Tento článok vychádza z výskumu, ktorého cieľom bolo zmapovať aktuálne sa šíriace hrozby zamerané na služby systému Windows i na linuxové systémy. Pre získanie povedomia o aktuálne prevládajúcich hrozbách a malware bolo použitých niekoľko honeypotov - teda zraniteľných systémov, ktoré slúžia ako akási návnada pre potenciálnych útočníkov. Nasledujúce riadky sú tak pohľadom a analýzou na zvyčajne masovo sa šíriace elektronické hrozby prostredníctvom internetu.

Celý výskum prebehol v rámci realizácie bakalárskej práce "Matej Zuzčák: Možnosti využití honeypotů a honeynetů při detekci síťových útoků a ochrane sítí LAN," na Prírodovedeckej fakulte Ostravskej univerzity v Ostrave. Za pomoc vďačím mnohým ľudom, z ktorých väčšinu spomínam na konci článku. Výskum pokračuje a už onedlho bude spustená elektronická verzia s určitým typom výstupov v reálnom čase.

Upozornenie: Všetky údaje, výsledky a text v článku sú licenčne chránené a nie je ich možné nijakým spôsobom ďalej modifikovať, používať a šíriť bez písomného súhlasu autora.

Filozofia a topológia honeynetu

V rámci finančných a technických obmedzení, boli v danom čase spustené štyri senzory s nízkou mierou interakcie. Tri Dionaea boli určené na sledovanie útočníckej aktivity pre operačný systém Windows a štvrtý senzor - Kippo bol určený pre základné monitorovanie škodlivých aktivít mierených na systém Linux Debian. Pri tomto type senzorov však skôr nemožno predpokladať (i keď to nemožno ani vylúčiť) detekciu neznámych útokov, či zero-day exploitov. Je to z dôvodu samotného princípu vysokej miery emulácie. Prvý Dionaea senzor bol umiestnený v Ostrave (ČR) v akademickej sieti CESNET. Druhý senzor sa nachádzal v Kysuckom Novom Meste (SR) a pripojený bol do akademickej siete SANET. Tretí senzor bol zriadený na komerčnom virtuálnom privátnom serveri v Prahe (ČR). Senzor skúmajúci útoky na Linux server využívajúci honeypot Kippo bol umiestnený rovnako na komerčnom VPS hostingu v Prahe (ČR). Regióny Česka a Slovenska sú si geograficky, ale i povedomím a mentalitou veľmi blízke. Preto boli využité možnosti získania umiestnenia senzorov v oboch krajinách a dáta sú spracovávané ako jeden celok. V súčasnosti je topológia honeynetu iná, pribudli ďalšie typy senzorov. Niektoré podrobnosti o technickom riešení zberu a vyhodnocovaní dát budú publikované v pripravovanej verejnej časti honeynetu.

Kippo honeypot

Kippo je honeypot s nízkou/strednou mierou interakcie vytvorený v jazyku Python, jeho primárnou úlohou je emulácia SSH shellu. Obsahuje falošný súborový systém, ktorý dokáže emulovať pridávanie a odoberanie súborov. Útočník môže sťahovať nové súbory napr. pomocou príkazu wget a používať príkaz cat, na zobrazenie obmedzeného množstva obsahu. Stiahnuté súbory sú zaznamenané pre možnosť neskoršej analýzy. Mnohé štandardné linuxové príkazy a nástroje však nie sú implementované a útočník získa ako odpoveď iba náhodné maskovacie hlásenie o chybe. V rámci konfigurácie je možné nastaviť login a heslo, ktoré bude prístupné pre pripojenie, definovať názov servera, určiť maximálnu veľkosť sťahovaných súborov a pod. Kippo štandardne využíva port 2222, no pre dosiahnutie relevantných výsledkov je vhodné port pre jeho beh modifikovať na štandardný SSH port 22. Log mapujúci aktivitu Kippo honeypotu je v základe textový. Existujú však rôzne nadstavby, ktoré dokážu dáta zasielať do MySQL databázy a následne ich spracovávať resp. zobrazovať štatistické výstupy. Jedná sa napríklad o Kippo-Graph, Kippo2MySQL, Kippo-stats a ďalšie.

Útoky, ktoré smerovali na Kippo honeypot

Kippo honeypot bol spustený od 8. februára 2014 a obdobie, počas ktorého boli získavané dáta bolo ukončené 31. marca 2014. Celkovo bolo zaznamenaných 42 061 pokusov o pripojenie, bez ohľadu na úspech. Z toho jedinečných zdrojových IP adries (ako pôvodcov útoku) bolo len 427. Kvôli technickým a finančným obmedzeniam bol v tejto dobe žiaľ prevádzkovaný iba jeden Kippo senzor. V súčasnosti sú v prevádzke už tri v rôznych typoch sietí, s ďalšími modifikáciami, ktoré poskytujú útočníkovi vyššiu mieru "voľnosti," a tak bude možné vzájomne porovnávať ich atraktivitu a tiež analyzovať oveľa väčší objem získaných dát.

