Qualcosa su kippo
Un pò di tempo fa, circa un anno, vi avevo parlato di kippo, un honeypot ben fatto e di facile installazione/manutenzione, tra alti e bassi, diverse installazioni/rinunce e via dicendo nell’ ultimo mese e mezzo le cose non stanno andando come speravo… sostanzialmente non sto trovando nulla di interessante. Nel dettaglio c’è sempre il solito bot che fa sempre la stessa cosa, vi riporto i log così capite:
honey@raspberrypi ~/kippo-0.8/log $ cat kippo.log.1 |grep 12:15:
2014-12-06 12:15:29+0000 [SSH..,14589,117.27.158.78] root trying auth password
2014-12-06 12:15:29+0000 [SSH..,14589,117.27.158.78] login attempt [root/admin] failed
2014-12-06 12:15:29+0000 [SSH..,14588,117.27.158.78] root trying auth password
2014-12-06 12:15:29+0000 [SSH..,14588,117.27.158.78] login attempt [root/123456] succeeded
2014-12-06 12:15:29+0000 [SSH..,14588,117.27.158.78] root authenticated with password
2014-12-06 12:15:29+0000 [SSH..,14588,117.27.158.78] starting service ssh-connection
2014-12-06 12:15:30+0000 [SSH..,14588,117.27.158.78] got channel session request
2014-12-06 12:15:30+0000 [SSH..,14588,117.27.158.78] channel open
2014-12-06 12:15:30+0000 [-] root failed auth password
2014-12-06 12:15:30+0000 [-] unauthorized login:
2014-12-06 12:15:30+0000 [SSH..,14588,117.27.158.78] asking for subsystem “sftp”
2014-12-06 12:15:30+0000 [SSH..,14588,117.27.158.78] {}
2014-12-06 12:15:30+0000 [SSH..,14588,117.27.158.78] failed to get subsystem
2014-12-06 12:15:31+0000 [SSH..,14588,117.27.158.78] remote close
2014-12-06 12:15:31+0000 [SSH..,14588,117.27.158.78] sending close 0
honey@raspberrypi ~/kippo-0.8/log $
Qui c’è tutto l’ ultimo log, diviso in 3 parti:
Cosa succede? Succede che una volta trovata la psw di root il bot richieda sftp, non trovando il servizio esce e ricomincia da capo, trova la psw di root e richiede il servizio di sftp, e così continua in eterno! Il che è inutile/ridicolo/poco interessante….
Facendo un giro in rete ho trovato altri che hanno notato questo comportamento e quindi un fork di kippo in cui c’è la possibilità di poter abilitare sftp è proprio quel che servirebbe per vedere cosa c@$$o succede una volta il bot trova sto c@$$o di sftp. Se avete dato un’occhiata al log che ho linkato sopra noterete che gli accessi sono dai 5 ai 9 quotidiani e succede sempre la stessa cosa! Demoralizzante…
Facendo un reverse possiamo vedere che la maggior parte degli attacchi proviene sempre dalla stessa botnet.
l’IP 103.41.124.15 proviene da Hong Kong
il 122.225.109.103 da Huzhou, Zhejiang in China come anche il 122.225.103.95 e il 122.225.109.106 da Huzhou in China sono tutti nella stessa rete.
il 212.83.172.29 invece è francese, e almeno che non sia già rotato l’ip
sudo nmap -sS -sV -O 212.83.172.29 -P0
PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
445/tcp open netbios-ssn
3389/tcp open ms-wbt-server Microsoft Terminal Service
49154/tcp open msrpc Microsoft Windows RPC
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Microsoft Windows 7|8|Vista|2008
OS CPE: cpe:/o:microsoft:windows_7::-:professional cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_server_2008::sp1
OS details: Microsoft Windows 7 Professional or Windows 8, Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7, Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
Probabile che sia un zombie e manco lo sappia, infettato da qualche malware.
Comunque tornando a kippo, mi son già procurato il fork con l’sftp, appena ho un attimo libero provvederò a sostituirlo sulla raspbian e vedremo come andrà a finire!
Stay tuned and Happy Hacking
noyse
Tags: honeypot, kippo, malware, raspberry, raspbian, ssh