Agitar o favo de mel: Análise do pote de mel de teste

Um mês após a criação do nosso honeypot a partir do zero, concebido para analisar os atacantes, os seus objectivos, padrões e acções, veremos o que conseguiu capturar, quais foram os serviços mais visados, quais as vulnerabilidades que tentaram explorar e de onde provêm estes ataques. A primeira coisa que vemos quando entramos no painel de visualização do Kibana é o número chocante de ataques aos honeypots implantados. O número total de ataques recebidos é de cerca de 3 milhões e 70% são apenas de dois honeypots, Dionaea e DDoSPot.

Se filtrarmos por endereços IP de origem, de onde vêm os ataques, vemos que existe um com mais de 300.000 ataques ao honeypot da Dionaea (o número é redaccionado por razões de segurança). Não podemos determinar se esta IP de origem é realmente um atacante, ou se é outra das muitas vítimas a ser utilizada por um cibercriminoso.

Serviços mais visados pelos atacantes

Se falarmos de serviços, o mais atacado no nosso honeypot seria sem dúvida o SMB (porto 445/tcp) com mais de meio milhão de ataques vindos de todo o mundo, como se pode ver no gráfico seguinte.

Os atacantes procuravam pastas partilhadas publicamente que pudessem conter informação sensível sobre a organização, para descarregar o seu conteúdo e utilizá-lo para futuros ataques ou para fins comerciais ou extorsivos. Contudo, o segundo serviço/porto mais visado foi o 53/udp, neste caso os atacantes não procuravam obter informações, mas sim utilizar as nossas infra-estruturas para atacar outras vítimas com um ataque distribuído de negação de serviço. Este tipo de ataque é vulgarmente conhecido como DDoS de amplificação DNS. A maioria destes domínios são administrados por governos, uma vez que têm .gov no seu domínio de topo ou TLD. Alguns deles são mostrados abaixo.

O Remote Desktop Protocol é o nosso terceiro serviço mais atacado com um total de quase 500.000 ataques, os adversários tentam adicionar o nosso servidor à sua botnet, uma vez que podem ter controlo remoto do servidor, podem realizar outros ataques, criptografia de minas, utilizar técnicas de reconhecimento para depois comprometer outro activo de uma organização, e mais, as possibilidades são incontáveis.

Como mencionado acima, as ligações vêm de todo o mundo, tornando difícil determinar se estamos a ser atacados por um botnet, um actor específico ou guiões automatizados que procuram este serviço exposto.

Alvos de ataques

Desde que implantamos a nossa rede de honeypot, recebemos milhares de ataques, mas há um tipo de acção que prevalece, e que é a automatização dos ataques. Vamos analisar isto mais de perto. Para analisar esta metodologia de ataque, utilizaremos os registos do honeypot Cowrie, este honeypot simula um serviço SSH (porto 22/tcp) e um serviço TELNET (porto 23/tcp). Quando o atacante consegue entrar num destes serviços, executa uma concatenação de comandos semelhante aos seguintes:

Isto irá limpar um ficheiro previamente descarregado com o mesmo nome, para descarregar um script de um dos seus servidores onde está alojado, e uma vez descarregado, irá executá-lo. O conteúdo do ficheiro anteriormente descarregado pode ser visto abaixo:

Este guião, por sua vez, descarrega outros binários maliciosos com objectivos diferentes, desde a utilização da nossa infra-estrutura até às moedas criptográficas das minas, poupa todas as acções executadas no interior da vítima ou até expande o seu botnet e aumenta o seu poder de ataque. Os ficheiros são geralmente alojados em servidores web (porta 80/tcp) mas também vimos que são descarregados a partir de serviços FTP (porta 21/tcp) com o utilizador anónimo (utilizador convidado) para aceder ao serviço.

Outra técnica que é mantida durante todos os ataques é que depois de descarregar um binário malicioso e executá-lo, o próprio binário é apagado do sistema, para evitar deixar vestígios dos executáveis. Vimos também que alguns dos pedidos a estes servidores que armazenam os binários maliciosos devolvem um código de estado HTTP 404 (Ficheiro não encontrado).

Vulnerabilidades conhecidas mais exploradas

No nosso painel Kibana, com a ajuda de Suricata, podemos ver as vulnerabilidades exploradas e as exposições comuns (CVE), e de facto há um CVE que foi explorado mais de 1000 vezes0,CVE-2020-11899 que é uma vulnerabilidade na pilha TCP/IP de Treck em versões anteriores à 6.0.1.66.

Por sua vez, analisando os comandos utilizados pelos atacantes, uma das sessões SSH continha 1000 linhas idênticas mencionando a frase "RyM_Gang".

Procurando esta frase em diferentes recursos online, encontramos um repositório no GitHub que contém uma série de scripts que são usados para executar ataques de força bruta a diferentes serviços (SSH, Telnet, etc).

Estes guiões, uma vez que conseguem entrar num dos serviços, verificam se podem realmente executar comandos dentro do serviço fazendo um eco e depois procurando por essa linha.

Conclusões

Provámos que para recolher informação dos atacantes, a utilização de honeypots é uma das ferramentas mais eficazes dentro da Defesa Cibernética Activa; pudemos ver as acções destes actores, na sua maioria automatizadas, permitindo-nos compreender de uma forma mais directa e eficaz contra que tipos de ataques temos de lidar diariamente como defensores. Uma coisa a notar é que o nosso fornecedor de serviços na nuvem enviou-nos alertas de segurança para a nossa caixa de correio registada, mencionando erros de configuração em alguns dos nossos serviços e mencionando como corrigir estes problemas. Em geral, pudemos ver que os ataques que recebemos foram na sua maioria automatizados para obter lucros com o menor esforço possível, desde a expansão do seu botnet à utilização da nossa infra-estrutura em seu benefício.

Em postos futuros continuaremos a explorar mais técnicas no âmbito da Defesa Cibernética Activa, a fim de elevar o nível de segurança da nossa organização.