Exploration d’un Honeypot (ssh/Telnet partie 1)

Quelques statistiques enregistrées par notre honeypot
Nombre totale des tentatives d’intrusions1791431
Nombre des adresses IP uniques des attaquants présentes dans la base46043
La première tentative d’intrusion2023-12-09 17:38:53
La dernière tentative d’intrusion2024-05-27 12:20:51
Adresse IP du dernier attaquant180.101.88.220
Dernier login testéroot
Dernier mot de passe testéKi!l|iN6#Th3Ph03$%nix@NdR3b!irD
Pays de provennance de l’attaqueChina

Le but d’un honeypot

A titre de mesure préventive, une entreprise configure un ensemble de serveurs ou de systèmes pour qu’ils paraissent vulnérables. Il semble ainsi que l’entreprise n’a pas pris suffisamment de précautions pour certains aspects de sa sécurité. L’objectif consiste à attirer et occuper des attaquants. Le cyber-criminel ne réalise cependant pas qu’il ne s’agit pas d’un point d’entrée vulnérable, mais d’un piège étroitement surveillé par l’entreprise en question.

La tactique du honeypot peut avoir trois avantages :

confine les attaques vraiment dangereuses
fait perdre du temps aux attaquants
permet de détecter de nouvelles formes d’attaques

Présentation:

C’est quoi le protocole ssh et quelle est sa différence avec le protocole telnet

La fonction principale du protocole ssh est l’accès distant à un serveur de manière sécurisée, mais il est également intéressant de voir qu’il présente d’autres fonctionnalités qui sont aujourd’hui très utilisées:

Le protocole ssh permet le transfert de fichier entre des machines de manière sécurisée. Tout comme telnet, le protocole ftp permettant le transfert de fichier entre deux machines, n’est pas sécurisé. Il laisse en effet passer les informations de connexion, mais également les fichiers transférés, en clair sur le réseau.

Une autre fonctionnalité du protocole ssh est le X Forwarding. Sous Linux, “X” est souvent employé pour parler du mode graphique. Le protocole ssh permet en effet d’effectuer un transfert graphique du serveur vers le client. Autrement dit, on pourra lancer une application graphique sur le serveur, par exemple une visionneuse d’image, et la fenêtre et son contenu apparaîtra sur le poste du client.

ssh peut permettre l’encapsulation de n’importe quel protocole. Ainsi, un protocole non chiffré comme par exemple http peut être encapsulé (comprendre “emballé”, comme un objet dans un colis) dans un le protocole ssh pour passer un pare-feu ou un proxy par exemple

Telnet est un protocole utilisé pour la communication entre deux ordinateurs sur Internet. C’est un moyen de se connecter à des machines distantes et d’accéder aux ressources de ces machines. Il existe depuis 1969 et est malheureusement encore utilisé aujourd’hui dans de nombreuses applications industrielles et gouvernementales.
Pour rappel, le protocole telnet n’assure ni l’authentification de l’équipement distant (serveur, routeur…), ni la création d’un canal chiffré pour les échanges. L’usage de ssh, qui apporte ce niveau de sécurisation, doit donc en toutes circonstances être préféré à celui de telnet qui est à bannir

Attaques du protocole ssh et telnet

Les machines hébergeant des serveurs ssh et telnet sont particulièrement ciblées par les malveillants. Leurs but est de les utiliser pour miner de la crypto-monnaie, mais également installer des outils nécessaires pour scanner des réseaux et relayer des cyberattaques visant différentes infrastructures industrielles critiques et et les infrastructures de l’État.

Le graphique ci-dessous représente les tentatives d’intrusions journalières subites par notre honeypot.

Tentatives d’intrusions par jour
Voici les adresses IP des vingt-cinq attaquants les plus actifs.

Top 25 adresses IP des attaquant les plus actifs

La liste compète en format de texte, des adresses IP de tous les attaquants  se trouve ici 😉

Et voici les données de géolocalisation

Adresse IPGéolocalisationSortie de TORNombre d’attaquesSuccessDernière tentative
180.101.88.220ChinaNon9185812024-05-27 12:20:47
180.101.88.219ChinaNon3251912024-05-05 18:24:51
77.221.154.247SingaporeNon3139002024-04-25 12:35:01
188.165.240.82FranceNon3063102024-03-20 23:48:58
146.168.100.203Miami Beach, United StatesNon2490402024-02-05 17:26:23
107.150.123.218United StatesNon2004902023-12-23 07:34:01
103.151.36.45Denpasar, IndonesiaNon1959202024-04-29 04:03:24
180.101.88.221ChinaNon1702412024-03-01 17:24:18
158.69.5.17Montreal, CanadaNon1298602024-04-06 02:57:04
183.81.169.238Amsterdam, The NetherlandsNon1160202024-05-27 08:34:14
116.54.69.66Kunming, ChinaNon1080302024-02-28 18:09:26
113.89.232.192Shenzhen, ChinaNon914502024-03-31 12:35:39
43.130.3.4Santa Clara, United StatesNon910802023-12-29 07:01:25
2.187.30.97Qazvin, IranNon721702024-01-10 22:35:06
87.120.84.106United StatesNon571312024-03-09 16:34:28
116.21.123.166Guangzhou, ChinaNon529002024-03-26 00:47:56
183.17.228.229Shenzhen, ChinaNon476502024-01-12 04:57:13
212.70.149.150Sliven, BulgariaNon455502024-05-10 14:32:14
185.246.128.133Stockholm, SwedenNon454902024-05-27 11:41:15
193.105.134.95Stockholm, SwedenNon454502024-05-27 11:44:31
219.147.125.118ChinaNon419102024-03-05 00:22:18
31.59.74.249IranNon358002023-12-28 10:54:28
179.43.180.106Zurich, SwitzerlandNon340202024-04-17 01:01:29
80.76.49.81Čačak, SerbiaNon313602024-05-17 22:47:08
80.76.49.65Čačak, SerbiaNon313502024-05-18 21:54:31

