Mitä tapahtuu hunajapurkilla?

Vanha tarina kertoo, että verkkoon kytketty suojaamaton Windows XP -kone saastuu minuuteissa. Nykyään sama aika menee huonolla salasanalla varustetulta Linux-palvelimella. F-Securen State of Cyber Security 2017 –julkaisun mukaan useimmin hyökkäykset kohdistuvat http-, smtp- ja https-palveluihin (portit 80, 25 ja 433).

Tässä artikkelissa käytettiin Cowrie-nimistä hunajapurkkia, joka simuloi Debian-käyttöjärjestelmää päästäen kaikki ssh:n (portti 22) kautta root-käyttäjänä tunnistautuvat käyttäjät sisään millä tahansa salasanalla. Kyseinen hunajapurkki voisi näin ollen olla mikä tahansa oletussanasanalla tai muuten huonolla salasanalla varustettu IOT-laite tai vähäarvoinen Linux-palvelin.

Useimmiten käytetyt salasanat olivat suoraan salasanalistoista, mutta myös lyhyitä noin kahdeksan merkin mittaisia satunnaisia salasanoja ilmaantui. Hyökkääjien ja hyökkäyskohteiden IP-osoitteet olivat rekisteröity suurimpiin kybertoimijoihin kuten Kiinaan, Venäjälle, Yhdysvaltoihin ja Saksaan. Hieman eksotiikkaa toi Argentiinasta lähtöisin oleva hyökkäys.

Lyhyen havaintoajan aikana kirjautumisyrityksiä tuli useamman kerran tunnissa ja hunajapurkkia yritettiin käyttää kolmeen eri tarkoitukseen:

  • palvelunestohyökkäykset
  • hajautettu tiedustelu
  • haavoittuvuuksien hyväksikäyttö

Palvelunestohyökkäykset

Päivittäin toistui kuvio, jossa käyttäjä root-tunnuksella kirjautumisen jälkeen latasi scriptin, joka:

1. pyrki pääsemään kansioihin kuten /tmp, /var/run, /mnt, /root

2. latasi ddos-ohjelman ja antoi sille järjestelmätyökalun nimen kuten sshd, ntpd, openssh, wget

3. myönti ddos-ohjelmalle suoritusoikeudet

4. ajoi ohjelman ja poisti sen

 

 Tämä tapaus latasi ddos-haittaohjelman yhdysvaltalaiselta palvelimelta. IP-osoitteen loppuosa on peitetty.

Hunajapurkki tallentaa kaikki ladatut tiedostot omaan hakemistoonsa, josta tiedoston tiivisteen eli hashin perusteella VirusTotal-palvelusta selviää, että tiedosto on a21jj-niminen palvelunestohyökkäykseen käytettävä linux-trojalainen eli lähes internetin pysäyttyneen Mirai-botnetin jälkeläisiä.

Tavalliselle palvelimelle olisi jäänyt tieto käynnissä olevasta ntpd-nimisestä ohjelmasta ja kukapa nyt järjestelmän omia palveluita haluaisi pysäyttää?

Hajautettu tiedustelu

Yksi yleisimmistä tavoista tiedustella haavoittuvuuksia on käydä läpi yleisimpiä verkko-osoitteen polkuja esimerkiksi /checkout.php, /exchange/lib/JSUTIL.INC tai /forum/admin/wwforum.mdb. Kun yhtä uhria havainnoidaan useasta eri lähteestä on tiedustelua paljon vaikeampi havaita.

 

 

 

Ylläoleva taidonnäyte kolkuttelee /proxy.php-polkua. IP-osoitteiden loppuosat on peitetty.

Haavoittuvuuksien hyväksikäyttö

Muun muassa Playstation Networkkiin ja useiden IP-osoitteiden eri portteihin kohdistui ajoittain hunajapurkin kautta uudelleenohjattuja haavoittovuuksien hyväksykäyttöyrityksiä, josta eräästä näyte alla.

 

 

 

 

 

 

Hunajaa tuotantoon

Hunajapurkkeja voidaan käyttää paitsi hyökkäyksien tutkimiseen myös yhtenä sensorina tuotantoverkossa. Tuotantoon asennettuun hunajapurkkiin ei pitäisi normaalisti olla juurikaan liikennettä, joten vääriä hälytyksiä ei pitäisi juurikaan tulla. Esimerkiksi teollisuuden ohjausjärjestelmiä ei juurikaan haluta päivittää. Ohjausjärjestelmiä pyörittäville palvelimille uusien ohjelmien asentaminen ei usein tule kysymykseenkään.

Jyrki Luukko
@JyrkiLuukko
Cyber Intelligence Architect
Combitech Oy