Pagina actualizada el .

Como parte de mi proyecto de investigación en ciberseguridad, esta página presenta un panel de datos con un resumen de la información de tráfico no deseado registrada por mi honeypot. Utilizo el honeypot de SSH y Telnet Cowrie instalado en una computadora Raspberry Pi 400 como mi configuración básica. Los datos de Cowrie se combinan con información de dos proveedores externos: MaxMind GeoLite2 se utiliza para obtener la geolocalización y los detalles de sistema autónomo de las direcciones IP desde donde se origina el tráfico no deseado que recopila el honeypot; VirusTotal proporciona información sobre los archivos de malware identificados como utilizados en ataques contra el honeypot. Puedes encontrar más detalles sobre mi configuración de honeypot aquí.

En esta página se utilizan las siguientes definiciones:

• El tráfico no deseado es todo el tráfico hacia el honeypot que no responde a solicitudes realizadas por el honeypot. «Tráfico no solicitado» sería una forma alternativa de describirlo. El tráfico no deseado se divide en escaneos y ataques.
• Los escaneos son casos de tráfico no deseado que no intentan iniciar sesiones en el honeypot. Los escaneos incluyen actividades inofensivas como las que realizan motores de búsqueda, rastreadores web y escaneadores no maliciosos de direcciones IP y puertos como los que se utilizan para la investigación. Los escaneos también incluyen actividades más dañinas, como el tipo de reconocimiento malicioso que suele ser el preludio de ataques.
• Los ataques son una categoría de tráfico no deseado en la que se intenta iniciar una sesión en el honeypot presentando credenciales en forma de pares de nombre de usuario y contraseña.
• Los ataques con éxito son aquellos ataques que logran iniciar una conexión con el honeypot presentando una combinación de nombre de usuario y contraseña que es aceptada por el honeypot. Los ataques con éxito obtienen acceso a un shell remoto en el honeypot.
• Los ataques activos son el subconjunto de ataques con éxito en los que el atacante, una vez en el shell remoto, ejecuta comandos de Linux o código malicioso. Por el contrario, los ataques pasivos finalizan la conexión con el shell remoto inmediatamente después de iniciar la sesión. Este último patrón se ve a menudo en labores de reconocimiento malicioso.
• El malware creado son archivos de código malicioso creados por el atacante en el honeypot mediante el uso de comandos y redirección durante la sesión de ataque.
• El malware transferido son archivos externos de código malicioso que se transfieren al honeypot a través de descargas originadas desde el honeypot o cargas originadas desde el exterior. La diferencia entre estos dos métodos es que los URLs de los ficheros maliciosos son conocidos y capturados durante las descargas pero no durante las cargas. Ejemplos de comandos que se utilizan para transferir malware incluyen curl, wget, ftp, scp, etc.

1. Indicadores de tráfico no deseado
2. Indicadores de ataques
1. Todos los ataques
2. Ataques con éxito
3. Indicadores de ficheros maliciosos
1. Interacciones
2. Ficheros
4. Listas de ficheros maliciosos
1. Ficheros
2. Sitios de distribución
5. Lista de credenciales
6. Lista de protocolos
7. Listas de direcciones IP
1. Origen de tráfico no deseado
2. Origen de escaneos
3. Origen de ataques
8. Tendencias de tráfico
1. Tendencia de tráfico no deseado
2. Tendencia de escaneos
3. Tendencia de ataques
9. Distribuciones por país de origen
1. Distribución de tráfico no deseado
2. Distribución de escaneos
3. Distribución de ataques
10. Distribuciones por sistema autónomo
1. Distribución de tráfico no deseado
2. Distribución de escaneos
3. Distribución de ataques
11. Mapa de geolocalización

Una conexión o sesión se define como una interacción única de una entidad externa el nuestro honeypot. Incluye toda la actividad (es decir, el tráfico que fluye de un lado a otro) entre la conexión inicial y la finalización de la sesión. Las conexiones de tráfico no deseadas en la Tabla 1 se dividen en escaneos y ataques. La tabla también proporciona el número de direcciones IP únicas desde donde se originó el tráfico no deseado:

Los ataques en la Tabla 2 se dividen en ataques con éxito (es decir, el honeypot aceptó la combinación de nombre de usuario y contraseña) y ataques fallidos. (NOTA: La distribución de ataques en fallidos y exitosos depende de la configuración del honeypot, como se explica aquí). Direcciones IP únicas es el número de direcciones IP únicas desde donde se originaron ataques (de ambos tipos):

