Botnet z napadených routerů

V rámci projektu Turris připravujeme v nejbližší době několik rozšíření, která umožní uživateli aktivně se podílet na detekci síťových útoků. První z novinek, kterou si blíže popíšeme v některém z budoucích článků, tvoří SSH honeypot, který umožňuje útočníka polapit do virtuálního prostředí a sledovat jeho akce a úmysly. Druhá novinka je o něco méně ambiciózní, ale zato jednodušší, elegantní a přesto velice užitečná. Jedná se o koncept, kterému říkáme interně „minipot“, tedy jakýsi miniaturní honeypot. Ten narozdíl od běžného honeypotu, který vpustí dovnitř každého s libovolným heslem a poté sleduje, co dělá, naopak dovnitř nikoho nepustí (ve skutečnosti ani není kam), ale pouze sleduje, jaká jména a hesla bude útočník zkoušet.

Byť tento přístup zdánlivě nepřináší mnoho nových informací, je velice užitečný. Prvním z jeho pozitiv oproti např. sledování firewallových logů je, že si můžeme být do značné míry jisti nekalými úmysly útočníka. Druhým je, že nám používaná hesla umožňují udělat si obrázek o tom, jak útočníci pracují. Třetím je zajímavá možnost hledat podle zkoušených jmen a hesel podobnost mezi útočníky.

Protože se ukázalo, že tato analýza je zajímavá už při použití malého množství routerů, které máme zapojené v testování nových vydání, rozhodli jsme se zveřejnit některé výsledky již nyní. Lze předpokládat, že s nasazením ostatním uživatelům se údaje výrazně rozšíří a zpřesní.

Informace, že většina útočníků zkouší kombinaci jména a hesla root/root nebo admin/admin asi nikoho nepřekvapí. U kolika útočníků byste ale například tipovali, že budou zkoušet třeba heslo „J8UbVc5430“? Možná jeden, spíš žádný? A co když se ukáže, že jich je přes 100? To už může vést člověka k zamyšlení a s příslušnými nástroji i k zajímavé analýze.

V našem případě jsme použili metodu známou jako „kosinová podobnost“, která se používá například při zjišťování podobnosti textů. Pomocí té jsme identifikovali skupiny velice podobně se chovajících útočníků. Zjistili jsme, že seznamy zkoušených kombinací jména a hesla jsou opravdu pro některé skupiny útočníků totožné a lze tedy usuzovat, že jsou v rukou stejného člověka a nebo využívají stejný nástroj. Asi nejzajímavější byla skupina 121 rozdílných IP adres (číslo z 22.5.2015, kdy byl článek vytvořen), jejíž slovník hesel obsahoval kromě zmíněného hesla „J8UbVc5430“ také např. „0xyaa1234“ nebo „biyshs9eq“.

Zastoupení hesel

To nás zaujalo a snažili jsme se dál pátrat po stopách této zvláštní skupiny útočníků. Jedna ze záhad, tedy odkud se berou zvláštní testovaná hesla, se vyřešila, když se ukázalo, že se mnoho z těchto hesel vyskytuje na Internetu v různých dokumentech obsahujících seznamy uniklých hesel z úspěšných útoků. Zjištění, co mají společného útočící adresy, bylo trochu náročnější. Nejprve jsme si udělali analýzu sítí a zemí, ze kterých pocházejí, ale nenašli jsme nic obzvlášť překvapivého. Teprve s využitím služby shodan.io, která poskytuje mnoho dalších informací o dostupných IP adresách, jsme narazili na zajímavou spojitost. Ukázalo se, že na téměř všech útočících adresách je domácí router od ASUSu. Navíc z řad, u kterých bylo v minulosti několikrát publikováno, že obsahují bezpečnostní díry (Arstechnica 2014, Securityweek 2015).

Zastoupení zemí

Zastoupení zařízení

Když k této informaci přidáme ještě zjištění, že routery zkoušejí hesla vždy ve stejném pořadí a někdy přidají další heslo v takřka stejnou dobu, můžeme s velkou jistotou říci, že se jedná o část botnetu tvořeného napadenými routery, který je pod kontrolou jediného útočníka. Vzhledem k tomu, že se jedná pouze o vzorek dat na málém počtu zařízení za pár dní, je asi ještě brzy na závěry o rozsahu tohoto botnetu. Situaci budeme určitě dále sledovat a doufáme, že se nám podaří získat více informací v okamžiku, kdy tuto službu nasadíme i na routery Turris v běžném použití.

V mezičase bych rozhodně upozornil na to, že četnost pokusů o napadení routeru s veřejnou IP adresou a přístupným telnetem je cca jednou za 3 minuty. Pokud tedy zařízení s výchozím přihlášením root/root a otevřeným telnetem vystavíte na Internet, nestihnete možná ani heslo změnit, než vám někdo pod rukama nainstaluje na router backdoor.

Můžeme jen doufat, že výrobci se již poučili a takovouto zásadní bezpečnostní díru v nových systémech nemají. A také, že uživatelé si ji neotevřou dobrovolně sami při hraní s neznámými položkami nastavení :).

Aktualizace 2015-05-25 7:30: Přes víkend se počet zachycených unikátních IP adres, které zkoušely výše uvedená hesla, zvýšil na 183.

Autor:

Komentáře (5)

  1. DJ říká:

    Taky se mi o to pokoušel někdo z Číny na NAS server tímhle způsobem. Aspoň jsem zamezil IP z téhle části světa :D

  2. Pavel K. říká:

    Hodne by mne zajimalo, co po vniknuti do honeypotu zacne bot vyvadet…. Nezkusite botnetum podstrcit komplet virtualniho prostredi?
    P.

    • Bedřich Košata říká:

      Už na tom pracujeme. Jakmile budeme mít nějaké další podrobnosti, budeme o tom informovat.

  3. Martin P. říká:

    Docela škoda že v seznamu se objevují routery postavené údajně na OpenWRT.

    Co je ale uklidňující, penetrace těch routerů nebude taková. Patří totiž k nejdražším. A mezi lidmi naopak „vedou“ ty nejlevnější .

  4. Rumburak říká:

    takže se začíná rozjíždět průmyslový cracking ve velkém stylu, jak sem pochopil a to zcela legálně, jo j..o pohodička.* příště, až budu chtít vědět co je ve světě za novinky, tak místo netu hezky doma si udělám pochod 500 kiláků někam na druhý konec republiky, někam do lesa, cestou nikoho nepotkat a.. ale jinak dík za info. Jinak mi nejde do hlavy, že té verzi zaměřující se na ty zlé fakt věříš. Anebo to musíš hrát, nicméně tímhle způsobem ti pochitají mladé ratolesti, co se nudí na tech. středních a profící budou mít zase lepší nástroj a to zcela grátis.

Napsat komentář: Martin P. Zrušit odpověď na komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..