Pri prihlasovaní na server prostredníctvom SSH útočníci najčastejšie používajú 10 kombinácií mien a hesiel uvedených v nasledujúcej tabuľke.

Najpopulárnejšia pre útočníkov je zjavne kombinácia mena a hesla - root/admin. Tá značne vedie pred zvyšnými kombináciami. Ale vidieť možno aj zvláštnosť vzťahujúcu sa na kombináciu používanú správcami systémov pravdepodobne pre rozloženie daných znakov na klávesnici - root/!QAZ@WSX.

Za daný časový úsek bolo úspešných len 572 pokusov o prihlásenie a neúspešných bolo 41489 pokusov. Väčšina pokusov o prihlásenie tak nebola úspešná. Dá sa usudzovať, že išlo a automatizované prístupy realizované botnetmi, ktoré skúšali vopred definovaný login a pri neúspechu stratili o server záujem. Ďalšími možnosťami neúspechu mohli byť prípadné technické problémy na strane útočníka v rámci komunikácie. Na honeypot smerovalo denne v priemere 793 pokusov o prihlásenie sa. Z nasledujúceho grafu možno usudzovať, že tendencia pokusov bola v priebehu sledovaného časového obdobia značne kolísavá. Na značné odchýlky od priemernej hodnoty poukazuje i smerodajná odchýlka, ktorá činí za sledované obdobie hodnotu 636,28.

Z týchto pokusov došlo k úspešnému prihláseniu sa na emulovaný linuxový shell len v priemere pri 10 spojeniach denne. Nasledujúci graf znázorňuje úspešnosť prihlásenia sa na emulovanú SSH shell počas doby prevádzky honeypotu:

V porovnaní s pokusmi o prihlásenie ide o markantný rozdiel. Kolísavosť je však o niečo nižšia, smerodajná odchýlka sa pohybuje len na úrovni 4 (presne 4,87). Samozrejme tieto hodnoty sú ovplyvnené veľmi malým počtom úspešných prihlásení sa zo strany útočníkov. Niektoré dni zaznamenávajú náhle navýšenie úspešných pokusov o prihlásenie sa, iné mierny pokles.

Ani úspešné prihlásenie sa na emulovaný SSH shell však ešte zákonite neznamená okamžité vykonávanie určitej aktivity zo strany útočníka. Táto aktivita je reprezentovaná realizáciou určitých operácií, ako napríklad spúšťanie rôznych príkazov, stiahnutím ďalších súborov, spúšťaním skriptov, či utilít, ale i strávením určitého času v rámci session emulovaného SSH shellu. Nasledujúci graf zobrazuje počet spojení, pri ktorých útočníci vykonali určitú operáciu.

Aktivita aj po úspešnom prihlásení sa je však veľmi striedma. To opäť poukazuje na vysoký počet prihlásení z počítačov zapojených do botnet sieti, ale za nízkym počtom útokov stojí pravdepodobne aj vysoká úroveň emulácie. Ak útočník zistí, že nemôže použiť mnohé príkazy, stráca ďalší, hlbší záujem o daný systém. Ďalší graf poukazuje na pokusy o pripojenie z 10 najaktívnejších jedinečných útočníckych IP adries:

Najaktívnejšia IP adresa pochádza z Austrálie, konkrétne z mesta Sydney, z autonómneho systému AS10207 - Nterhost Pacific Pty Ltd t/a Intervolve. Podľa alienvault.com a dschield.org boli reportované podozrivé aktivity z tejto IP adresy. Avšak služby ako MacAfee threat-intelligence, či reputationauthority.org nehlásia škodlivé aktivity. S veľkou pravdepodobnosťou sa jedná o infikovaný systém zapojený do botnetu. Ako už bolo spomenuté, pokusy o pripojenie ešte neznamenajú zaručený úspech v prihlásení. O tomto fakte svedčí pohľad na počet úspešne otvorených sessions z tej istej jedinečnej IP adresy:

IP adresy, ktoré sa v predošlom grafe umiestňujú v rebríčku 10 adries, z ktorých smeruje najviac spojení, vôbec nefigurujú v dvadsiatke jedinečných IP adries, z ktorých pochádza najviac úspešne otvorených SSH session (teda dôjde ku korektnému prihláseniu sa na emulovaný SSH shell).
Najúspešnejšia IP adresa v počte otvorených SSH session - 61.174.51.223 sa v počte celkových prihlásení nachádza až na 22. mieste s celkovým počtom spojení 175. Z tohto počtu došlo však až v 55 prípadoch k úspešnému otvoreniu SSH session. Táto IP adresa pochádza z Číny, patrí do autonómneho systému AS4134 - CHINANET-BACKBONE.

