3 ene 2014

Honeypots en la securización de redes científicas II

Nota1: Todo el material e información recopilada para este artículo está obtenido de mi proyecto final de carrera y a la charla sobre hacking ético y seguridad (Software libre y mecánica de aprendizaje CERT guiado por amenazas reales).

Nota2: El anterior material está protegido bajo licencia common creative para asegurar su consulta y uso, libre y gratuito.

Introducción

En el anterior artículo prometí entrar más en profundidad en la origen y descripción de las amenazas que se habían recopilado durante casi tres años, en la implantación del sistema de detección basado en honeypots de la Universidad de Granada, que se hace cargo de informar al Sistema de Gestión de la Seguridad de la Información y Gestión de Eventos, U.G.R y S.I.E.M respectivamente y en adelante. Me iré centrando en ellas y comentando la información, opiniones personales y conclusiones, aunque para no hacer demasiado extenso el artículo y poder dar a cada una la atención que requieren se irán repartiendo en varios artículos. Pongámonos manos a la obra.

Enfoque global

Vamos a dar un vistazo global a las amenazas clasificadas por objetivos, tanto para la Universidad de Granada como desde la ip dinámica y pública de mí laboratorio en casa.



Consulta del número de conexiones aceptadas por lo servicios trampa del honeypot. Izquierda U.G.R, derecha laboratorio casero.

Errata: Valores al puerto 506, protocolo SIP, incorrectos.




Consulta del número de conexiones aceptadas, servicio ssh excluido. Izquierda U.G.R, derecha laboratorio casero.

Las anteriores gráficas son bastante reveladoras, por sí mismo los ataques al servicio ssh en busca de credenciales débiles y el estudio de su intrusiones merecen el resto del artículo para ser comentados. Es muy tentador el comentar también algunos aspectos más que quedan reflejados en estas gráficas (puede que usted no esperase tanto impacto sobre VoIP ó se pregunte el porqué de la diferencia de ataques a SAMBA entre los dos escenarios), pero prometí ser organizado y lo dejo para más adelante. Así que con un peso de más de medio millón de conexiones registradas, en una única subred, en tres años, nuestro ganador es…

Ataques SSH (footprinting, intrusión, “zombificación” e intencionalidad)

Cuando trabajamos con honeypots y ssh, desde la perspectiva de investigador en seguridad, no es tan importante el número como la calidad de la información que podamos extraer. Las anteriores cifras solo son información cuantitativa, ahora hagamos un estudio cualitativo.

QUIEN Y DONDE

La primera pregunta que nos hacemos es si tendrá un origen fácilmente identificable y común toda esta actividad que se detectó vinculada a ataques ssh. Para ello doté a las herramientas honeypot en producción de un módulo geolocalizador que en el momento de centralizar la información en el S.I.E.M, añadiera también información geográfica para el posterior análisis.

CHINA: 354.356
ESTADOS UNIDOS DE AMÉRICA: 33.604
ALEMANIA:12.421
REPÚBLICA DE COREA: 7.063
CANADÁ: 5.688
ARGENTINA: 4.813
FEDERACIÓN DE RUSIA: 4.532
BRASIL: 3.536
TAIWAN:3.314
INDIA: 3.284

TOP10 por número de ataques geolocalizados entre 29/11/2010 y el 1/7/2013


Bien esta información seguramente no le causa sorpresa alguna si se mueve en el mundo de la seguridad de la información. Todos hemos leído de lo activa que es China en temas de hacking y robo de información. Pero demos una vuelta de tuerca más, vamos a centrarnos no en los intentos sino en las intrusiones en sí. Por ejemplo del día 19/5/2013:

1.- Se detectó la intrusión desde la dirección ip 95.77.175.43, que volvió a repetirse casi un mes después.


2.- Ese mismo día 5 direcciones ip más acertaron la clave, dos de ellas también a la primera.


3.- Solo los países de la Unión Europea entraron a la primera, Asia solo escaneó.


