Ce que l’on observe en exploitant un honeypot SSH pendant 30 jours

 (blog.sofiane.cc)
12 points par GN⁺ 2024-06-17 | 3 commentaires | Partager sur WhatsApp
  • Honeypot : dispositif qui détecte et enregistre les tentatives d’intrusion d’un attaquant dans un système
    • Honeypot SSH : honeypot ciblant SSH
  • Résultats de l’exploitation d’un honeypot SSH pendant 30 jours
    • Un total de 11 599 tentatives de connexion a été observé sur 30 jours, soit une moyenne de 386 tentatives par jour
    • Les noms d’utilisateur les plus utilisés étaient root, 345gs5662d34, admin, pi, etc. Parmi les autres : ubuntu, ubnt, support, user, oracle, etc.
      • 345gs5662d34 pourrait être l’identifiant par défaut du téléphone IP Polycom CX600.
    • Les mots de passe les plus utilisés étaient 345gs5662d34, 3245gs5662d34, admin, 123456, password, etc.
  • L’analyse des commandes exécutées après connexion a révélé les activités suspectes suivantes :
    • Commandes les plus exécutées
      • echo -e “\x6F\x6B” : 6 775 fois
      • cd ~; chattr -ia .ssh; lockr -ia .ssh : 1 016 fois
      • uname -s -v -n -r -m : 320 fois
    • Tentative de collecte d’informations système avec la commande uname -s -m après exécution du script oinasf
    • Tentative d’attaque contre des routeurs MikroTik via la commande ./ip cloud print
    • Installation du mineur de cryptomonnaie mdrfckr et arrêt des autres processus de minage
    • Tentative de diffusion d’un malware pour architecture MIPS (visant principalement les routeurs et les appareils IoT)
    • Exécution du script Sakura.sh, qui fait partie du malware Gafgyt (BASHLITE)
      • Gafgyt est un botnet qui infecte les appareils IoT et les systèmes Linux, avec des capacités telles que les attaques DDoS
      • Il cherche à prendre le contrôle des appareils à l’aide de mots de passe faibles ou par défaut, ainsi que de vulnérabilités connues
      • Présent depuis 2014, il a évolué en plusieurs variantes capables de lancer des attaques DDoS

L’avis de GN⁺

  • Utile pour analyser les schémas d’attaque et élaborer des stratégies de défense via un honeypot.
  • Cela montre qu’utiliser des noms d’utilisateur et mots de passe par défaut est extrêmement risqué.
  • Les appareils IoT et les routeurs sont particulièrement vulnérables, il faut donc renforcer leurs paramètres de sécurité.
  • Les malwares comme les mineurs de cryptomonnaie gaspillent les ressources système et créent des menaces de sécurité.
  • Une surveillance continue et des mises à jour sont nécessaires pour faire face aux nouvelles menaces de sécurité.

À lire aussi

3 commentaires

 
nullptr 2024-06-17

Comme 345gs5662d34 apparaissait souvent, j’ai cherché et j’ai vu une hypothèse selon laquelle cela voudrait dire « password » sur certains claviers ( https://isc.sans.edu/diary/Common+usernames+submitted+to+honeypots/… ), mais je n’en suis pas certain...
 
cosine20 2024-06-17

On dirait un peu quelque chose comme votmdnjem (mot de passe).
 
GN⁺ 2024-06-17
Avis sur Hacker News

  • Analyse des logs de pare-feu et d’un serveur mail auto-hébergé : mise en place de scripts pour bloquer le trafic anormal, avec blocage des réseaux de scanners de sociétés de sécurité Internet afin de réduire de plus de 50 % le trafic inutile.

  • Problèmes de sécurité après la réactivation de la connexion par mot de passe : après avoir brièvement réactivé la connexion par mot de passe, des milliers de tentatives de connexion ont été observées, dont la plupart provenaient de Chine.

  • Visualisation des scanners : visualiser l’emplacement et l’ASN des scanners permet une meilleure compréhension. Les fournisseurs de VPS ayant des procédures de vérification strictes aident à réduire l’activité des scanners.

  • Paramètres de sécurité SSH : il est recommandé de changer le port, de désactiver l’authentification par mot de passe et de n’autoriser que certains utilisateurs pour renforcer la sécurité du serveur SSH.

  • SSH utilisant uniquement l’authentification par clé publique : si l’on utilise uniquement l’authentification par clé publique, des outils de sécurité supplémentaires comme fail2ban n’apportent pas une grande aide, et une couche de défense supplémentaire comme un VPN est recommandée.

  • Blocage des IP chinoises : comme la plupart des tentatives de connexion SSH proviennent de Chine, les IP chinoises sont bloquées puis débloquées temporairement si nécessaire.

  • Expérience d’exploitation d’un serveur FTP anonyme : partage d’une expérience du début des années 2000 où l’exploitation d’un serveur FTP anonyme permettait d’obtenir facilement les derniers logiciels crackés.

  • Aspects positifs de l’auto-hébergement de serveurs : tout ce qui est exposé à Internet finira par faire l’objet de tentatives d’exploitation, d’où l’importance de mieux comprendre la sécurité.

  • Commande inconnue lockr : aucune référence à la commande lockr n’a été trouvée ; elle est surtout observée comme étant exécutée par des malwares avec la commande chattr.

  • Routeurs MikroTik et activité des attaquants : en utilisant la fonction cloud DNS des routeurs MikroTik, les attaquants vérifient l’entrée DNS dynamique du routeur afin de pouvoir continuer à y accéder même en cas de changement d’adresse IP.