Honeypots SSH en la detección de incidentes de seguridad (II)

En el anterior artículo "HoneyPot SSH en la detección de incidentes de seguridad", tratamos un caso concreto sobre el acceso de un atacante al Honeypot que, diferenciándose del resto, realizó la descarga de un listado de usuarios y contraseñas válidas para acceso SSH a dispositivos vulnerados tales como routers, iPhone, entre otros.

Pero no ha sido el único acceso registrado en los HoneyPots SSH desplegados y en este artículo queremos realizar un análisis de los datos obtenidos durante el año 2014.

Análisis y Geolocalización de ataques

Consideraremos como posible ataque toda conexión realizada al puerto 22 de nuestras Honeypots, puesto que los servicios SSH no han sido publicados y cada actividad realizada sobre ellos será considerada como sospechosa.

Tras realizar un análisis de los datos registrados, se obtienen los siguientes resultados:

Se han registrado más de 30.000 conexiones en los servicios SSH expuestos.
Se observa la existencia de rangos de IP que realizan el mismo tipo de ataque.
Casi 2.000 direcciones IP únicas de 72 posibles países atacantes distintos.

- Top 20 de origen de los posibles ataques (Por países) –

- Representación Geográfica del origen de los posibles ataques (por coordenadas) –

Detección de direcciones IP en listas de reputación

Se puede comprobar que un 56% de las direcciones IP no han sido detectadas en las listas de reputación consultadas en el momento de realizar el análisis contra las mismas.

- Detección de origen de los ataques en listas de reputación de IP -

Tipos de ataques

Los ataques recibidos en nuestros honeypots se pueden clasificar en los siguientes tipos:

- Top 20 combinaciones usuario / contraseña -

- Estadística de accesos obtenidos y denegados –

Ataques de fuerza bruta por diccionario: Aquellos que intentan de forma automatizada acceder al SSH mediante el uso de combinaciones de usuario y contraseña. Se han registrado más de 100.000 combinaciones de usuario y contraseña, de las cuales un 30% son combinaciones únicas. Un 9% de atacantes consigue su objetivo. Este porcentaje variará en función del número de combinaciones de usuario y contraseña válidas para acceder al Honeypot y del número de intentos permitidos antes de banear la IP.
Descarga de malware: Son ataques automatizados que mediante wget o SFTP han realizado una descarga de malware en el servicio SSH. El malware no solo es descargado desde la máquina atacante sino que también es descargado desde otros orígenes. Se ha observado que muchos atacantes en el momento de obtener el acceso comprueban que el SSH dispone de SFTP. En caso de no disponer de SFTP no continúan con el ataque, al sospechar que podría tratarse de un Honeypot. Se han descargado más de 30000 muestras y obtenemos las siguientes conclusiones:
- Un total de 330 atacantes únicos han descargado muestras de malware. Entre las muestras descargadas destacan scripts, ejecutables ELF y exploits sin compilar.
- Gran parte de las muestras analizadas corresponden al mismo tipo de malware, pero con pequeñas variaciones, lo que produce un hash diferente. En relación a este punto, se puede consultar el artículo "Variantes de malware: diversificación de malware en ordenadores" publicado anteriormente.
- Existen muestras que no son detectadas por los motores antivirus en el momento de la descarga.
- Los orígenes de descarga de malware que son usados por los atacantes no son detectados por las listas de reputación de IP y URLs. En todos los casos, las IP de distribución de malware son de origen asiático.

Proxy SSH

Se han detectado ataques que usan nuestra Honey como proxy para obtener ganancias mediante pago por clic. Una vez que el atacante obtiene el acceso, accede a decenas de páginas con el objetivo de aumentar sus ingresos.

Otros casos

En este apartado destacamos aquellos atacantes que:

Realización de escaneo de puertos.
Atacantes que consiguen autentificarse y que investigan el contenido del servidor SSH, sin realizar ninguna actividad maliciosa.
Atacantes que facilitan credenciales válidas de servidores vulnerados: ver artículo "HoneyPot SSH en la detección de incidentes de seguridad".
Ataques no automatizados para la descarga y ejecución de malware para incluirnos en botnets.

