Анализ вредоносных SSH Логин Попытки
Злонамеренные SSH попытки входа были появляться в некоторых администраторов журналы в течение нескольких лет. Эта статья вновь использование honeypots анализ вредоносного SSH попытки войти и посмотреть, что можно узнать об этой деятельности. В статье Затем даются рекомендации о том, как обеспечить свою систему от таких нападений.
Использование honeypots для научных исследований В Новая Зеландия Honeynet альянс представляет собой научно-исследовательскую организацию и член Совета Honeynet альянс , предназначенного для повышения безопасности компьютерных систем и сетей на изучении поведения, Тактика и инструменты черной шляпе хакеров с помощью honeypot технологии. Honeypots являются компьютерными системами, стоимость которых находится в их открытость для нападения, и компромисс, что позволяет исследователю проанализировать вредоносный деятельности в системе.
Мы создали такую систему в Университете Виктории в Веллингтоне расследовать деятельность вредоносных что происходит в сети университетов в Новой Зеландии. Эта система была высокой взаимодействия honeypot, что злоумышленник может взаимодействовать как с любой другой системой в сети. Что касается нападающего, то, не должно быть никаких заметных различий между honeypot и других компьютерных систем. Однако, это тщательное наблюдение через Honeynet Альянс-Роо honeywall, что захватывает всего сетевого трафика, и вытекающие из honeypot. Кроме того, системные события, записанные на honeypot себя через свои объекты лесозаготовок. В honeypot побежали сервер стандартной конфигурации RedHat 9 с Secure Shell (SSH) сервера, на котором были доступны общественности через Интернет. SSH это программа, которая позволяет пользователю войти в другой компьютер по сети через зашифрованный канал. После того, как мы столкнулись вредоносные SSH попытки входа в предыдущих установок, мы настроили наш honeypot чтобы обеспечить дополнительный сбор данных. Мы пропатчен на SSH сервер записать пароль, а также имя учетной записи, которая была использована в попытке входа. В honeypot был доставлен в сети 11 июля 2006 года и принятых в автономном режиме на 1 августа 2006 года, после 22 полных дней. В honeypot напали несколько раз в течение этого периода, при попытках войти на SSH. Мы более внимательно взглянуть на данные, для определения тактики нападавших и вынести рекомендации по повышению безопасности вокруг SSH. В дополнительной конфигурации из honeypot, которая действовала с 28 июня по 4 июля, мы добавил Sebek модуль , что записи ключевых удар нападающего после того, как система была скомпрометирована. Мы настроены несколько учетных записей пользователей с широко используемых паролей. Через несколько дней, злоумышленник успешно скомпрометированы системы. Анализ этого нападения и последующего нападения, представленные в данном документе и предоставить нам дополнительную понять, каким образом опасный SSH логин попытки использовать для компромисса систем. В данном разделе анализируются данные захватили наш honeypot с 11 июля по 1 августа. Этот анализ основан исключительно на данных, системных журналов в honeypot, в частности, “сообщений” журнала. В ‘Сообщения’ журнал фиксирует аутентификации запросов к серверу SSH. Она фиксирует дату, время, IP-адрес, с которого вход попытку возникла в результате запроса (провал или успех), имя учетной записи и пароля, используемых для аутентификации запроса. Два ‘Сообщения’ образец журнала записи приводятся ниже.
