O que aprendi depois de usar um honeypot SSH por 7 dias

A ideia de usar um honeypot para aprender sobre possíveis invasores surgiu enquanto conversava com um amigo que havia exposto sua porta SSH para fazer login enquanto estava fora de casa.

Como surgiu essa ideia?

Ele mencionou que os IPs chineses estavam tentando obter acesso. Esses ataques me lembraram de quando a internet de banda larga foi introduzida e havia alguns aplicativos de software de firewall protegendo os usuários da Internet. Nesses aplicativos, quando ocorria tráfego de entrada específico, uma caixa de diálogo pop-up alertava sobre um possível ataque. A internet de hoje é muito mais avançada com vários novos vetores de ataque e executar um honeypot SSH seria uma ótima oportunidade para se atualizar sobre os ataques e invasores que afetam a internet.

Qual honeypot usar?

Os honeypots são classificados em 3 categorias diferentes:

• Baixa interação – simula serviços e vulnerabilidades para coletar informações e malware, mas não apresenta um sistema utilizável para o invasor interagir
• Interação média – imita um serviço de produção em um ambiente muito controlado que permite alguma interação de um invasor
• Alta interação – imita um serviço de produção em que os invasores podem ter um livre para todos até que o sistema seja restaurado

Ao escolher um honeypot, eu queria algo onde eu pudesse não apenas ver o IP dos invasores, mas o que eles estão fazendo com um sistema. Eu também não queria expor um sistema completo ao mundo, onde ele poderia ser usado para hackear minha rede interna ou potencialmente ser usado para ataques externos. Seguindo essa premissa, escolhi Kippo. Kippo é o honeypot SSH de interação média mais popular projetado para registrar ataques de força bruta e, o mais importante, toda a interação do shell executada pelo invasor.

Como a semana progrediu?

Na primeira hora após a exposição da porta SSH 22, tive tentativas de login ocorrendo em todo o mundo. Quanto mais tempo passava, eu pensava sobre a popularidade do Kippo e, dado o fato de não ser atualizado há algum tempo, provavelmente é detectável e não possui recursos simulados usados pelos invasores. Uma rápida pesquisa na web confirmou todas essas suspeitas, então substituí Kippo por Cowrie. Cowrie é baseado diretamente no Kippo com várias atualizações importantes que incluem:

• Suporte a SFTP e SCP para upload de arquivos
• Suporte para comandos exec SSH
• Registro de tentativas de conexão tcp direta (proxy SSH)
• Registro em log no formato JSON para facilitar o processamento em soluções de gerenciamento de logs
• Muitos outros comandos adicionais e, o mais importante, uma correção para a detecção anterior do Kippo

A mudança foi muito suave, pois Cowrie é basicamente uma queda no substituto de Kippo e scripts como Kippo-Graph funcionam com ele. Além de mudar para o Cowrie, atualizei o arquivo fs.pickle incluído para não ser o sistema de arquivos pronto para uso que você obtém por padrão.

À medida que a semana avançava, o honeypot continuou a acumular tentativas de login, algumas bem-sucedidas, mas a maioria não foi bem-sucedida. Por causa disso, adicionei algumas das combinações mais comuns de nome de usuário / senha para atrair invasores a interagir com o honeypot.

Como eram as estatísticas?

Ao longo de uma semana, houve um total de 1465 tentativas de login, que resultaram em 1374 tentativas fracassadas e 91 tentativas bem-sucedidas. Além disso, todas essas tentativas são uma combinação de 113 endereços IP exclusivos.

Top 10 Usernames

Top 10 Passwords

Top 10 Combinations

Principais conexões por país

(KR = South Korea, US = United States, RU = Russia, TN = Tunsia, VN = Vietnam, UA = Ukraine, CN = China, FR = France)

Que informações eu aprendi?

A principal lição dessa experiência é que a maioria das tentativas de login parece ser automatizada por meio do uso de alguma ferramenta ou por meio de botnet. A evidência disso vem do fato de que as sessões de tentativa de login usam senhas de identificação de origem e senhas repetidas tentadas dia após dia. Além disso, ao fazer uma pesquisa CBL, por exemplo, a conexão superior no meu honeypot retorna o seguinte texto.

Os invasores também têm como alvo roteadores Raspberry Pi e Ubiquiti expostos, conforme mostrado nas estatísticas. Ambos os dispositivos têm logins padrão de fábrica que são facilmente aproveitados quando não atualizados.

Infelizmente, nos 7 dias em que este honeypot funcionou, não houve nenhuma interação notável. Normalmente, os tipos mais comuns de ataques, uma vez que um invasor entra no SSH, são conexões de botnet, seguranças de irc ou qualquer coisa que permita a um invasor controle remoto e interação.

Links de referência

Os links de referência abaixo estão relacionados a esta postagem do blog. Se você estiver interessado em mais informações sobre outros honeypots disponíveis e como configurar um, saiba mais neste link.

SSH Honeypots: Kippo, Cowrie

Scripts: Kippo-Graph, Kippo-Scripts