Kdo nám šťourá do Turrisího SSH honeypotu

Turrisí SSH honeypoty rozhodně nezahálí. Momentálně je aktivních 168 honeypotů, které denně zaznamenají mezi 1000 až 2000, někdy i 5000 SSH sessions obsahující alespoň jeden příkaz.

Přihlášení je povoleno na uživatelská jména „root“ a „admin“ (libovolné heslo). Napsal jsem si jednoduchý skript, který nejběžnější chování klasifikuje, následně udělá statistiku a neznámé sessions vypíše. Obsah typického 1000 SSH sessions vypadá asi následovně:

  • 77 Mayday.f DDoS bot – pokus o instalaci
  • 17 Ganiw DDoS bot – pokus o instalaci
  • 727 získávání statistik (uname, ifconfig, velikost paměti, atd.)
  • 66 pokus o exfiltraci dat, které by měl bot schraňovat
  • 7 WinSCP
  • 2 shell bot dropper (dotahává další malware)

Zbytek jsou relativně unikátní sekvence příkazů, přičemž někdy se chytí i skuteční lidé. Lze to poznat i podle toho, jak rychle umí „bušit“ příkazy do systému – skript to tam vysype hned, člověku to chvíli trvá. Živí útočníci většinou instalují trojany nebo IRC boty. V některých případech je kód tak starý, že používá altavistu pro vyhledávání. Z nějakého důvodu preferuje US, IT a DE altavistu.

Boty a trojany se občas snaží trochu obfuskovat tím, že si změní jméno nebo mají jméno něčeho nevinného – třeba bash nebo crond.

Získávání statistik může znamenat, že si útočník vybírá dostatečně vhodný stroj (např. chce odfiltrovat SOHO routery) nebo se snaží rozeznat honeypot. Kód útočníkova skriptu nemáme k dispozici, takže to nelze s určitostí poznat.

Další kategorie útočníků je finančně motivovaná a hledá peněženky pro různé kryptoměny.

Perličky

Kromě borce snažícího se instalovat 15 let starého IRC bota, se zřídka vyskytnou i jiní ztracení jedinci. Jeden takový chtěl například nainstalovat audioserver pro internetové rádio (ShoutCast).

Pár dalších se snažilo nainstalovat Steam a v něm pustit CounterStrike server. Další zas marně hledal nějaké nainstalované hry.

Poslední viděný „script kiddie“ se snažil doinstalovat kompilátor s development verzemi knhoven a bůh ví co přeložit. Nakonec to vzdal; frustrovaně se snažil odhlásit příkazy exit, exit, exit, quit, logout, při tom viděl, že se pořád odhlásit nemůže (taková trochu divná vychytávka toho honeypotu – nikoho to nenachytá, ale pár lidí to frustruje :-) ).

Autor:

Komentáře (7)

  1. Lukas říká:

    Tak čekal jsem větší účast, ale většině lidí šlo asi jen o router zdarma:-(

  2. Pavel Riedl říká:

    Taky mi ta slabá účast vrtá hlavou. Osobně bych si připadal jako bídák to nezapnout. No, asi jsme z výroby každý nastavený jinak.

  3. Martin Žák říká:

    Počet je pro mě velké zklamání.
    Myslím že Turris team se docela snaží, ale když vidí ten malý zájem, musí to být frustrující. Lidi, sakra, oni to dělají pro nás.

  4. Dimsi říká:

    Je skoda, ze Turris team to u vsech plosne nezapnul. Mozna by melo probehnout druhe kolo emailu. Treba za 3 mesice, maskovane jako report o prinosech honeypotu:)
    Kdybych to na svem Turrisu neudelal hned pri cteni, zpetne bych na to uz zapomnel (nemit twitter urcite).

  5. Ondrej Mikle říká:

    Mně účast naopak nepřijde špatná. Jednak člověk musel o možnosti zapnout honeypot vědet a druhak musel podniknout manuální nastavování – upravovat firewall kvůli již existujícímu ssh daemonu.

    Zapnout to plošně není moc dobrý nápad. Myslím, že by nikdo nebyl nadšen, kdyby se bez varování místo původního ssh daemonu najednou hlásil do honeypotu.

  6. Tomáš říká:

    Jsem jeden z těch, co honeypot ještě nepovolili. Chtěl jsem, když jsem měl chvilku, ale Forris při pokusu cokoliv uložit padá na hubu. Od té doby běžím v „nouzovém“ režimu a nemám čas nejen na Turris :(
    Jinak patřím k těm, kteří nechtěli Router zadarmo, ale takový, o nějž se jeho tvůrce * opravdu * stará. A ten mám a jsem za to rád. Děkuji!

  7. Broier říká:

    Tak ja ho jeste zaply taky nemam protoze jsem na to uplne zapomel ale asi hned jak se dostanu domu tak pujde :D

Zanechte komentář