Les attaquants utilisent des appareils infectés par des malwares pour analyser les réseaux ciblés. Cette approche les aide à cacher leurs identité et contourner les limites imposées par le filtrage lié la géolocalisation. Ils construisent des réseaux des machines infectées qu’on appelle des botnet.

Les attaquants utilisent des techniques d’analyse pour rechercher des faiblesses des réseaux cibles, qui peuvent identifier les ports ouverts, les vulnérabilités logicielles et même les systèmes d’exploitation.

Les hôtes compromis fournissent plus de ressources pour lancer des analyses à grande échelle qu’une seule machine attaquante ne pourrait gérer. Les systèmes peuvent détecter efficacement les modèles de numérisation établis et nouvelles en analysant les caractéristiques de numérisation telles que le volume des demandes et en les faisant correspondre avec des signatures de menace connues.

Les attaquants ciblent des technologies courantes telles que les routeurs, les cadres d’applications Web et les outils de collaboration, car les données montrent des analyses de vulnérabilité généralisées ciblant les routeurs, y compris les récentes attaques contre les routeurs Ubiquiti EdgeRouters et Cisco/NetGear par des pirates informatiques russes et chinois, qui ne se limitent pas à des marques de routeurs spécifiques.

En exploitant ces vulnérabilités, les attaquants peuvent obtenir un accès non autorisé ou perturber les systèmes. Il pourra aussi utiliser les ressources de vos appareils et vos réseaux pour relayer des cyberattaques visant différentes infrastructures industrielles critiques et et les infrastructures de l’État.

Mirail – Le botnet qui menace vos périphériques connectés

Nous avons repéré plusieurs attaques en provenance des adresses IP françaises. Après une vérifications minutieuse, nous avons conclus qu’il s’agit des petites entreprises et des petits commerçants. Le point commun entre eux c’est l’utilisation des caméras connectées (oui, elles possèdent aussi un serveur ssh ou Telnet) et des serveur NAS de la marque Synlogy en particulier (matériel grand public). Après quelques vérifications, nous sommes certains que actuellement, n’y a pas des vulnérabilités connues non corrigés pour cette marque des serveurs NAS et des routeurs.


Malheureusement ce n’est pas le cas pour d’autres objets connectés et d’autres fabricants. Comme cette mauvaise exemple, nous pouvons citer des enregistreurs DVR et des caméras IP, qui ont été transformés en machines zombies. Ces appareils venaient dans leur grande majorité du même constructeur chinois, XiongMai Technologies qui a été assez “léger” en matière de cybersécurité. En premier lieu, le service telnet, qui permet de se connecter et configurer l’appareil à distance, inclus dans ses produits, était actif par défaut. En second lieu, le mot de passe administrateur par défaut était codé en dur dans le firmware, donc impossible à changer par un utilisateur issu du “commun de mortels”.

Actuellement, ces appareils servent des relais pour les véritables attaquants car ils ont réussi installer “les portes dérobées” et compromettre le système de base.


De même, nous ne pensons pas qu’un petit commerçant soit aussi un dangereux cybercriminel, mais il est forte probable que ses appareils ont été piraté il y a longtemps, parce que pendant certain temps, les identifiants de connexion utilisés étaient ceux “par défaut” et qui figurent dans la notice du constructeur. On ne le dira jamais assez que conserver le mot de passe par défaut d’un appareil connecté équivaut à ne pas avoir de mot de passe du tout. Mieux vaut aussi éviter de mettre un mot de passe trop simple à trouver comme une marque de voiture, le nom d’une équipe de foot ou encore une suite de chiffres ou de lettres.


Il est recommandé de mettre en place un mot de passe comprenant des chiffres, des lettres minuscules, des lettres majuscules, des signes de ponctuation, d’être composé d’au moins de 16 caractères et qu’il ne contient aucun mot issu d’un dictionnaire. C’est ainsi qu’il sera très difficile à deviner

Pour la suite, suivez le lapin blanc…