Мы рас­смот­рим ата­ки по нес­коль­ким про­токо­лам: SSH — как наибо­лее популяр­ный, Telnet, рас­простра­нен­ный в мире IoT, и FTP, куда ломят­ся, что­бы залить шелл для даль­нейшей ата­ки или заразить исполня­емые фай­лы. На один толь­ко SSH за вре­мя тес­та к нам пос­тучались 986437 раз.

Читайте также:   Кто стоит за "Инвестохиллс Веста", атакующей украинские промпредприятия?
Особенности украинского инвестрынка: как финкомпании зарабатывают, убивая промышленность - андрей волков веста ...

Для чего используют чужие машины

Со взло­ман­ного «умно­го» устрой­ства мож­но ата­ковать осталь­ную сеть, про­водить DDoS, май­нить крип­товалю­ты, слать спам и занимать­ся более изощ­ренны­ми вещами вро­де DNS poisoning или перех­вата тра­фика.

Час­то зло­умыш­ленни­ки под­нима­ют на зах­вачен­ных машинах прок­си‑сер­веры. Это ходовой в теневой час­ти интерне­та товар, даже при бег­лом поис­ке мы наш­ли нес­коль­ко десят­ков пред­ложений. При этом обыч­но прок­си про­дают­ся по под­писке, а не разово.

Сред­ний цен­ник за 100 штук – поряд­ка 25 дол­ларов, но рос­сий­ские прок­си ценят­ся куда дешев­ле – око­ло 12 дол­ларов. За элит­ные прок­си в одни руки хотят по 3-4 дол­лара за IP, при этом рас­ходят­ся они все рав­но как горячие пирож­ки. Видимо, для пос­тоян­ных кли­ентов пре­дус­мотре­ны скид­ки, не заяв­ленные пуб­лично.

Подготовка

Мы уста­нови­ли ханипо­ты на два сер­вера. Пер­вый изна­чаль­но для это­го иссле­дова­ния не пред­назна­чал­ся, так что часть ста­тис­тики с него не вклю­чает пароли. На вто­ром сер­вере сра­зу были ханипо­ты.

В какой‑то момент стан­дар­тный SSH мы перенес­ли на порт 404 («404 SSH Service Not Found», ага) на обо­их сер­верах, а штат­ный 22 порт занял ханипот. Но ни один бот его пос­ле это­го не нашел. Как видишь, заез­женная рекомен­дация перено­сить SSH на неожи­дан­ные пор­ты име­ет смысл, осо­бен­но ког­да 22 порт открыт, но не пода­ет виду, что нуж­ный сер­вис есть где‑то еще.

Вы­бор­ка в ито­ге получи­лась неболь­шая, поэто­му мы рас­ширили ста­тис­тику, про­ана­лизи­ровав логи со взло­ман­ных ботов.

Где брать ханипоты

Вот сами ханипо­ты, которые мы исполь­зовали для раз­ных про­токо­лов. Естес­твен­но, сущес­тву­ет мно­жес­тво дру­гих решений, в том чис­ле ком­мерчес­ких, но их перечис­ление и срав­нение — тема для отдель­ной статьи.

telnetlogger

• 
  
• robertdavidgraham/telnetlogger
• 
  

Прос­той Telnet лог­гер, в лог пишет прос­то пары логин‑пароль. IP-адре­са тоже записы­вают­ся, но в сосед­ний файл и без свя­зи с кон­крет­ной парой логин‑пароль, что неудоб­но. Завел­ся сра­зу и лиш­них нас­тро­ек не тре­бует.

SSH Honeypot

• 
  
• droberson/ssh-honeypot
• 
  

За­писы­вает в лог IP, логин и пароль. Каж­дая запись помеча­ется вре­мен­ной мет­кой, чего в Telnet лог­гере нет. Информа­цию о вре­мени мож­но исполь­зовать, что­бы стро­ить прод­винутые гра­фики, вро­де зависи­мос­ти интенсив­ности атак от вре­мени суток или дня недели, но делать это мы не будем – нас в дан­ном слу­чае инте­ресу­ет сам факт ата­ки и исполь­зуемые тех­ники.

Пер­вые попыт­ки перебо­ра появи­лись уже через 7 секунд пос­ле акти­вации ханипо­та.

[Sun Jan 10 22:40:41 2021] ssh-honeypot 0.1.0 by Daniel Roberson started on port 22. PID 4010913
[Sun Jan 10 22:40:49 2021] 196.*.*.166 supervisor qwer1234
[Sun Jan 10 22:41:16 2021] 59.*.*.186 vyatta 123
[Sun Jan 10 22:41:38 2021] 207.*.*.45 root muiemulta

honeypot-ftp

• 
  
• alexbredo/honeypot-ftp
• 
  

Этим про­токо­лом инте­ресо­вались мень­ше все­го. Воз­можно, это свя­зано с тем, что ханипот для FTP на популяр­ных язы­ках нам най­ти не уда­лось, так что исполь­зовали что наш­ли. Этот ханипот даже при не очень деталь­ном рас­смот­рении «све­тит» тем, что написан на Twisted и тем самым отпу­гива­ет некото­рые бот­неты и не самых тупых ата­кующих.

Теги: CSS