Herramienta de ataque de huella digital ssh

Navega tus respuestas
9

Noté un gran volumen de intentos de contraseña SSH en mi servidor e instalé el Cowrie honeypot para ver qué harían los atacantes si realmente tuvieran acceso.

He identificado patrones consistentes en muchos ataques que creo que están automatizados. Inmediatamente después de identificar un nombre de usuario / contraseña en funcionamiento, el sistema remoto envía los siguientes comandos, con un retraso de 4 segundos entre los comandos: 

uname
free -m
ps x

entonces el sistema remoto se desconecta.

Otra variante envía 2 comandos por segundo, comenzando con esos 3 y agregando cat /proc/cpuinfo antes de desconectarse.

Me gustaría identificar el marco de la herramienta / script / ataque que realiza estos ataques automatizados. ¿Ese patrón de comportamiento le resulta familiar a alguien? He buscado posibles candidatos sin éxito.

    
pregunta gbroiles 23.11.2016 - 06:38
fuente

1 respuesta

5

Primero, el patrón de comportamiento que está viendo es probable porque el malware ha detectado que se está ejecutando en un entorno de espacio aislado. El recuento de CPU para su honeypot debería ser mayor que dos, si aún no lo está, porque la mayoría del malware nuevo finaliza automáticamente si hay dos o menos núcleos de CPU disponibles, y los procesos de su honeypot no deberían ser visibles para los atacantes. 'software porque algunos de los mejores programas maliciosos comprobarán si se están ejecutando o instalando honeyd u otros demonios honeypot bien conocidos. Una opción fácil para limitar la visibilidad del proceso / fs es buscar "firejail" y cómo configurar perfiles personalizados. Sugerencia: la salida de strace se puede analizar y agregar a los perfiles de Firejail para ocultar / deshabilitar la lista del sistema de archivos del host y los procesos en ejecución.

En segundo lugar, intente ejecutar un toque de Snort entre su honeypot y su conexión de red para capturar y detectar huellas digitales del tráfico de la red de ataques casi en tiempo real. He tenido buena suerte con el uso de Raspberry Pis para monitoreo de red a bajo costo.

Tercero, considera usar hardware dedicado para tu honeypot para que se vea más como una víctima legítima; busque el término "sistema en un chip" (wiki tiene una lista de fabricante ) para opciones baratas disponibles . El de Intel es el que sugeriría para esto porque la arquitectura se parece mucho al escritorio de una víctima legítima.

Cuarto, busque en la detección del honeypot de Metasploit código fuente para Kippo y otros para hacer Tu honeypot es menos detectable porque quizás hay otras formas inteligentes en que los ataques están detectando su observación.

En quinto lugar, la detección de comprobación de las muescasit de carcasas inversas article usando" carbon black "para la detección de intrusión después del honeypot. Ten cuidado al usar las herramientas para recuperarlos; Si vas a intentarlo, haz solo la investigación mínima necesaria para identificar a los delincuentes. Incluso si te atacaron primero, sigue siendo un crimen volver a atacarlos.

    
respondido por el S0AndS0 16.12.2016 - 00:33
fuente

Lea otras preguntas en las etiquetas

¿Está creando una aplicación web con entradas de base de datos MySQL cifradas? ¿En qué situaciones puede element.setAttribute permitir XSS?