Strumento di attacco ssh Fingerprint

9

Ho notato un elevato volume di tentativi di password SSH sul mio server e ho installato l'honeypot di Cowrie per vedere cosa avrebbero fatto gli attaccanti se avessero effettivamente avuto accesso.

Ho identificato pattern coerenti su molti attacchi che credo siano automatizzati. Immediatamente dopo aver identificato un nome utente / password funzionante, il sistema remoto invia i seguenti comandi, con un ritardo di 4 secondi tra i comandi:

uname
free -m
ps x

quindi il sistema remoto si disconnette.

Un'altra variante invia 2 comandi al secondo, iniziando da quelli 3 e aggiungendo cat /proc/cpuinfo prima di disconnettersi.

Vorrei identificare il framework di strumenti / script / attacchi che esegue questi attacchi automatici. Questo modello di comportamento sembra familiare a chiunque? Ho cercato candidati probabili senza successo.

    
posta gbroiles 23.11.2016 - 06:38
fonte

1 risposta

5

In primo luogo, lo schema di comportamento che stai vedendo è probabile perché il malware ha rilevato che è in esecuzione in un ambiente sandbox. Il conteggio delle CPU per il tuo honeypot dovrebbe essere maggiore di due, se non lo è già, perché la maggior parte del nuovo malware termina automaticamente se sono disponibili due o meno core CPU e i processi del tuo honeypot dovrebbero non essere visibili agli aggressori 'software perché alcuni dei malware scritti meglio controlleranno se honeyd o altri ben noti daemon honeypot sono in esecuzione o installati. Un'opzione facile per limitare la visibilità di process / fs è cercare "firejail" e come configurare i profili personalizzati. Suggerimento: l'output strace può essere analizzato e aggiunto ai profili firejail per nascondere / disabilitare l'elenco del file system host e dei processi in esecuzione.

In secondo luogo, controlla l'esecuzione di una presa di Snort tra l'honeypot e la sua connessione di rete per acquisire e impronte digitali del traffico di rete degli attacchi quasi in tempo reale. Ho avuto fortuna con l'utilizzo di Raspberry Pis per il monitoraggio della rete a basso costo.

Terzo, considera l'utilizzo di hardware dedicato per il tuo honeypot per renderlo più simile a una vittima legittima; termine di ricerca "sistema su un chip" (wiki ha un elenco di produttore ) per opzioni a basso costo disponibili . Quello di Intel è quello che suggerirei per questo perché l'architettura sembra molto vicina al desktop di una vittima legittima.

In quarto luogo, esamina il codice sorgente di Metasploit honeypot per kippo e altri il tuo honeypot è meno rilevabile perché potrebbero esserci altri modi intelligenti in cui gli attacchi stanno rilevando che vengono osservati.

Quinto, checkout di rilevamento di reverse shell metasploit articolo che utilizza" carbon black "per il rilevamento di intrusione dopo honeypot. Fai attenzione a usare gli strumenti per reinserirli; se hai intenzione di provare, fai solo le indagini minime necessarie per identificare i criminali. Anche se ti hanno attaccato prima, è ancora un crimine rimediarli indietro.

    
risposta data 16.12.2016 - 00:33
fonte

Leggi altre domande sui tag