всех атак и предоставления данных, представленных ниже. SecAst был настроен, чтобы заблокировать злоумышленника на оставшуюся часть эксперимента, как только их атака была записана, так что каждая атака представляет собой новую (не повторяемую) атаку.

Основная цель этого эксперимента «медовый горшок» состояла в том, чтобы оценить количество и характер атак, которые администратор может ожидать против своего сервера, не обявая IP-сервер или какие-либо учетные данные. Вторичная цель этого эксперимента состояла в том, чтобы продемонстрировать риск разоблачения учетных данных учетной записи в Интернете через чат / сообщения сообщений, как автоматическое соскоб SIP учетных данных, очевидно, происходит.

Эксперимент был разделен на два этапа: на первом этапе (дни 0-60) SecAst была установка для ограничения доступа конечной точки в Северную Америку только – чтобы показать влияние GeoFencing. На втором этапе (дни 61-120) SecAst была настроена, чтобы обеспечить доступ по всему миру, и набор действительных учетных данных SIP были опубликованы в 3 общественных форумах, позволяющих пользователям зарегистрироваться на сервере и звонить (который автоматически прекращается через 3 секунды).

Влияние геофенцинга

График справа демонстрирует количество атак на PBX в день. Отметим, что на 60-й день GeoFencing был отключен в результате значительного увеличения частоты атак.

Категория атак с geoFencing

На графике слева показана категория атак, выявленных (т.е. нарушенных правил) в течение первых 60 дней. Подкатегории атак были свернуты, чтобы показать основные категории. Большинство атак признается в запрещенном географическом местоположении. В пределах разрешенного географического забора следующий наиболее популярный тип атаки пытается зарегистрироваться с недействительными учетными данными.

Категории атак без геофейкации

На графике справа показана категория атак, выявленных (т.е. нарушенных правил) в течение 60-дневного периода. Подкатегории атак были свернуты, чтобы показать только основные категории. Большинство атак признается попыткой зарегистрироваться с недействительными учетными данными. Тем не менее, обратите внимание, что 18% атак использовали учетные данные Царапины из “поддержки” типа веб-сайтов (поймали через подозрительные модели использования).

Местоположение источников атаки

На графике слева показано количество атак по географическому местоположению на основе исходных IP злоумышленника. Обратите внимание, что страны с верхним исходным кодом меняются с течением времени, поскольку организованные злоумышленники делятся информацией со связанными сторонами.

Интенсивность атаки по географическому местоположению

На графике справа показана карта географического положения злоумышленников. Более интенсивный красный цвет, указывает на большее количество атак. Зеленый цвет указывает на количество атак из этой страны не пересекли минимальный порог (для того, чтобы зарегистрироваться)