EL INTRUSO


ACERTO ACERTO. No toco nada


SOLO PASO DICCIONARIO


SOLO PASO DICCIONARIO


ACERTO A LA PRIMERA. Segunda visita en tres meses


SOLO PASO DICCIONARIO

3.1 NINGUN INTRUSO tenía el puerto 9001 ó equivalente abierto, NINGUNO ERA NODO TERMINAL TOR, ni formaba de manera evidente a un nodo proxy.


3.2 Las dos direcciones ip de Rumania son dinámicas.


3.3 La ip alemana pertenece a un sitio web con servicio SSH escondido en el puerto 55.


3.3.1 nmap -p 55 -A 85.214.246.127 => 55/tcp open ssh OpenSSH 6.0p1 Debian 4 (protocol 2.0).


3.3.2 Es posible que sea un equipo comprometido, aunque es muy poco probable, pues demuestra prácticas en seguridad cambiando ssh del puerto por defecto.


3.3.3 Es posible que sea extremo final de un ataque, o simplemente un fisgón.

Opinión

Estos datos son extrapolables a un día cualquiera en el que fue mi trabajo, ataques contra ssh detectados, entre otros, y pocas horas después intrusiones efectivas, a veces reincidentes, desde países miembros de la Unión Europea, Estados Unidos, miembros importantes extra-OTAN, etc.


Es decir, no hay un origen común ni un “eje del mal”. Desde la época clásica, edad media hasta la edad moderna, el origen de nuestras propias amenazas y juegos de espías, hemos sido nosotros mismos. Y en el marco de la seguridad de la información lo único que ha cambiado es una globalización de la actividad. Es cierto no obstante que han aparecido nuevas variables como son China, Irán ó India, cuya actividad en juegos de guerra es similar a la nuestra, aunque a veces menos encubierta, y por ello utilizados como cómodos caballos de Troya o “malo de telenovela” por las fuentes y medios interesados, o sea los nuestros.

COMO

Nos preguntamos ahora, que modus operandi siguen antes y durante una intrusión. Es de dominio público que existen diccionarios en varios idiomas y de muy distintas filosofías para atacar servicios ssh de manera masiva y esperar a tener suerte en un mar de ip. Pero no nos engañemos, estos ataques aunque pueden ser vistos a nivel de “novato”, aunque aún útiles hoy día, se vuelven mucho más refinados y efectivos previo análisis de la víctima y llegar a alcanzar un nivel realmente avanzado. La explotación de un análisis footprinting en profundidad de la infraestructura de red objetivo, como en cualquier estudio de pentesting, es la clave y delata trazas de amenazas persistentes en el tiempo (APT).

Y aquí es donde tenemos nuevamente un grave problema al tratarse de una red científica. ¿Nos hacemos cargo realmente de?:

Que hay directorios de trabajo, públicos y accesibles, en la web con las cuentas de correo de personal técnico responsable, disponibles para los nombres de usuario de los diccionarios.

Que hay páginas de departamentos de investigación, con el mismo tipo de información del personal que lo componen, y en las condiciones antes descritas.

Que los nombres de usuario en foros de distintas escuelas, son los nombres de las cuentas de dichos alumnos.

Que los anteriores correos son los identificadores@dominio de las cuentas para todos los servicios suministrados por dicha red científica (correo, acceso identificado, red inalámbrica de la universidad, acceso a la vpn, samba, foros web…) todos ellos también puntos explotables mediante técnicas de falsificación de puntos de acceso a la red inalámbrica, man in the midle, spam y un larguísimo etc.

En estos tres años se registraron intentos de acceso con:

Nombres de usuarios del sistema y de la red.


Claves por defecto de otros servicios y permutaciones con fechas y signos.



Nombres y dominio de servidores en producción, fechas y signos permutados y usados como claves.


Incluso gracias a inspiración de mi director de proyecto, Gustavo Romero López, incluí algunas honeywords dentro del servicio mysql trampa de los honeypots. Para detectar su posterior uso en diccionarios. Y obviamente fueron descubiertas y usadas en estos diccionarios. Una evidencia más de que se sufren amenazas APT bien planificadas.