Во-первых, мы проанализировали логины, которые были использованы на попытки входа. За образец периода насчитывалось 2741 уникальных учетных записей, начиная от обычных имен, систему учетных записей, и общий счет на короткий алфавитном строк захвачен системой логгер. Из них 15 учетных записей, используемых наиболее часто приводятся в таблице 1. Эта таблица показывает, что приходится, как правило, существуют в системе (корень, MySQL), счетов, которые могут существовать в системе (гостевые, испытания), а также общих имен (Пол). Потом На рисунке 1 показано распределение действительных и недействительных учетных записей, которые были использованы. Неудивительно, что недействительный счет имен используются далеко превосходят действительных имен учетных записей. Однако мы отмечаем, что 96.30% всех по умолчанию учетной записи имен, которые существуют на honeypot, использовались во время нападения. Анализ SSH Логин Попытки
Июля 13 09 : 37 : 59 Баста sshd [ 22308 ] : PW-ПОПЫТКА: Фриц июль 13 09 : 37 : 59 Баста sshd ( #) [ 22308 ] : Ошибка пароля на корень из 10,0 .160 .14 порт 39529 ssh2 июля 13 09 : 38 : 02 Баста sshd [ 22310 ] : Незаконное fatacunike пользователя с 10,0 .160 .14 июля 13 09 : 38 : 02 Баста sshd [ 22310 ] : PW-ПОПЫТКА: fatacunike июля 13 09 : 38 : 02 Баста sshd [ 22310 ] : Ошибка пароля на незаконных пользователей fatacunike с 10,0 .160 .14 порт (# ) 40444 ssh2
| (# ) | |
| Гость | |
| MySQL | |
| (# ) | |
| (# ) 27 | |
| тестирование | 27 |
| для веб-мастеров | 27 |
| (# ) 23 | |
| 22 | |
| 21 | (# ) |
| Таблица 1. Топ 15 учетных записей между 2741 попыток. |
Рисунок 1. Номер счета именами, как существующих, так и недействительными.
Далее, мы смотрели на паролей, используемых в попытках входа. Нападавшие пытались целый ряд паролей, причем большинство из учетных записей. В общей сложности в ходе нашего анализа, они попытались получить доступ к различным счетам 2741 и 3649 используются разные пароли. Не все пароли были использованы все счета. Пароли варьировались от учетной имена учетных записей с числом последовательностей, числовых последовательностей и клавиатуры последовательностей (например, ‘QWERTY’). Были еще несколько сложных паролей, используемых при, казалось бы, случайные буквы и числа последовательностей или замена паролей (например, r00t или C @ T @ Lin).
Таблица 2 показывает 15 пароли, используемые в злоумышленных попыток входа.
Пароль
| 123456 | |
| Таблица 2. Топ 15 паролей покушение. |
Количество Логин Попытки
| <50 10 | 50 <= X <= 200 |
Рисунок 2. Ошибка входа попытки источника ИС.
Более пристальный взгляд на нападающих показывает более подробную информацию о том, как перерыв в попытки имели место. Нападавшие пытались одно имя учетной записи на попытки войти с паролем, в основном соответствует имени учетной записи (например, контрольно-испытательных) и перешла к следующему имя учетной записи. Другие нападающие отличаются в своей стратегии. В среднем, злоумышленник попытался 10.0.179.148 пять пароли, прежде чем в другой аккаунт. Пароли, используемые в этом нападении схема состоит из числовых последовательностей или имя учетной записи с сочетанием различных числовых последовательностей (например, Admin / Admin, admin/admin1, admin/admin123, admin/111111). Злоумышленник на 10.0.105.52 сосредоточено на коренных счету, все попытки, но одна из его попыток входа (гость) в том, что имя учетной записи. Пароли варьировались от общего пароля для случайных чисел и последовательностей символов (например, корень /!@#, root/123abc, корень / по умолчанию).
Несколько нападавших выставлены поведением, которое может обойти вниманием один IDS, ограничивая их атаки лишь несколько попыток. Атаки стали более серьезными различных степеней. Во-первых, количество попыток входа увеличилась, во-вторых, попытки войти в аккаунт увеличилось, и, наконец, мы увидели концентрации попытки входа на особое внимание, как и корень. Как и попытки стали более серьезными, обнаружения злоумышленника станет более вероятным, если система обнаружения были развернуты. Можно было бы думать, что злоумышленник успех ставка увеличится с более попыток и последующего увеличения опасности обнаружения, но мы не можем подтвердить это, как наши данные не включают обследование имя / пароль комбинаций существующих систем.