Los ataques con éxito en la Tabla 3 se dividen en ataques activos (es decir, con comandos o programas maliciosos ejecutados en el shell remoto) y ataques pasivos. Direcciones IP únicas es el número de direcciones IP únicas desde donde se originaron ataques con éxito:

En la Tabla 4, el número de interacciones con ficheros maliciosos se divide entre el número de creaciones de ficheros a través de redirección de comandos, y el número de tansferencias de ficheros a través de cargas y descargas. En general, los atacantes utilizan redirección de comandos para generar ficheros auxiliares como aquellos que recopilan información sobre el sistema blanco de ataques, mientras que las cargas y descargas suelen ser usadas para transferir los ficheros de programas maliciosos:

La Tabla 5, muestra la distribución de ficheros maliciosos únicos —en sus dos categorías de creados y transferidos— y el número de URLs de sitios de descarga de malware:

La Tabla 6 muestra los hashes SHA-256, prevalencia (expresada ​​como el número de ataques en los que aparecen), type, y valoración de VirusTotal de los 10 ficheros más comunes usados en ataques. El valor NA indica que no había información de VirusTotal disponible en el momento cuando se realizó la consulta. Esto puede ser debido a dos causas: que los proveedores de datos de VirusTotal no tuvieran información sobre el fichero, o que la consulta a VirusTotal no se puediera completar correctamente. Dos ficheros dominan la lista: a846...f8f2 es un fichero de clave pública de OpenSSH RSA confirmado por las fuentes de VirusTotal como parte de un programa troyano malicioso. 01ba...546b es un fichero de sólo un byte (carácter de nueva línea) que originalmente se clasificó como falso positivo pero que actualmente se considera malicioso. El fichero en cuestión es parte de un intento de reemplazar el archivo /etc/hosts.deny y, por tanto, permitir todos los intentos de conexión posteriores:

Los URLs de los 10 sitios más utilizados para descargar ficheros maliciosos se muestran en la Tabla 7:

La Tabla 8 muestra las 10 combinaciones de nombre de usuario y contraseña más intentadas en el honeypot. Aparte de términos esperados (por ejemplo, root, admin), se detectaron algunas credenciales interesantes, como 345gs5662d34 y variantes. La comunidad de investigadores no tiene claro el origen y el propósito de esos intentos. Se ha propuesto que podrían ser cadenas de caracteres lo suficientemente únicas como para poder ser usadas como rastros de migas que los hackers pueden buscar para tener una idea de cómo se rastrea su actividad en las redes. O tal vez las palabras en cuestión son la forma en que términos comunes de nombres de usuario o contraseñas se traducen a texto ASCII cuando se escriben en teclados de escritura no latina:

La distribución de conexiones no deseadas por protocolo de comunicación se muestra en la Tabla 9. Esta información confirma que, al menos en mi honeypot, se prefiere SSH sobre Telnet como vector de ataque en una proporción de más de 4:1:

La Tabla 10 enumera las 10 direcciones IP más activas en términos de conexiones no deseadas (escaneos o ataques). Para cada dirección IP, se muestra el país desde donde opera y el número del sistema autónomo (ASN) al que la dirección fue asignada. En general, las direcciones IP que fueron el origen de un gran número de conexiones no deseadas estuvieron activas durante breves períodos de tiempo y la mayoría de ellas se limpiaron en 24 horas. Hubo excepciones a esta pauta. Un puñado de direcciones IP mostraron una actividad sostenida y de gran volumen durante más de 72 horas. Reportamos esas direcciones IP sospechosas a sus respectivos proveedores de servicios y la limpieza se llevó a cabo dentro de las 24 horas posteriores al informe. Geolocalizar direcciones IP no es una ciencia exacta, por lo que esta información debe manejarse con cuidado. Por ahora no tratamos de determinar si una dirección IP fue realmente el origen del tráfico no deseado, o si fue parte de un sistema intermediario, como una VPN o un proxy:

La Tabla 11 muestra la información correspondiente a las 10 direcciones IP más activas que fueron el origen de escaneos:

La Tabla 12 muestra la información correspondiente a las 10 direcciones IP más activas que fueron el origen de ataques:

