Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security..
Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
retornar
POR:
Joaquin Lanfranconi
(Cybersecurity Researcher )
COMPARTILHAR
Colos de mel: armadilhas para o adversário
Todos os dias, as empresas recebem centenas ou milhares de ataques automatizados em busca de novas vítimas potenciais. Milhares de bots, scrappers, crawlers e scripts estão escaneando faixas de endereços IP e/ou domínios para serviços expostos que são inseguros, antigos ou mal configurados, para fins múltiplos, tais como aumento de botnet, mineração de moedas criptográficas, filtragem de dados, e muito mais. Isto representa um cenário difícil para os defensores, onde eles sempre têm que conhecer 100% de seus serviços expostos, versões, infra-estrutura e tudo feito corretamente, sem nenhuma falha de segurança. Uma estratégia interessante é usar uma das principais técnicas de Defesa Cibernética Ativa, que são os Honeypots para tentar descobrir o que eles estão procurando, o que eles exploram e qual é o padrão que os atacantes seguem.
O que é um Honeypot?
Um pote de mel é um sistema de armadilha ou engodo que visa atrair atacantes a fim de proteger os sistemas informáticos reais de uma organização. Algumas de suas funções são coletar informações sobre os atacantes e seus ataques, alertá-los sobre possíveis ataques, atrasá-los ou distraí-los. Eles são projetados para fingir ser um sistema legítimo, mas com serviços mal configurados, com vulnerabilidades conhecidas, fingindo ser o paraíso de um atacante!
Neste posto, criaremos um para coletar informações sobre os atacantes e suas técnicas. Como tudo no mundo da ciber-segurança, a criação e o uso de um desses dispositivos acarreta um grande risco que devemos contemplar. Como este honeypot é apenas para fins de pesquisa, não o queremos perto da rede de nossa organização, por isso usamos um fornecedor de nuvens (Google Cloud, AWS, Azure, Digital Ocean).
Criando um pote de mel
Para a criação e implantação de nosso honeypot, contaremos com o projeto "T-Pot" com mais de 8 anos de atualizações e manutenção, que conta com um conjunto de mais de 20 honeypots, como o Cowrie (Honeypot simula um serviço SSH e TELNET), e o Dionaea (Simula um serviço FTP, MySQL, SMB, entre outros) e ainda tem o Elastic Stack para visualização de ataques, logs, solicitações, etc. Como a T-Pot usa o Docker para criar todos os serviços, nosso servidor virtual deve ter memória RAM suficiente para a versão padrão, se desativarmos alguns honeypots é possível que o consumo de memória diminua. Neste caso, usamos uma gota com Debian 11, 8GB de RAM e 80GB de disco.
Uma vez criada nossa gotícula, a implantação do T-Pot é bastante simples e automatizada, dentro de seu repositório eles têm um tutorial que explica em detalhes todas as suas configurações, mas se quisermos deixar tudo por padrão, seria tão simples quanto executar o seguinte:
Isto nos guiará durante todo o período de instalação. Uma vez que tenhamos configurado e instalado tudo, nosso servidor será reiniciado, e algo importante a ter em mente são as portas onde os serviços de gerenciamento de T-Pot ouvem:
- Porta 64294 TCP → Acesso ao Cockpit.
- Porta 64295 TCP → Serviço SSH real para gerenciamento de servidores.
- Porta 64297 TCP → NGINX proxy reverso para usar Kibana e outras utilidades.
Usamos principalmente a porta 64297, para o painel de controle criado em Kibana. Se tudo foi criado e está funcionando corretamente, ao entrar no porto de Kibana, ele nos pedirá credenciais, as quais nós preparamos no momento da instalação.
Estas seriam as utilidades do T-Pot. Se formos ao Kibana, podemos ver quais informações cada Honeypot coletou e, por sua vez, temos um painel mais geral que nos mostra o total de interações com cada serviço.
Podemos ver que o honeypot "Cowrie" já recebeu mais de 130 conexões, a maioria direcionada para a porta 23/TCP (Telnet) e podemos ver que uma grande parte destes pedidos vem dos Estados Unidos, isto não significa que todos os IPs de origem sejam IPs atacantes ou C2, também é possível que sejam dispositivos que foram violados anteriormente e que os utilizam para encontrar novas vítimas potenciais. Se descermos um pouco mais neste painel, podemos ver algumas das combinações utilizadas para logar no serviço SSH e/ou telnet. Algumas delas são senhas que são configuradas por padrão em sistemas ou serviços reais.
Um detalhe interessante é que as imagens acima foram tiradas dentro de 20 minutos após a plataforma do honeypot estar totalmente instalada. Nesse tempo já estamos recebendo ataques, vendo como eles agem, e que serviços estão procurando principalmente. Estas informações são relevantes para uma análise mais aprofundada e, sobretudo, para saber o que estamos enfrentando como defensores.
Os ataques continuam
Uma hora após a implantação completa da plataforma honeypots, continuamos a ver os números aumentar constantemente, por isso formulamos algumas hipóteses com base nos ataques que corroboramos ao longo do tempo:
- Os serviços que recebem mais solicitações são os mais explorados: SSH (22/tcp), Telnet (23/tcp), Web Pages (80-443/tcp), SMB (445/tcp).
- Vários ataques tentam minerar moedas criptográficas com nossos recursos.
- Eles procuram coletar o máximo de informações possíveis de nosso sistema e/ou serviços.
- Eles exploram as vulnerabilidades conhecidas publicamente.
Olhando novamente para nosso painel de controle, vemos o que está sendo tentado contra uma de nossas aplicações web, um blog construído com Wordpress.
Aqui vemos tentativas de explorar vulnerabilidades de Cross Site Scripting (XSS), por sua vez solicitações "indexadas", que, se você olhar os logs, são na verdade solicitações com caminhos diferentes, procurando por caminhos conhecidos ou executando explorações conhecidas.
Cavando um pouco mais fundo, o primeiro pedido na foto acima procura explorar uma vulnerabilidade no serviço Fortinet FortiOS para versões mais antigas (5.6.3 - 5.6.7 / 6.0.0.0 - 6.0.4) que possibilita a leitura das credenciais em texto claro. Esta vulnerabilidade já é conhecida, tem seu CVE(CVE-2018-13379 ) e umaexploração pública.
Conclusões
O uso de honeypots é uma das táticas mais eficazes dentro da defesa ativa, analisar o comportamento do atacante, enganá-lo, influenciando suas ações, são coisas que podemos fazer com esta abordagem de segurança cibernética defensiva. Como já mencionamos em posts anteriores, jogamos um jogo de gato e rato, onde este último quase sempre consegue escapar, mas com esta abordagem procuramos nivelar as coisas e deixar de estar em tal desvantagem técnica para os defensores. Nos próximos posts falaremos mais sobre este tema, analisando ataques, testando nossas hipóteses e propondo novas hipóteses. Por enquanto, deixemos os atacantes cair em nossas armadilhas.