Revolviendo el panal: Análisis del honeypot de prueba

Un mes después de la creación de nuestro honeypot desde cero, pensado con el fin de analizar a los atacantes, sus metas, patrones y acciones, veremos lo que logró capturar, cuales fueron los servicios más buscados, que vulnerabilidades se intentaron explotar y de donde provienen estos ataques. Lo primero que vemos al ingresar al panel de visualización de Kibana, son los impactantes números de ataques en los honeypots desplegados. La cifra total de ataques recibidos se aproxima a los 3 millones y el 70% son únicamente de dos honeypots, Dionaea y DDoSPot.

Si filtramos por las direcciones IP de origen, desde donde provienen los ataques, vemos que existe una con más de 300 mil ataques al honeypot de Dionaea (el número está redactado por motivos de seguridad). No podemos determinar si esta IP de origen es realmente un atacante, o si es otra de las tantas víctimas que están siendo usadas por un ciberdelincuente.

Servicios más buscados por los atacantes

Si hablamos de servicios, el más atacado en nuestro honeypot sería sin duda el SMB (puerto 445/tcp) con más de medio millón de ataques provenientes de todas partes del mundo como se puede ver en el siguiente gráfico.

Los atacantes estuvieron a la búsqueda de carpetas compartidas públicamente que pudieran contener información sensible sobre la organización, para descargar su contenido y usarlo para futuros ataques o utilizarlo para fines comerciales o extorsivos. No obstante, el segundo servicio/puerto más atacado fue el 53/udp, en este caso los atacantes no buscaban obtener información, sino usar nuestra infraestructura para atacar a otras víctimas con un ataque distribuido de denegación de servicios. Este tipo de ataque es comúnmente conocido como DDoS por amplificación de DNS. La mayoría de estos dominios, son administrados por gobiernos, dado que poseen en su dominio de nivel superior o TLD, el .gov. Algunos de ellos se muestran a continuación.

El Protocolo de Escritorio Remoto, es nuestro tercer servicio con más ataques registrando un total de casi 500.000 ataques, los adversarios intentan agregar a nuestro servidor a su red de bots, dado que puede tener control remoto del servidor, pueden realizar otros ataques, minar criptomonedas, utilizar técnicas de reconocimiento para luego comprometer otro activo de una organización, y más, las posibilidades son incontables.

Como mencionamos anteriormente, las conexiones provienen de todas partes del mundo, lo cual dificulta determinar si estamos siendo atacados por una red de bots (botnet), un actor específico o scripts automáticos que buscan este servicio expuesto.

Objetivos de los ataques

Desde que desplegamos nuestra red de honeypots hemos recibido miles de ataques, pero hay un tipo de accionar que prevalece, y es la automatización de los mismos. Veamos más en detalle esto. Para analizar esta metodología de ataque, usaremos los registros (logs) del honeypot Cowrie, este honeypot simula ser un servicio SSH (puerto 22/tcp) y un servicio TELNET (puerto 23/tcp). El atacante una vez logra iniciar sesión en alguno de estos servicios, ejecuta una concatenación de comandos similar a los siguientes:

Esto realizará la limpieza de un archivo descargado anteriormente con el mismo nombre, para descargar un script desde alguno de sus servidores donde lo tiene alojado, y una vez descargado lo ejecutará. El contenido del archivo descargado anteriormente se puede ver a continuación:

Este script a su vez descarga otros binarios maliciosos con distintos objetivos, desde utilizar nuestra infraestructura para minar criptomonedas, guardar todas las acciones ejecutadas dentro de la víctima o hasta expandir su botnet y aumentar su potencia de ataque. Los archivos suelen encontrarse alojados en servidores web (puerto 80/tcp) pero también hemos visto que son descargados desde servicios FTP (puerto 21/tcp) con el usuario anonymous (usuario invitado) para acceder al servicio.

Otra técnica que se mantiene a lo largo de todos los ataques, es que luego de descargar un binario malicioso y ejecutarlo, este mismo es eliminado del sistema, para evitar dejar rastros de los ejecutables. También hemos visto que algunas de las peticiones hacia estos servidores que almacenan los binarios maliciosos, devuelven un código de estado HTTP 404 (Archivo no encontrado).

Vulnerabilidades conocidas más explotadas

En nuestro panel de visualización de Kibana, con ayuda de Suricata, podemos ver las vulnerabilidades y exposiciones comunes (CVE) explotadas, y de hecho existe un un CVE que se intentó explotar más de 1000 veces , el CVE-2020-11899 que consiste en una vulnerabilidad de la pila TCP/IP de Treck en versiones anteriores a la 6.0.1.66.

A su vez, analizando los comandos utilizados por los atacantes, se ve que una de las sesiones por SSH contenía 1000 líneas idénticas que mencionaban la frase “RyM_Gang”.

Buscando por esta frase en distintos recursos en línea, encontramos un repositorio en GitHub que contiene una serie de scripts que son utilizados para realizar ataques de fuerza bruta a distintos servicios (SSH,Telnet, etc).

Estos scripts una vez logran ingresar en uno de los servicios, comprueban que realmente se puedan ejecutar comandos dentro del servicio haciendo un echo y posteriormente buscando esa línea.

Conclusiones

Hemos comprobado que para recolectar información de los atacantes, el uso de honeypots es una de las herramientas más efectivas dentro de la Ciberdefensa Activa; pudimos ver el accionar de estos actores, mayormente automatizados, permitiéndonos entender de una manera más directa y eficiente contra qué tipos de ataques debemos lidiar a diario como defensores. Algo a destacar es que nuestro proveedor de servicios en la nube nos envió alertas de seguridad al mail registrado mencionando los errores de configuración en algunos de nuestros servicios y mencionando cómo solucionar estos problemas. En general, pudimos ver que los ataques que recibimos fueron mayormente automatizados para obtener ganancias con el mínimo esfuerzo posible, desde expandir su botnet hasta utilizar nuestra infraestructura para su beneficio.

En próximos posts seguiremos indagando en más técnicas dentro de la Ciberdefensa Activa, para poder elevar el nivel de seguridad de nuestra organización.