El Gráfico 1 muestra la tendencia en el tiempo del tráfico no deseado recibido en el honeypot, en sus dos categorías de escaneos y ataques. El tiempo entre puntos de datos en el gráfico es de horas. El volumen de ataques es muy volátil y muestra diferentes patrones a lo largo del tiempo. Por el contrario, existe una base de referencia bastante consistente de escaneos que comienza en el momento de activación del honeypot y continúa durante toda la serie de datos. Mi hipótesis es que ese tráfico es el resultado de un escaneo permanente de todo el espacio de direcciones IPv4, tanto en sus variantes inofensivas como maliciosas. Los períodos de tiempo en los que el número de ataques disminuyó significativamente y permaneció bajo fueron el resultado de una serie de experimentos controlados para averiguar el impacto ejercido sobre el tráfico recogido de cambios en la dirección IP del honeypot:

El Gráfico 2 muestra la tendencia de escaneos a lo largo del tiempo. Aunque hay picos, se puede observar una base de referencia constante de escaneos durante todo el período de recogida de datos. En una investigación futura, intentaré diferenciar entre escaneos inofensivos y maliciosos cruzando la lista de direcciones IP desde donde se originaron los escaneos con 1) una lista de direcciones IP de conocidos escaneadores y rastreadores/crawlers como, por ejemplo, Censys , Shodan, Googlebot, Bingbot, etc., y 2) listas de direcciones IP maliciosas proporcionadas por servicios como VirusTotal, AbuseIPDB, etc.:

El Gráfico 3 muestra la tendencia de ataques a lo largo del tiempo. Se han observado distintos patrones de tráfico. Durante el primer mes y medio de operación del honeypot, se observó una pauta —a la que aquí llamaremos patrón 1— caracterizado por una nivel bajo de ataques. Creo que ese período se trató de una especie de "calentamiento" del honeypot durante el cual fue descubierto por bots en misión de reconocimiento. Después de aproximadamente 6 semanas, el nivel de ataques aumentó significativamente a un nuevo nivel. Este patrón de preparación del honeypot se observó cada vez que se cambió la dirección IP del señuelo: 19 de enero de 2024, 23 de mayo de 2024 y 7 de noviembre de 2024. Es interesante reseñar que el tiempo de calentamiento parece reducirse a lo largo del tiempo: 6 semanas, 4 semanas, 3 semanas y 2 semanas. Durante toda la serie se observaron picos esporádicos de alta actividad de ataques. El tráfico en esos picos se originó desde un número muy pequeño de direcciones IP; algunos de los picos se atribuyeron a una única dirección IP sospechosa. La pauta de picos parece indicar que la mayoría de las direcciones IP desde donde se originan grandes volúmenes de ataques se detectan y limpian en 24 horas. Informé a las redes correspondientes sobre las actividades de aquellas direcciones IP que fueron responsables de grandes volúmenes de ataques durante períodos de tiempo superiores a 72 horas. Todas las direcciones IP así denunciadas cesaron su actividad maliciosa (al menos la visible a través del honeypot) dentro de las 24 horas posteriores a la denuncia. Algunos, pero no todos, los operadores de red contactados respondieron confirmando sus actividades de limpieza:

El Gráfico 4 muestra los 10 países que fueron origen de más tráfico no deseado (escaneos y ataques):

El Gráfico 5 muestra los 10 países que fueron origen de más escaneos:

El Gráfico 6 muestra los 10 países que fueron origen de más ataques:

El Gráfico 7 muestra los 10 sistemas autónomos que fueron origen de más tráfico no deseado (escaneos y ataques):

El Gráfico 8 muestra los 10 sistemas autónomos que fueron origen de más escaneos:

El Gráfico 9 muestra los 10 sistemas autónomos que fueron origen de más ataques:

El siguiente mapa muestra el lugar de origen del tráfico no deseado (escaneos y ataques) recibido en mi honeypot. El mapa es interactivo. Haz clic en el icono de capas en el ángulo inferior izquierdo para maximizar o minimizar la leyenda del mapa. Con la leyenda visible, haz clic en los iconos de visualizar a la derecha de los tres tipos de tráfico para seleccionar escaneos, ataques, todo el tráfico o combinaciones de lo anterior. La información de geolocalización se obtuvo utilizando las bases de datos MaxMind GeoLite2. Como se reseñó anteriormente, esta información debe manejarse con precaución, ya que está sujeta a las limitaciones conocidas de geolocalización y atribución de direcciones IP. También es posible que las direcciones IP se hayan utilizado con una VPN o un servicio proxy para enmascarar el verdadero origen del tráfico.