Z týchto zistení možno odvodiť záver, že sa vo väčšine prípadov jedná o aktivitu botnetov, ktorých počítače, bez hlbšej logiky neustále skúšajú prihlásenie sa napr. pomocou slovníkového útoku, alebo pomocou útoku „hrubej sily.“ Hlbší systém v týchto pokusoch však hľadať nemožno. Ak aj v zriedkavých prípadoch dôjde k úspešnému prihláseniu sa, pravdepodobne sa realizuje vopred stanovená akcia, ktorá sa z dôvodu vysokého stupňa emulácie prostredia nepodarí, no bot tento fakt ignoruje a pokus sa opakuje. Aktivita útokov - pokusov o prihlásenie sa z jednotlivých končín sveta je znázornená na mape.

Ako možno vidieť z mapy, celkovo jednoznačne dominuje Čína. Za ňou nasleduje Austrália a prekvapivejšie i Španielsko, hoci sa jedná len o stovky útokov z IP adries patriacich tejto lokalite. Útočníci používajú najčastejšie SSH klientske aplikácie, ktoré reprezentuje nasledovný graf:

Možno konštatovať, že najviac používaná je implementácia knižnice libssh, čo opäť svedčí skôr o automatických útokoch. Implementáciu tejto knižnice pravdepodobne používajú červy resp. systémy zapojené do botnetov. Nástroje, kde je vyžadovaná interakcia ako Putty boli použité skôr zriedka. Dôležité je pozrieť sa aj na samotnú aktivitu, ktorá je vykonávaná v rámci honeypotu. 10 najčastejšie používaných príkazov po úspešnom prihlásení sa zo strany útočníkov:

Pre lepší obraz diania v emulovanom systéme, je vhodné pozrieť sa i na neúspešné príkazy:

Okrem príkazov, ktoré možno pripísať automatizovaným útokom, je možné vidieť i príkazy, kde zjavne došlo k ľudskej chybe, alebo preklepu ako „uanme –a,“ prípadne príkaz „clear,“ ktorý využije tiež skôr človek, ako automatizovaný robot. Podobne možno vidieť aj úsmevné situácie, keď útočník chce získať prehľad o fungovaní nástroja wget – „man wget.“ Z toho možno usúdiť, že útočníkmi sú aj tzv. „script-kiddies,“ teda neskúsení útočníci, ktorí berú neoprávnené vniknutie do systému skôr ako zábavu, alebo možnosť spopulárniť sa vo svojej komunite. Skúsenejší útočník by po malej chvíli rozoznal vysoký stupeň emulácie, nefunkčnosťou väčšieho množstva príkazov a tiež by nerobil preklepy, či nehľadal manuál k základným príkazom.

Záverom k dátam získaným týmto honeypotom možno povedať, že ide o zaujímavý prehľad počínania, či už automatizovaných alebo ľudských útočníkov. Aby boli dáta relevantnejšie, bolo by potrebné spustiť viac podobných senzorov s dlhšou dobou prevádzky. Tiež bude potrebné implementovať ešte viac príkazov a možností, či aktualizovať používaný súborový systém, tak aby sa viac podobal súčasným verziám operačného systému Linux. Všetky tieto aktivity sú počas ďalšieho výskumu v pláne.

Záver

V ďalšom pokračovaní sa pozrieme na aktivitu zaznamenanú Dionaea honeypotmi (senzormi), ktoré boli v danom období v prevádzke celkovo tri, v rôznych typoch sietí. Bolo tak možné porovnať ich atraktivitu pre útočníkov a tiež analyzovať väčší objem získaných dát. Tieto dáta však stále možno označiť skôr ako "rozbeh," alebo pilotnú prevádzku, kde bolo cieľom okrem iného i otestovať a odladiť technické zabezpečenie pre zber a vyhodnocovanie údajov. Tiež bolo potrebné nastaviť a optimalizovať jednotlivé senzory na čo najvhodnejšie parametre.

Poďakovanie

Poďakovanie za pomoc, zásadné rady, podporu i za celkovú koordináciu patrí vedúcemu práce - RNDr. Tomášovi Sochorovi, CSc. Ďalej veľmi pekne ďakujem za poskytnuté technologické zázemie a pomoc: Mgr. Michal Kusýn, Jiří Kubina, Ing. Miroslav Padyšák; za odborné konzultácie a konštruktívnu kritiku: Bc. Martin Dráb, David Vorel, Katarína Ďurechová, Mgr. Jiří Machálek, Mgr. Juraj Masár.