В попытке получил дополнительную информацию о методологии и инструменты нападавшие использовали, мы рассмотрели отклонение и средний период времени между каждой попытке входа на исходный IP. Мы предположили, что если инструмент был использован в ходе этого нападения, мы можем легко определить ее использования, изучив эти ценности. Небольшой разрыв между попытками логина и низкая разница будет означать использование инструмента, а больше нелегальных пробелов бы указать злоумышленник был фактически совершают попытки входа в лицо. Рисунке 3 приведены эти данные.
Диаграмма 3. Средний период между попытками входа (секунд ).
в пятерку преступников, которые могут использовать средства в своих нападений, из-за огромного числа попыток, показывают в среднем период между попытками от 2 до 4 секунд с помощью стандартного отклонения, что составляет от 0,45 до 1,39 секунд. С другой стороны, мы видим, что злоумышленник на 10.0.192.15 в среднем период между попытками примерно 7 секунд, а стандартное отклонение 2.36 секунд – с указанием лица, возможно, совершили попытки входа. Тем не менее, эти данные не поддерживает четкое указание инструмент использования как многие нападения последовательности относятся к средним или даже ниже значений начала нападения преступник последовательностей. Одним из возможных объяснений может быть то, что нападения были инструменты, используемые в большинстве нападения последовательности, и мы только латентность сети наблюдений.
По сравнению с выше попытки, сильный показатель использования инструмента выявляется экспертизой по счету имена и пароли, используемые в нападениях из 10.0.255.81 и 10.0.242.26. Несмотря на то, что IP-адреса проживали в различных физических сетях и нападения произошли 4 дня друг от друга, имя учетной записи и пароля комбинации был идентичным.
“Успешные” вредоносные попытки входа SSH
в предыдущем разделе, мы проанализировали данные захватили неудачного вредоносные попытки входа SSH. Эти данные дают нам некоторое представление о том, как действовать нападавших, но оставляет нерешенными многие вопросы. Одним из таких вопросов является ли или нет инструментов, используемых в этих нападениях. 2 июля злоумышленнику успешно подрывает honeypot путем угадывания действительное имя пользователя и пароль по SSH. Данные, захваченные в ходе этого инцидента показало, ответы на эти вопросы открытыми. Прежде всего, мы рассмотрели действия злоумышленника после успешного компромисса в honeypot. После того, как действительное имя / пароль был определен, злоумышленник вход в honeypot через SSH и приступил к скачать SSH сканер инструмент. Этот инструмент более подробно описаны в следующем разделе, но теперь он будет кратко в качестве инструмента, который позволяет его пользователям определить и другие компромиссные SSH серверы через попытки угадать пароль. Установленная инструмент сразу же был использован для сканирования сети класса B с нашей honeypot. Из-за ограничений на исходящие сетевые подключения обеспечивается в Роо honeywall года SSH сканера не было выявлено каких-либо SSH серверы.
После начального сканирования, злоумышленник провел скачать и установить IRC Bot. Боты IRC являются теми инструментами, которые могут контролировать скомпрометированы системы удаленно через IRC чат-каналов, что скомпрометировано система установлена для прослушивания. Использование IRC контроль скомпрометирована система является гораздо более скрытое, чем непосредственно с помощью SSH, так как злоумышленник не имеет прямого входа в систему больше. Кроме того, она позволяет злоумышленнику контролировать несколько таких систем, также известные как зомби, в то же время.
Разговоры в IRC канала показали, что Зомби были использованы для проверки сети класса B с SSH сканера так же, как тот, который был загружен на нашем honeypot. В течение пары часов, четыре класса B сети были отсканированы с SSH сканером из различных IRC Боты, выявляя тысячи SSH серверы. А сканирование занимает примерно 700 секунд. Кроме того, мы стали свидетелями обмена счет имя / пароль в списке 160324 уникальные имя пользователя и пароль комбинаций. Структура этих учетных записей и паролей были очень похожи на те, возникающие во время нападения на наши honeypot системы, но более обширна.
