sábado, octubre 27, 2018

El experimento del HoneyPot en Internet de @elevenpaths: SIP & SSH under attack

Nuestros compañeros de la unidad de ciberseguridad de ElevenPaths tienen siempre un oído en la red. Nuestro servicio de CyberThreats se basa precisamente en eso, en saber qué es lo que está pasando en Internet para poder ayudar a nuestros clientes a tener algo de anticipación ante las posibles amenazas y ataques.

Figura 1: El experimento del HoneyPot en Internet: SIP & SSH under attack

Entre las cosas que se hacen en la unidad, existen proyectos de HoneyPotting, es decir, de poner servidores falsos con herramientas de "deception" o engaño, que se dejan atacar para ver qué es lo que se está explotando o probando en Internet.  Los últimos resultados, solo como forma de hacer una actualización y puesta al día los han publicado en un informe que puedes obtener y leer en SlideShare.


Entre lo más destaco, es digno de resaltar los siguientes puntos que han publicado en el blog de ElevenPaths como resumen del informe total.
  • SIP es un protocolo muy abusado en la red. Se buscan servidores vulnerables para atacar o realizar ataques a través de ellos. La herramienta más utilizada para conseguirlo es SIP Vicious, detectable por su user-agent "friendly-scanner" y con el método OPTIONS. Las direcciones IP vienen principalmente de Francia. 
  • SSH, con más de 36.000 peticiones (2.560 direcciones únicas), es el protocolo del que más tráfico se ha recibido con diferencia. Estados Unidos lidera la lista de países de origen del tráfico SSH recibido. Le sigue China y a menor distancia Holanda, Vietnam, India, Francia y Rusia. 
  • En los ataques contra servidores SSH, no se está buscando un ataque por fuerza bruta que agote por completo un diccionario de contraseñas habituales. Lo que los atacantes de este servicio buscan es el servicio mal configurado o por defecto, probando un puñado de combinaciones de contraseñas y usuarios conocidos.
  • Los usuarios intentados más repetidos son ‘root’ y ‘admin’ son, con diferencia, seguidos a distancia por ‘user’ y ‘pi’, ‘test’, ‘ubnt’, ‘guest’ o ‘ftpuser’. 
  • El tráfico restante lo componen protocolos comunes: DNS, HTTP, SNMP y algunos curiosos para Internet como DHCP.
Llaman la atención los ataques a sistemas de VoIP, algo que en muchas empresas quizá no se le presta todavía la atención necesaria. De hecho, muchos de los ataques SIP están enunciados en el informe son ampliamente conocidos y están descritos al detalle en el libro que escribió José Luis Verdeguer a.k.a. "pepelux" sobre Hacking y Seguridad VoIP.

Figura 3: Ataque SIPvicious y huella en hnneypot

Otro de los puntos destacados ha sido la cantidad de ataques SSH de todo tipo, desde ataques de Default Passwords, ataques de fuerza bruta, y, como no, actividad que en algún caso pudiera ser incluso relativa a la pruebas con el bug de Libssh del que os hablamos en el blog de ElevenPaths. La recomendación es que si tienes un servicio SSH te leas este artículo de My SSH en Paranoid Mode donde te damos algunos consejos para poner medidas de protección extra contra este tipo de vulnerabilidades en el futuro. En el libro de Hardening GNU/Linux también tienes recomendaciones para fortificar el sistema completo en caso de ser un servidor basado en kernel Linux.

Figura 4: User_Agents bots SSH

Los User-Agents de los bots más utilizados los tenéis en una tabla, y en el informe podéis ver qué tecnologías de bots se utilizan más a menudo, destacando el uso de Python como lenguaje más utilizado.

Figura 5: Ataques de países por direcciones IP

Por último, desatar la "ciberparanoia", hemos analizado la procedencia de los ataques, y aunque la mayor parte de los ataques proceden de USA, si se clasifican por direcciones únicas, el gráfico pone a China en cabeza. Pero eso no quiere decir nada, o puede decir algo, o mucho, o solo es un intento de suplantar y simular algo...o quién sabe.

Figura 6: Security Innovation Day 2018

Si quieres saber más cosas, recuerda que el próximo 7 de Noviembre en Madrid tienes una cita con todo el equipo de ElevenPaths en nuestro evento por excelencia, el Security Innovation Day. Reserva tu plaza cuanto antes.

Saludos Malignos!

No hay comentarios:

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares