Inicio / Blog / Honeypot SSH en la detección de incidentes de seguridad

Honeypot SSH en la detección de incidentes de seguridad

Publicado el 23/09/2014, por Francisco J. Rodríguez (INCIBE)
Honeypot SSH

Entre nuestras tareas como Centro de Respuesta a Incidentes está el conocer las amenazas de seguridad a las que están expuestos los distintos servicios publicados en Internet. Es por ello que el CERT de Seguridad e Industria dispone de diferentes tipos de honeypots desplegados que monitorizan ataques en tiempo real y recogen información acerca de los mismos.

Un honeypot es un sistema especialmente diseñado para servir como cebo a atacantes, simulando ser un servicio o un equipo real con el objetivo de atraer hacia él posibles ataques. Dado que son equipos que no están anunciados como servidores públicos, cualquier intento de conexión o acceso hacia ellos se considera sospechoso y genera una alerta. El objetivo final es hacer que los honeypots sean lo suficientemente atractivos para ser atacados y así poder registrar y posteriormente analizar todas las acciones realizadas sobre cada uno de ellos.

Gracias a la información recogida de los distintos tipos de honeypots se descubren modelos de comportamiento de malware y otros tipos de operaciones malintencionadas en internet.

Entre los diferentes tipos de honeypots existentes destacan aquellos que emulan los siguientes servicios: SSH, FTP, HTTP, RDP, MySQL, SMTP, VNC y otros.

Diariamente se reciben cientos de ataques que afectan a cada uno de los servicios expuestos y del análisis de la información recogida se puede obtener:

  • Combinaciones de usuario/contraseña para acceder al servicio
  • Muestras de malware
  • Comandos ejecutados por el atacante
  • Scripts y aplicaciones subidas por el atacante
  • Tendencias de ataques
  • Detección de Botnets

En el proceso de análisis, todos los accesos realizados a los distintos honeypots son analizados además con sistemas de identificación de intrusos, a fin de contrastar la información obtenida con los modelos de comportamiento de ataques conocidos.

Entre los honeypots existentes, el servicio SSH es uno de los que registran diariamente mayor número de incidencias, con múltiples tipos de ataques y un gran volumen de malware descargado, direcciones IP atacantes y de distribución de malware detectadas. Frecuentemente un alto porcentaje de este malware no es detectado por las compañías de antivirus y la mayor parte de las direcciones IP analizadas no se encuentran reflejadas en las listas de reputación.

Esto se debe al hecho de que se tratan de una serie de muestras tan recientes que todavía no han sido recibidas y catalogadas por las suites de seguridad de compañías antivirus. Por todo esto, la información obtenida de los honeypots resulta de gran interés para su análisis.

Operación de un Honeypot SSH

Generalmente los atacantes comprueban en primer lugar que no se trata de un honeypot para evitar ser detectados y que sus acciones sean registradas, lo que supondría ser reconocido por los métodos antivirus. Lo ideal es hacer creer al atacante que está ante un servicio real de SSH, de forma que ejecute todas las acciones maliciosas que pretende.  Es importante tener en cuenta que la mayor parte de los ataques detectados son ataques automatizados, sin intervención humana.

Los ataques analizados en honeypot SSH en los últimos meses han seguido un patrón de comportamiento similar con ejecuciones bastante parejas. No obstante cabe destacar una actividad registrada en los últimos días y que se aleja sensiblemente del modelo habitual. En la citada actividad, una dirección IP de procedencia China realizó conexiones SSH al honeypot con las credenciales root/admin. Una vez el atacante consigue acceso en el sistema, introduce un listado de credenciales de acceso y direcciones IP, siendo un total de 17402. Analizando el listado, se observó que una gran parte de credenciales especificadas eran “alpine”, muy conocida como contraseña por defecto para acceder al SSH de dispositivos Apple a los cuales se le ha realizado un jailbreak, para saltarse las restricciones de seguridad que impone Apple.

Top de contraseñas

- Top de contraseñas -

Tras realizar un análisis se llegó a la conclusión que las credenciales registradas en el honeypot son para acceder a distintos servicios SSH haciendo uso del usuario root y las IPs corresponden a dispositivos con el servicio SSH abierto y accesibles con las credenciales citadas.

En el momento del análisis, se detectaron un total de 6500 servicios SSH activos, correspondientes en su mayoría a Iphone, AppleTV y Routers Zixel, entre otros.

La distribución por países de las direcciones IPs analizadas queda de la siguiente manera:

Distribución por países

- Distribución por países -

El mayor porcentaje de equipos infectados se produce en China. Un 2 % son IPs españolas

Los servicios SSH detectados son los siguientes:

Servidores SSH

- Servidores SSH -

Es interesante observar que uno de los servicios SSH más detectado es “dropbearSSH” instalado en algunos modelos de routers como Zyxel.

También destacan los servidores OpenSSH que disponen de contraseña “alpine”, cuya instalación se produce al realizar jailbreak sobre dispositivos Apple con el fin de poder acceder al sistema de archivos por SSH. No está de más recordar las implicaciones de seguridad que conlleva hacer jailbreak a un dispositivo. Como vemos en este caso, el servicio SSH está funcionando en el dispositivo del usuario con las credenciales por defecto, facilitando el trabajo al atacante.

En otros casos, las IPs pertenecen a servidores SSH que usan contraseñas débiles o por defecto, los cuales han podido sufrir un robo de información, pueden ser usados con otros fines maliciosos como por ejemplo robo de credenciales, ataques a otros equipos, distribución de malware, etc.

Desde el CERT de Seguridad e Industria se han puesto en marcha las acciones necesarias con el fin de alertar a los usuarios españoles que se han visto afectados por este ataque malicioso y así indicarles la manera de proceder para solventar el incidente.