O que se vê ao operar um honeypot SSH por 30 dias

 (blog.sofiane.cc)
12 pontos por GN⁺ 2024-06-17 | 3 comentários | Compartilhar no WhatsApp
  • Honeypot: mecanismo que detecta e registra tentativas de invasão quando um atacante tenta comprometer um sistema
    • Honeypot SSH: um honeypot voltado ao SSH
  • Resultado de operar um SSH Honeypot por 30 dias
    • Houve 11.599 tentativas de login no total durante 30 dias, com média diária de 386 tentativas
    • Os nomes de usuário mais usados foram root, 345gs5662d34, admin, pi etc. Além disso, também apareceram ubuntu, ubnt, support, user, oracle etc.
      • 345gs5662d34 pode ser a credencial padrão do telefone IP Polycom CX600.
    • As senhas mais usadas foram 345gs5662d34, 3245gs5662d34, admin, 123456, password etc.
  • Ao analisar os comandos executados após o login, foram encontradas as seguintes atividades suspeitas:
    • Comandos mais executados
      • echo -e “\x6F\x6B”: 6.775 vezes
      • cd ~; chattr -ia .ssh; lockr -ia .ssh: 1.016 vezes
      • uname -s -v -n -r -m: 320 vezes
    • Tentativa de coletar informações do sistema com o comando uname -s -m após executar o script oinasf
    • Tentativa de atacar roteadores MikroTik por meio do comando ./ip cloud print
    • Instalação do minerador de criptomoeda mdrfckr e encerramento de outros processos de mineração
    • Tentativa de disseminar malware para arquitetura MIPS (principalmente voltado a roteadores e dispositivos IoT)
    • Execução do script Sakura.sh, que faz parte do malware Gafgyt (BASHLITE)
      • Gafgyt é uma botnet que infecta dispositivos IoT e sistemas Linux, com capacidades como ataques DDoS
      • Ela tenta assumir o controle de dispositivos usando senhas fracas ou padrão e vulnerabilidades conhecidas
      • Existe desde 2014 e evoluiu em várias variantes capazes de realizar ataques DDoS

Opinião do GN⁺

  • É útil para analisar padrões de ataque e definir estratégias de defesa por meio de honeypots.
  • Fica claro que usar nomes de usuário e senhas padrão é extremamente perigoso.
  • Dispositivos IoT e roteadores são especialmente vulneráveis, por isso é preciso reforçar as configurações de segurança.
  • Malwares como mineradores de criptomoeda desperdiçam recursos do sistema e representam uma ameaça à segurança.
  • Monitoramento contínuo e atualizações são necessários para se preparar para novas ameaças de segurança.

Leituras relacionadas

3 comentários

 
nullptr 2024-06-17

Como 345gs5662d34 aparecia bastante, fui pesquisar e encontrei uma história de que seria password em um teclado específico ( https://isc.sans.edu/diary/Common+usernames+submitted+to+honeypots/… ), mas não tenho certeza...
 
cosine20 2024-06-17

Parece um pouco com algo tipo votmdnjem (senha), eu acho.
 
GN⁺ 2024-06-17
Comentários do Hacker News

  • Análise de logs de firewall e servidor de e-mail auto-hospedado: configurou scripts para bloquear tráfego anômalo e bloqueou redes de scanners de empresas de segurança da internet, reduzindo o tráfego desnecessário em mais de 50%.

  • Problemas de segurança após reativar login por senha: depois de ativar temporariamente o login por senha, ocorreram milhares de tentativas de login, e foi confirmado que a maioria veio da China.

  • Visualização de scanners: visualizar a localização e o ASN dos scanners ajuda a entender melhor a situação. Provedores de VPS com processos rígidos de verificação ajudam a reduzir a atividade de scanners.

  • Configurações de segurança para SSH: recomenda-se alterar a porta, desativar autenticação por senha e permitir apenas usuários específicos para reforçar a segurança do servidor SSH.

  • SSH usando apenas autenticação por chave pública: se você usa apenas autenticação por chave pública, ferramentas adicionais de segurança como fail2ban não ajudam muito, e recomenda-se uma camada extra de defesa, como uma VPN.

  • Bloqueio de IPs da China: como a maioria das tentativas de login SSH vem da China, bloqueiam-se IPs chineses e, quando necessário, o bloqueio é removido temporariamente.

  • Experiência operando um servidor FTP anônimo: compartilha a experiência de operar um servidor FTP anônimo no início dos anos 2000, quando era fácil obter os softwares crackeados mais recentes.

  • Aspectos positivos de hospedar seu próprio servidor: tudo o que fica exposto à internet será alvo de tentativa de exploração por alguém, então é importante aumentar o entendimento sobre segurança.

  • Comando desconhecido lockr: não foram encontradas referências ao comando lockr, e foi observado principalmente em execuções de malware junto com o comando chattr.

  • Roteadores MikroTik e atividade de atacantes: usando a funcionalidade de DNS em nuvem de roteadores MikroTik, atacantes verificam as entradas de DNS dinâmico do roteador para manter o acesso mesmo quando o endereço IP muda.