Lo que se ve al operar un honeypot SSH durante 30 días

 (blog.sofiane.cc)
12 puntos por GN⁺ 2024-06-17 | 3 comentarios | Compartir por WhatsApp
  • Honeypot: un mecanismo que detecta y registra intentos de ataque cuando un atacante trata de infiltrarse en un sistema
    • Honeypot SSH: un honeypot orientado a SSH
  • Resultados de operar un SSH Honeypot durante 30 días
    • En 30 días hubo un total de 11,599 intentos de inicio de sesión, con un promedio de 386 por día
    • Los nombres de usuario más utilizados fueron root, 345gs5662d34, admin y pi. Además de ubuntu, ubnt, support, user, oracle, etc.
      • 345gs5662d34 podría ser la credencial predeterminada de los teléfonos IP Polycom CX600.
    • Las contraseñas más utilizadas fueron 345gs5662d34, 3245gs5662d34, admin, 123456, password, entre otras
  • Al analizar los comandos ejecutados después del inicio de sesión, se encontraron las siguientes actividades sospechosas:
    • Comandos más ejecutados
      • echo -e “\x6F\x6B”: 6,775 veces
      • cd ~; chattr -ia .ssh; lockr -ia .ssh: 1,016 veces
      • uname -s -v -n -r -m: 320 veces
    • Intento de recopilar información del sistema con el comando uname -s -m después de ejecutar el script oinasf
    • Intento de atacar routers MikroTik mediante el comando ./ip cloud print
    • Instalación del minero de criptomonedas mdrfckr y finalización de otros procesos de minería
    • Intento de distribuir malware para arquitectura MIPS (principalmente dirigido a routers y dispositivos IoT)
    • Ejecución del script Sakura.sh, que forma parte del malware Gafgyt (BASHLITE)
      • Gafgyt es una botnet que infecta dispositivos IoT y sistemas Linux, y cuenta con funciones como ataques DDoS
      • Intenta tomar control de dispositivos usando contraseñas débiles o predeterminadas, así como vulnerabilidades conocidas
      • Existe desde 2014 y ha evolucionado en múltiples variantes capaces de lanzar ataques DDoS

Opinión de GN⁺

  • Es útil para analizar patrones de ataque y diseñar estrategias de defensa a través de un honeypot.
  • Queda claro que usar nombres de usuario y contraseñas predeterminados es muy riesgoso.
  • Los dispositivos IoT y los routers son especialmente vulnerables, por lo que se debe reforzar su configuración de seguridad.
  • El malware como los mineros de criptomonedas desperdicia recursos del sistema y genera amenazas de seguridad.
  • Se requiere monitoreo continuo y actualizaciones para prepararse ante nuevas amenazas de seguridad.

Lecturas relacionadas

3 comentarios

 
nullptr 2024-06-17

Había muchas veces 345gs5662d34, así que lo busqué y encontré una explicación de que supuestamente significa password en cierto teclado ( https://isc.sans.edu/diary/Common+usernames+submitted+to+honeypots/… ), aunque no estoy seguro...
 
cosine20 2024-06-17

Tal vez dé una sensación un poco como de votmdnjem (contraseña).
 
GN⁺ 2024-06-17
Opiniones en Hacker News

  • Autoalojamiento de servidor de correo y análisis de logs del firewall: Configuró scripts para bloquear tráfico anómalo y bloqueó redes de escáneres de empresas de seguridad en internet, reduciendo en más de 50% el tráfico innecesario.

  • Problemas de seguridad tras reactivar el inicio de sesión con contraseña: Después de habilitar temporalmente el acceso con contraseña, se produjeron miles de intentos de inicio de sesión, y se confirmó que la mayoría provenían de China.

  • Visualización de escáneres: Visualizar la ubicación y el ASN de los escáneres ayuda a comprender mejor la situación. Los proveedores de VPS con procesos de verificación estrictos ayudan a reducir la actividad de escaneo.

  • Configuración de seguridad de SSH: Recomiendan cambiar el puerto, desactivar la autenticación por contraseña y permitir solo usuarios específicos para reforzar la seguridad del servidor SSH.

  • SSH usando solo autenticación por clave pública: Si solo se usa autenticación por clave pública, herramientas adicionales de seguridad como fail2ban no ayudan demasiado, y se recomienda una capa extra de defensa como una VPN.

  • Bloqueo de IPs de China: Como la mayoría de los intentos de inicio de sesión por SSH provienen de China, bloquean las IPs chinas y las desbloquean temporalmente cuando es necesario.

  • Experiencia operando un servidor FTP anónimo: Comparte la experiencia de haber operado un servidor FTP anónimo a inicios de los 2000, desde el cual era fácil conseguir el software crackeado más reciente.

  • Aspecto positivo de alojar tu propio servidor: Todo lo expuesto a internet será objetivo de alguien que intente abusar de ello, por lo que es importante profundizar la comprensión sobre seguridad.

  • Comando desconocido lockr: No se encuentran referencias al comando lockr, y se ha observado principalmente en malware ejecutándose junto con el comando chattr.

  • Routers MikroTik y actividad de atacantes: Aprovechando la función de DNS en la nube de los routers MikroTik, los atacantes consultan las entradas de DNS dinámico del router para poder seguir accediendo incluso cuando cambia la dirección IP.