Opinión

Está claro el inmenso potencial de una exhaustiva fase de recopilación de información aplicado a algo tan “mundano”, como un diccionario, en el tipo de red que estamos tratando. Confirmo y no especulo cuando digo que, sí, hubo incidentes de intrusiones que llegaron a ser efectivas y exitosas tanto en servidores en producción como en equipos de personal investigador utilizando las técnicas antes descritas.

Los medios de contingencia no son de fácil aplicación porque no pasan por una política segura de claves en contra de lo que pueda pensar, si no por educar en lo más elemental de seguridad informática a la comunidad que integra la red. Medida que no es posible si no es con el compromiso de todos sus usuarios y la voluntad en ello de quien mantiene dicha infraestructura. Elementos que a veces fallan por separado ó a la vez.

Tampoco es solución enmascararnos tras puertos 2222 ó 22222, pues atraería más la atención de amenazas APT. Ya no solo para vulnerar el sistema si no para atacar mediante denegaciones de servicio, pues un cambio de puerto denota preocupación por el ruido causado por el atacante.

QUE

La actividad que tiene lugar durante la intrusión es sumamente interesante cualitativamente y una fuente invalorable de conocimiento. Este conocimiento que obtenemos de mecanismos como honeypots es real, efectivo y gratuito. Se han registrado:

Desactivación o destrucción de logs del sistema post intrusión.




Parsing de los logs para ocultar actividad previa a la intrusión.



Creación de usuarios con phising de los del propio sistema como mai1 por mail, http por httpd ó daem0n por daemon.




Robo del administrador del sistema.



El atacante vuelve entrar con la nueva clave. Poco inteligente por su parte si la reutiliza en otras intrusiones.


Descarga desde servidores ftp y web, comprometidos ó no, de malware de diversa utilidad.


Intentos de pivotar desde otros equipos, ya comprometidos, de la red de la U.G.R y R.I.C.A (150.214.0.0/16).





Opinión

Puede comprobar que no se trata del temario de un curso certificador en hacking ético (CEH), no vamos a aprender de negro sobre blanco en teoría de la seguridad ni a pagar una buena suma de dinero por ello. Aquí el conocimiento es totalmente empírico y gratuito, estamos aprendiendo “el como” directamente del intruso y por supuesto el examen certificador nos lo dará el desempeño diario de nuestro trabajo. El atacante es quien nos dará la clase magistral y material para nuestra formación como profesionales en seguridad.

Del estudio de esta actividad he ido creando y mejorando mis propias “partituras” de intrusión, cuando he tenido tiempo las he transcrito a archivos bash para crear mis propios script kiddies y agilizar mi trabajo (fase de explotación), para luego usarlas cuando se me encomendaba algún análisis pentesting desde el área de seguridad informática.

Lo anterior lo podríamos definir como retroalimentación del conocimiento a partir de las amenazas detectada. Para mi es la piedra angular del pentesting by desing y lo que debe ser un Equipo de Respuesta ante Emergencias Informáticas (CERT), siglas empleadas muy a la ligera. CERT sin investigación y adquisición activa y continua de conocimiento son solo siglas de merchandising en lata para administraciones públicas, y obtener tramos de calidad de una ISO, y para bodyshoppings en seguridad informática para aparentar.

PARA QUE

La clave para descubrir la finalidad última de estos ataques está implícita en la intrusión y el malware descargado. En concreto me voy a centrar en el último repositorio que “intercepté”. No voy a entrar en un análisis del software que contiene pero si su utilidad, y veremos claramente la finalidad que buscaba una intrusión típica a través de ssh.



Control distribuido mediante botnet

El primer toolkit que se intentó descargar el atacante.


Es el encargado de proporcionar control de la máquina comprometida a través de su incorporación a una botnet. Suele usarse mech (Energy Mech) y eggdrops que proporcionan dialogo en dos direcciones, control del canal irc a través del bot, y lo que interesa al atacante en este caso, el control del equipo/s comprometidos a través del canal irc.