Анализ резюме
Что мы можем сделать из этих данных, захваченные нашей honeypot? SSH является способом получить доступ к компьютеру по сети в защищенном, зашифрованном виде, и получила широкое признание. Однако, несмотря на его хорошую репутацию в том, что касается безопасности, Есть еще угрозы, связанные с операционной SSH на машине. Пароль угадать явно одна из таких угроз, как мы показали в этом документе. Тот факт, что SSH сервер и доступных из Интернета привлек 23 последовательностей нападения уникальные IP-адреса источника, с 6899 логин попытки нашей honeypot всего 22 дней. Это составляет примерно одну атаку, и около 300 попыток входа в день в среднем. Некоторые нападавшие очень серьезно относимся к исполняющей нападения, исполнителей сотни попыток входа в сессию.
Сканер съемки показали, что очень мощный инструмент используется. Они очень гибкие и могут использовать учетную запись настроить имя / пароль списки для нападения. Если злоумышленник хотел атаковать конкретного домена, они могли бы потенциально урожай имен учетных записей по социальной инженерии, а затем объединить эти счета имен стандартных паролей, которые будут использоваться во время нападения. Наблюдая IRC Bot канала, мы увидели, что нападавшие сканирования инструментов в сочетании с IRC Bot технологии выполнять сканирование с помощью Zombies (скомпрометированы нападавшими систем управления с помощью дистанционного канал). Наши тесты показали, что SSH пароль сканер может сканировать сети класса B на 700 секунд.
В сочетании с армией роботов IRC, злоумышленник только нужды 525 Zombies сканировать весь IP4 сегодняшних общественных Интернет всего за один день. Если у вас есть общедоступный SSH сервер, то вы скорее всего, быть направлены на один из этих актов.
Рекомендации
Есть несколько простых способов защиты от этих нападений. Наиболее очевидный способ заключается в том, чтобы отключить демона службы, которая во многих системах установлена по умолчанию. Если компьютер работает в качестве системы настольной машине, то, скорее всего не нужно для удаленного доступа через SSH для входа в компьютер. Если это не вариант, Есть много других вариантов.
Используйте / ETC / hosts.allow и / ETC / hosts.deny файлы найдены на большинстве Unix и Linux системой для ограничения доступа демона конкретных хостов.
Установить брандмауэр для ограничения доступа к серверу SSH только назначенные машины и сети. Это работает особенно хорошо, если администрация машины из внутренней сети требуется удаленный доступ к этой машине.
Ограничить SSH-сервер для аутентификации только определенных пользователей или групп.
Переместите прослушивания порт на SSH сервер с 22 на некоторые другие неиспользованные порта. Хотя это не будет препятствовать нападавшим с подключением к серверу и начать угадывания пароля, это позволит значительно снизить вероятность нахождения вашего демона SSH, а нападающие используют стандартные SSH клиенты и средства нападения, которые берут на себя SSH сервер работает на стандартный порт 22.
Использовать альтернативный метод аутентификации, кроме простых паролей. Подробнее об этом ниже. Если это не вариант, убедитесь, что сильная, сложных паролей или фразы используется.
- SSH обеспечивает альтернативный метод аутентификации, который успешно сокращает угадывания пароля нападений. Этот метод проверки подлинности на основе криптографических ключей, или так называемых закрытых ключей и открытого ключа. Открытый ключ размещается на сервере, и выступает в качестве шлюза для пользовательского доступа к вашей учетной записи. Этот замок можно открыть только с соответствующего частного ключа. После того, как вы этот ключ, вы получаете доступ. Пароль угадать атак будут неудачными, как нападавшие не может угадать или создать такой частный ключ. Все современные SSH серверы настроены по умолчанию, чтобы поддержать этот метод аутентификации. Тем не менее, они обычно не на основе пароля авторизации в случае неправильного частный ключ при условии, открывая двери для нападений угадать пароль еще раз. Сервер должен быть настроен, а согласиться на основе ключей аутентификации
- , только
- Настройка SSH с криптографическими ключами, очень проста и занимает всего несколько минут. Предыдущая статья написана Брайаном Hatch иметь имя
- для безопасного доступа между индивидуальным пользователем и SSH сервер. Для получения дополнительной информации о принимающих ключевые порожденных каждом сервере,
- статьи может быть также в использовании. Затем, если SSH crytpo ключи в использовании, читатель может потребоваться еще один пример
- сделать это проще и быстрее для того, чтобы войти с помощью SSH.
