Escolar Documentos
Profissional Documentos
Cultura Documentos
Rede Nacional de Ensino e Pesquisa - RNP Centro de Atendimento a Incidentes de Segurana - CAIS
Dezembro de 2005
Sumrio Motivao Desenvolvimento da ferramenta Dados capturados Tratamento de incidentes Anlise de ferramenta brutessh Concluses Recomendaes Prximos passos
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
Motivao
Registros de ataques a partir de Agosto de 2004 SANS ISC. Servidores SSH muito utilizados para acesso remoto em sistemas UNIX e equipamentos de rede. Inexistncia de ferramentas para captura de informaes Standalone e Honeypots. Servio Criptografado Dificuldades na captura de informao em trnsito (ex: tcpdump, snort). Logs do prprio servidor SSH e assinaturas do snort (bleeding snort) como nica forma de deteco atualmente. Registros de ataques bem-sucedidos Existncia de senhas fracas. SSH Remote Root password Brute Force Cracker Utility 20/08/2004: http://www.frsirt.com/exploits/08202004.brutessh2.c.php
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
Motivao (2)
Responder algumas perguntas: De onde vem os ataques? Qual a mdia de ataques por dia? Quantas tentativas de autenticao por IP? Quais os usurios e senhas mais atacados/utilizados? Existem ferramentas automatizadas (worm)? Quais os passos do atacante aps conseguir um shell? Qual o nvel de inteligncia dos dicionrios utilizados?
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
Ferramenta de Captura
Modificao do prprio servidor SSH 1a verso Autenticao desabilitada Funcionamento inetd (honeyd) ou standalone add default tcp port 22 fakesshd -i -f fakesshd_config -w $sport -z $ipsrc" Registro em log parte das informaes coletadas: Tue Jun 14 06:39:41 2005: Connection from XXX.XXX.XXX.XXX port YYYY Tue Jun 14 09:31:14 2005: Authentication attempt (SSHv2) ! User: XXXXXX Password: XXXXXXX
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
Ferramenta de Captura
2a verso Captura de comandos Autenticao aleatria baseado em probabilidade Especificao de um shell alternativo independente do shell definido no sistema Registro em log: Thu Aug 11 00:31:14 2005: Authentication attempt (SSHv2) ! User: XXXXXX Password: YYYYYYYY Thu Aug 11 00:31:14 2005: User authenticated ! Dice: 15.213012 Probability: 40 Log de sesses de comandos em arquivo independente
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
Captura de Dados
Janela de Captura: 10/06/2005 a 09/07/2005 Coleta atravs de dois honeypots (duas classes C) Autenticao desabilitada (1a verso) Estatsticas: . 71992 conexes . 132 endereos IP distintos . 39949 tentativas de autenticao
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
Captura de Dados
Autenticaes
Captura de Dados
Usurios mais atacados Senhas mais usadas
root apache test admin guest webmaster aaron aakarshan mysql oracle
10733 2226 1261 758 353 272 242 236 212 210
admin root test 123456 server password administrator apache qwerty webadmin
913 884 743 732 591 467 385 346 282 279
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
Captura de Dados
Pares (usuario/senha) mais usados
root test root root admin root root root guest root
root test server admin admin 123456 root1 qwerty guest administrator
829 655 566 418 360 288 261 259 254 251
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
10
Captura de Dados
Curiosidades Tentativas de usurios e senhas em portugus, espanhol e japons Tentativas de senhas com nomes de software e jogos, como debian, fedora, counterstrike, frozenthrone, worldofwarcraft. Tentativas de senhas de teste como 123456, password, qwerty, q1w2e3r4, 1q2w3e, !@#$%, $changeme$, test123. Tentativas de acesso usando um usurio: # e uma senha: ::::: Scanner of SSH Service Brute Force - 2005 Version! ::::: # Maior parte das senhas em minsculas Presena de diversos scans em uma classe C inteira Maioria dos ataques proveniente dos EUA
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
11
Tratamento de Incidentes
Obteno diria de dados referentes a tentativas de conexo e de autenticao Endereo IP do atacante AS correspondente Timestamp da primeira tentativa no dia Obteno diria das senhas usadas e a quantidade Repasse dos incidentes referentes ao backbone da RNP para o sistema de tratamento de incidentes Repasse dos incidentes restantes para as entidades externas responsveis Dicionrio de senhas utilizadas em ataques brute force
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
12
Tratamento de Incidentes
Senhas em japons
Japanese First Name (female) Japanese First Name (male) aki ayame saki kiku shiori ai hotaru miho ryuu ryouta kenichi katsuro akiko junko hitomi natsumi keiko mai akira kenji ken kazuo jiro goro kazuya chikako misaki kasumi aiko chika takumi daiki naoki jun hanzo kenta etsuko mil kazuko nanami hiroko hanako hachiro katsuo kazuki daisuke hiroshi monoko miki haruka hikari haruko hideaki kichiro naoto kouhei katsu takuya isamu souta ichiro kenshin takahiro daichi hikaru akio akemi kaede izumi momoko emi aya hotaka
Estatsticas at 2/12/2005: 10261 usurios distintos 13646 senhas distintas 17906 pares distintos
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
13
tc-vmware:~# ./sc 172 22 16 203 [+] found 172.16.203.128 [+] continuing scan ... [+] found 172.16.203.130 [+] continuing scan ... [+] found 172.16.203.136 [+] continuing scan ... tc-vmware:~# more ipfile 172.16.203.128 172.16.203.130 172.16.203.136
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
14
15
16
17
18
Concluses
Ataques de fora bruta a servidores SSH ocorrendo em larga escala Dicionrios sendo utilizados com senhas em diversas lnguas e senhas bvias Muitas tentativas de ataque ao usurio root Aparente inexistncia de worms realizando este tipo de ataque Ataques manuais: Scan de classes e gerao de listas de IP com servidores SSH Tentativa de autenticao nos servidores da lista Acesso aos servidores comprometidos
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
19
Recomendaes
Mudar o servidor SSH de porta Utilizar mtodos de autenticao mais fortes (RSA) Auditar senhas dos usurios Utilizar regras para impedir utilizao de senhas fracas Utilizar filtros de pacotes (firewall) PermitRootLogins = no Monitorar as conexes ao servidor SSH (logs)
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
20
Prximos passos
Realizar captura de comandos Implementar alguns comandos mais utilizados no shell falso (w, uptime, wget, cd, ls, pwd) Utilizar implementao falsa de wget e ftp para obter cpia de programas baixados pelos atacantes Simular outros servidores SSH (roteadores, etc) Sensores em honeypots acadmicos Gerar uma base de senhas utilizadas neste tipo de ataque Notificar os envolvidos
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
21
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
22
Rede Nacional de Ensino e Pesquisa Promovendo o uso inovador de redes avanadas no Brasil
23