- Honeypot: cơ chế dùng để phát hiện và ghi lại các cuộc tấn công khi kẻ tấn công cố xâm nhập vào hệ thống
- SSH honeypot: honeypot nhắm vào SSH
- Kết quả vận hành SSH Honeypot trong 30 ngày
- Trong 30 ngày có tổng cộng 11.599 lần thử đăng nhập, trung bình 386 lần mỗi ngày
- Các tên người dùng được dùng nhiều nhất là root, 345gs5662d34, admin, pi, v.v. Ngoài ra còn có ubuntu, ubnt, support, user, oracle, v.v.
- 345gs5662d34 có thể là thông tin xác thực mặc định của điện thoại IP Polycom CX600.
- Các mật khẩu được dùng nhiều nhất là 345gs5662d34, 3245gs5662d34, admin, 123456, password, v.v.
- Kết quả phân tích các lệnh được thực thi sau khi đăng nhập cho thấy các hoạt động đáng ngờ sau:
- Các lệnh được thực thi nhiều nhất
echo -e “\x6F\x6B”: 6.775 lầncd ~; chattr -ia .ssh; lockr -ia .ssh: 1.016 lầnuname -s -v -n -r -m: 320 lần
- Sau khi chạy script
oinasf, đối tượng cố thu thập thông tin hệ thống bằng lệnh uname -s -m
- Thử tấn công router MikroTik thông qua lệnh
./ip cloud print
- Cài đặt công cụ đào tiền mã hóa
mdrfckr và đồng thời dừng các tiến trình miner khác
- Phát tán mã độc kiến trúc MIPS (chủ yếu nhắm vào router và thiết bị IoT)
- Chạy script
Sakura.sh, một thành phần của mã độc Gafgyt (BASHLITE)
- Gafgyt là một botnet lây nhiễm thiết bị IoT và hệ thống Linux, có các chức năng như tấn công DDoS
- Nó tìm cách chiếm quyền thiết bị bằng cách lợi dụng mật khẩu yếu, mật khẩu mặc định hoặc các lỗ hổng đã biết
- Tồn tại từ năm 2014 và đã phát triển thành nhiều biến thể có thể thực hiện tấn công DDoS
Ý kiến của GN⁺
- Honeypot hữu ích để phân tích mẫu tấn công và xây dựng chiến lược phòng thủ.
- Có thể thấy việc dùng tên người dùng và mật khẩu mặc định là cực kỳ nguy hiểm.
- Thiết bị IoT và router đặc biệt dễ bị tấn công, vì vậy cần tăng cường cấu hình bảo mật.
- Malware như công cụ đào tiền mã hóa làm lãng phí tài nguyên hệ thống và tạo ra rủi ro bảo mật.
- Cần giám sát và cập nhật liên tục để chuẩn bị trước các mối đe dọa bảo mật mới.
3 bình luận
Vì thấy
345gs5662d34xuất hiện nhiều nên tôi thử tìm hiểu thì có câu chuyện nói rằng đó làpasswordtrên một loại bàn phím nhất định ( https://isc.sans.edu/diary/Common+usernames+submitted+to+honeypots/… ), nhưng tôi cũng không chắc lắm...Nghe hơi giống kiểu
votmdnjem(mật khẩu) nhỉÝ kiến trên Hacker News
Tự lưu trữ máy chủ mail và phân tích log tường lửa: Thiết lập script để chặn lưu lượng bất thường, đồng thời chặn mạng scanner của các công ty bảo mật Internet để giảm hơn 50% lưu lượng không cần thiết.
Vấn đề bảo mật sau khi bật lại đăng nhập bằng mật khẩu: Sau khi tạm thời bật đăng nhập bằng mật khẩu, đã xuất hiện hàng nghìn lần thử đăng nhập, phần lớn được xác định là đến từ Trung Quốc.
Trực quan hóa scanner: Trực quan hóa vị trí và ASN của scanner để giúp hiểu rõ hơn. Các nhà cung cấp VPS có quy trình xác minh nghiêm ngặt giúp giảm hoạt động scanner.
Thiết lập bảo mật SSH: Khuyến nghị đổi port, tắt xác thực bằng mật khẩu và chỉ cho phép người dùng cụ thể để tăng cường bảo mật cho máy chủ SSH.
SSH chỉ dùng xác thực bằng khóa công khai: Nếu chỉ sử dụng xác thực bằng khóa công khai, các công cụ bảo mật bổ sung như fail2ban sẽ không giúp được nhiều; nên bổ sung thêm một lớp phòng vệ như VPN.
Chặn IP từ Trung Quốc: Vì phần lớn các lần thử đăng nhập SSH đến từ Trung Quốc, nên chặn IP Trung Quốc và chỉ tạm thời bỏ chặn khi cần.
Kinh nghiệm vận hành máy chủ FTP ẩn danh: Chia sẻ trải nghiệm vận hành máy chủ FTP ẩn danh vào đầu những năm 2000, khi đó có thể dễ dàng lấy được phần mềm crack mới nhất.
Mặt tích cực của việc tự host máy chủ: Bất cứ thứ gì lộ ra Internet đều sẽ có người tìm cách khai thác, vì vậy việc nâng cao hiểu biết về bảo mật là rất quan trọng.
Lệnh không rõ nguồn gốc
lockr: Không tìm thấy tham chiếu nào về lệnhlockr; quan sát cho thấy nó chủ yếu được malware chạy cùng với lệnhchattr.Router MikroTik và hoạt động của kẻ tấn công: Kẻ tấn công sử dụng tính năng cloud DNS của router MikroTik để kiểm tra bản ghi DNS động của router, từ đó vẫn có thể truy cập ngay cả khi địa chỉ IP thay đổi.