для смягчения последствий этой стратегии будет успешным.
SSH пользователей Тождества
хостом SSH ключ защиты
SSH и SSH-агент
В некоторых случаях пароль подлинности на основе или доступ к SSH-сервер не может быть отключена. В тех случаях, другие меры должны быть приняты. Мы видели, что нападающие угадать счет и иметь хорошие знания существующей системы счетов и счетов можно часто найти в компьютерных системах. Если атакующий имеет возможность угадать имя учетной записи, которая существует в системе – по нашим honeypot этом была достигнута на 96.30% по умолчанию учетных записей в системе RedHat honeypot – злоумышленник уже одной ногой в дверь. Таким образом, мы рекомендуем не использовать легко guessable счета имена, такие, как общие имена. Не используйте ‘Питер’, ‘Ян’ или ‘Марка’ а, скорее, создать учетную запись имен, содержащих сочетания имени и фамилии, например, “seifer_chr”. Это, как правило, может быть достигнуто за счет администратор, который контролирует назначение учетных записей. Кроме того, мы видим, что “корень счета является наиболее часто используется имя учетной записи для атаки, как это обычно существует на компьютерные системы. Мы рекомендуем, чтобы удаленный доступ к этому счету просто отключен. Вместо этого администратор должен “Су” (суперпользователя) получить доступ к этому счету первым через учетную запись обычного пользователя.
Нападающие часто пытались угадать счета, которые существуют в большинстве систем по умолчанию, например, FTP и MySQL. Доступ к корпусу может быть получена только по этим счетам, если оболочка, связанные с этой учетной записи. Для тех счетов, как FTP или MySQL, что существуют просто для запуска услуги на машине, без скорлупы, необходимо и должны быть отключены, фактически запрет удаленного доступа с этих счетов с помощью SSH. В дополнение к учетной записи имен, которые не могут быть, догадались, важно, чтобы пользователи пароли сильным. Мы видели, что пароли, используемые в нападениях нередко совпадают имена счет или счет, имена с номером последовательности. Мы предполагаем, что нападавшие выбрать эти пароли, поскольку они являются наиболее “успешных” в злоумышленных попыток входа. Это означает, что по крайней мере, некоторые пользователи устанавливают свои пароли к этим легко guessable строк. Единственный способ администратор системы может запретить пользователям выбирать такие пароли, установив различные инструменты, например, + пароль , что силы пользователям выбирать надежные пароли.
Нападающие использовании инструмент для выполнения угадывания пароля и логина попытки, как, например, захваченного сканера,
QT
и
55hb
. Однако, несмотря на эти инструменты, минимальное среднее время попытки входа было около двух секунд, из-за искусственной задержки на неудачных попытках входа в который был включен в SSH-сервера, а также различные сетевые задержки. Хотя это обеспечивает защиту от атаки грубой силы, всего несколько попыток, и угадать, которые необходимы на слабых внимание имена и пароли для них будет поставлена под угрозу. Меры безопасности, описанные выше, должны быть установлены в целях безопасности, на практике ширина и глубина.
Будущая работа
Наш анализ основывается на данных, захватили наш honeypot. Мы не можем определить, насколько успешно эти атаки против систем, которые можно найти в Интернете. Мы бы сравнить имя учетной записи и пароля комбинации, используемые в нападениях на счет имя / пароль комбинаций, которые существуют на реальных систем с целью определения успеха. Кроме того, мы предложили движущихся прослушивания порт на SSH сервер на некоторые другие неиспользованные порта. Нам необходимо создать систему с такой конфигурацией для оценки ее эффективности. Об авторе
Кристиан Зайферт является членом Новой Зеландии Honeynet альянса.
linuxexposed.com
Комментарии
1 комментарий на “Анализ вредоносных SSH Логин Попытки”
Комментировать
руки обрывать за подобный автоперевод: что за лесозаготовки, что за Корень. Поправить падежов неправильных никак?