Это ловушка! Как мы расставляли ханипоты и кто в них попался

Встать под ата­ку и пос­мотреть, что будет, — это луч­ший спо­соб изу­чить, как работа­ют хакеры. Это мы и сде­лали — купили нес­коль­ко сер­веров в раз­ных под­сетях и засели в засаде. Пер­вый же неос­торож­ный бот попал­ся все­го через семь секунд, а мень­ше чем через сут­ки мы засек­ли боль­ше 12 тысяч гос­тей на одном толь­ко SSH. Немуд­рено, что рано или поз­дно учет­ные дан­ные ко мно­гим сер­верам под­бира­ются, сами сер­веры про­дол­жают чер­ное дело сво­их соз­дателей, а в сво­бод­ное вре­мя час­тень­ко ко­пают бит­кой­ны.

Мы рас­смот­рим ата­ки по нес­коль­ким про­токо­лам: SSH — как наибо­лее популяр­ный, Telnet, рас­простра­нен­ный в мире IoT, и FTP, куда ломят­ся, что­бы залить шелл для даль­нейшей ата­ки или заразить исполня­емые фай­лы. На один толь­ко SSH за вре­мя тес­та к нам пос­тучались 986 437 раз.

Подготовка

Мы уста­нови­ли ханипо­ты на два сер­вера. Пер­вый изна­чаль­но для это­го иссле­дова­ния не пред­назна­чал­ся, так что часть ста­тис­тики с него не вклю­чает пароли. На вто­ром сер­вере сра­зу были ханипо­ты.

В какой‑то момент стан­дар­тный SSH мы перенес­ли на порт 404 («404 SSH Service Not Found», ага) на обо­их сер­верах, а штат­ный 22-й порт занял ханипот. Но ни один бот его пос­ле это­го не нашел. Как видишь, заез­женная рекомен­дация перено­сить SSH на неожи­дан­ные пор­ты име­ет смысл, осо­бен­но ког­да 22-й порт открыт, но не пода­ет виду, что нуж­ный сер­вис есть где‑то еще.

Вы­бор­ка в ито­ге получи­лась неболь­шая, поэто­му мы рас­ширили ста­тис­тику, про­ана­лизи­ровав логи со взло­ман­ных ботов.

Где брать ханипоты

Вот сами ханипо­ты, которые мы исполь­зовали для раз­ных про­токо­лов. Естес­твен­но, сущес­тву­ет мно­жес­тво дру­гих решений, в том чис­ле ком­мерчес­ких, но их перечис­ление и срав­нение — тема для отдель­ной статьи.

telnetlogger

• robertdavidgraham/telnetlogger

Прос­той Telnet-лог­гер, в лог пишет прос­то пары логин‑пароль. IP-адре­са тоже записы­вают­ся, но в сосед­ний файл и без свя­зи с кон­крет­ной парой логин‑пароль, что неудоб­но. Завел­ся сра­зу и лиш­них нас­тро­ек не тре­бует.

SSH Honeypot

• droberson/ssh-honeypot

За­писы­вает в лог IP, логин и пароль. Каж­дая запись помеча­ется вре­мен­ной мет­кой, чего в Telnet-лог­гере нет. Информа­цию о вре­мени мож­но исполь­зовать, что­бы стро­ить прод­винутые гра­фики, вро­де зависи­мос­ти интенсив­ности атак от вре­мени суток или дня недели, но делать это мы не будем — нас в дан­ном слу­чае инте­ресу­ет сам факт ата­ки и исполь­зуемые тех­ники.

Пер­вые попыт­ки перебо­ра появи­лись уже через семь секунд пос­ле акти­вации ханипо­та.

honeypot-ftp

• alexbredo/honeypot-ftp

Этим про­токо­лом инте­ресо­вались мень­ше все­го. Воз­можно, это свя­зано с тем, что ханипот для FTP на популяр­ных язы­ках нам най­ти не уда­лось, так что исполь­зовали что наш­ли. Этот ханипот даже при не очень деталь­ном рас­смот­рении «све­тит» тем, что написан на Twisted и тем самым отпу­гива­ет некото­рые бот­неты и не самых тупых ата­кующих.