Busqueda “Zombi” de servicios ssh con credenciales vulnerables

Encontramos además en el repositorio una muestra de gosh que ya es un viejo conocido en este tipo de intrusiones, sobre todo con origen en Rumania, aunque es ampliamente usado.


Este toolkit que incorpora un escáner de puertos (pscan2) y software para pasar diccionarios a servicios ssh (brute) a rangos ip de tipo B Y C, ambas herramientas escritas en C y ya compiladas. Generalmente viene acompañado de scripts en bash para mejorar la funcionalidad: como dividir diccionarios de gran tamaño, utilizarlo en rangos ip de tipo A y envío automático mediante sendmail de los equipos con credenciales vulnerables detectados a cuentas de correo en poder del intruso. Mucho más compacto, ágil y fácil de ocultar que una instalación de hydra o medusa.





En este caso la muestra de gosh contenía solo la capacidad adicional de dividir el diccionario de un total de 3343 palabras que se pasaba al rango de tipo B 38.99.0.0/16.

Economía sumergida y mercado negro

Algo excepcional fue encontrar el archivo master.tar.gz que no es otra cosa que el cliente de transacciones con primecoin, una alternativa a bitcoins. Hasta ahora solo había visto usar los servidores irc que se utilizan para solventar el problema del bootstrapping en la red p2p de bitscoin, para “colar” bots de Energy-Mesh ya que no están muy vigilados por ircops.

Más casualidad fue haber hablado hace unos días con Gustavo Romero Lopez y Pedro Ángel Castillo Valdivieso, profesores míos de la U.G.R, sobre el potencial riesgo que supone para la seguridad el utilizar en un futuro cercano ó posiblemente ya, grid computing para minería bitscoin, sin tener que preocuparnos del consumo eléctrico de GPU ni FPGA, utilizando como medio conductor estas botnets.

Otros, Anonimato

A lo largo de este tiempo las intrusiones han instalado además proxys web, bouncers irc, etc para la navegación anónima y pivoteo seguro entre ataques.


Menos frecuentes es la obtención de muestras de kernel exploits y rootkits para capa de usuario del sistema, como shv 5 y 6 o mafix, posiblemente porque son muy invasivos y es el propio atacante el que se da cuenta de que deja el sistema hecho “unos zorros” para su posterior explotación.

Opinión

Creo que la finalidad de la intrusión se muestra sin tapujos, hace años hubiera esperado encontrarme con más intentos de robo de información, pero lo que he encontrado en todo este tiempo es más bien incorporación continua de logística para botnets, son estas las que tiene la respuesta última del para qué de las intrusiones.

Ya terminando este articulo y sobre todo después de este último punto se habrá dado cuenta del reto multidisciplinar que supone trabajar y sobre todo investigar en seguridad informática con honeypots. Es un campo y unas herramientas con las que me encuentro muy cómodo trabajando, porque siempre me han permitido utilizar todo lo que he aprendido en la carrera, en cursos de formación y del master de arquitecturas y redes que estoy haciendo, sin necesidad de encasillarme en una única rama de la informática.

CONCLUSIONES

Hemos visto lo intensivos que resultan los ataques sobre servicios ssh expuestos mediante ip pública.

La problemática que supone ataques ssh en el contexto de una red científica y las dificultades para contener dicho tipo de amenazas no tiene una solución trivial, solo medidas de contingencia, más cuando son persistentes en el tiempo y por agenetes capaces.

Hemos visto como los honeypot no solo cumplen una función de detección sino también de recopilación de información para su posterior análisis.

Dicha información nos dan las claves para averiguar y sacar conclusiones del desde donde se hace los intentos de intrusión, el cómo se hacen efectivos, qué mecanismos se emplean durante ella y para qué objetivos se llevan a cabo.

Todo el conocimiento a posteriori de dichos ataques se trabaja, se investiga y es la base para retroalimentar la eficacia de lo que debe ser un auténtico área de seguridad informática y de equipo CERT profesional.

Artículo cortesía de Juan Luis Martin Acal.

No hay comentarios:

Publicar un comentario