Comandos ejecutados

El número de comandos ejecutados, tanto introducidos directamente en el terminal como ejecutados mediante script, supera los 3 millones, de los cuales un 1% son comandos únicos. Entre los comandos ejecutados, destacamos:

Eliminación de otro malware que esté instalado en la máquina e instalación del propio.
Ejecución de comandos para comprobar que el atacante está en una Honey.
Eliminación de pruebas del ataque (eliminación de history, limpieza de logs ...).
Parada de cortafuegos.
Descargas mediante SFTP o wget.
Ejecución de malware que convierten a la máquina en un Bot.

Conclusiones y recomendaciones

Una vez analizados los resultados, llegamos a la conclusión del gran número de ataques a los que están expuestos nuestros servicios en Internet y de la importancia de securizarlos para evitar en la medida de lo posible que sean atacados.

El uso de honeypot nos ayuda a detectar nuevos atacantes, nuevos patrones y tendencias de ataque, crear listas de reputación de ips para nuestra base de conocimiento, así como la detección de nuevas muestras de malware que posteriormente son analizadas. Toda esta información nos ayudará en nuestra tarea de fortificar nuestros servicios y obtener inteligencia.

Desde el CERT de Seguridad e Industria operado por INCIBE hacemos las siguientes recomendaciones para la securización de nuestros servicios SSH:

Cambiar el puerto de SSH por defecto.
No permitir la autentificación con root.
Implementar medidas contra ataques de fuerza bruta, como fail2ban.
Usar la versión Protocol 2.
Uso de contraseñas fuertes.
Hacer uso de host.allow y host.deny para especificar desde que dirección se van a permitir accesos y desde cuáles no.

Usar Iptables para bloquear el acceso de direcciones IP que haya participado en ataques al servicio SSH, obtenidas de listas de reputación de IP tales como blocklist.de y openbl.org.

Etiquetas:

Amenazas

Botnet

Malware

Últimas entradas

El futuro de SCI se encuentra en el espacio

Publicado el 20/03/2023, por INCIBE

Existen zonas donde el despliegue de una planta industrial requiere de comunicaciones satélite como las proporcionadas por la tecnología VSAT (Very-Small-Aperture Terminal). Esta tecnología permite...
Virtual Power Plants: el ‘Internet de la energía’

Publicado el 16/03/2023, por INCIBE

Las alternativas sobre eficiencia energética están hoy en día en boca de todos dada la crisis energética que azota a la gran mayoría de las regiones europeas. Desde España, las empresas energéticas...
Tácticas y técnicas de los malos en SCI

Publicado el 09/03/2023, por INCIBE

Los Sistemas de Control Industrial (ICS) inicialmente fueron diseñados para trabajar en entornos estancos y como sistemas autónomos, escaseaban las interconexiones entre sistemas, al igual que...
Bastionado de sistemas: el caso de Linux

Publicado el 02/03/2023, por INCIBE

Conocer los recursos disponibles a la hora de realizar tareas de bastionado a un sistema, nos permite optimizar el tiempo necesario para esa tarea. Además, tenemos la posibilidad de utilizar...
La importancia de las radiofrecuencias en la industria

Publicado el 23/02/2023, por INCIBE

En los entornos industriales existen multitud de tecnologías, fabricantes, comunicaciones, etc. En este artículo se reflejará una pequeña parte de los protocolos que utilizan comunicaciones de...

Accesos corporativos

Honeypots SSH en la detección de incidentes de seguridad (II)

Análisis y Geolocalización de ataques

Detección de direcciones IP en listas de reputación

Tipos de ataques

Proxy SSH

Otros casos

Comandos ejecutados

Conclusiones y recomendaciones

El futuro de SCI se encuentra en el espacio

Virtual Power Plants: el ‘Internet de la energía’

Tácticas y técnicas de los malos en SCI

Bastionado de sistemas: el caso de Linux

La importancia de las radiofrecuencias en la industria