it-swarm.com.de

Sich mit DDoS-Angriffen befassen (einschließlich feindlicher IPs von mehreren Honeypots)

Ich habe eine Reihe von DDoS-Versuchen verfolgt und frage mich, ob jemand anderes so etwas gesehen hat.

Ich habe das folgende Powershell-Skript heruntergeladen, das RDP-Ereignisprotokolle (Terminal Server) löscht und an CSV ausgibt. Ich habe das Skript so geändert, dass es auf allen meinen Servern ausgeführt wird, und die gesamte Ergebnismenge in einer CSV-Datei gespeichert, damit ich eine vollständige Netzwerkansicht der Vorgänge sehen kann.

Powershell-Skript zum Scrapen von Terminal Server-Ereignisprotokollen


Abschnitt A: DDoS-Muster

(Basierend auf den Ergebnissen des obigen PowerShell-Skripts zum Abrufen von TS\RDP-Ereignisprotokolldaten):

  1. Computernamen\Login: WIN-XXXXXXXXXXX\Administrator . Mehr als 90% der Angriffe kommen von Maschinen mit diesem Namensformat, einschließlich

    • WIN-8ROR2EODLHP\Administrator
    • WIN-NR0D8EUPULR\Administrator
    • WIN-FSIMHI55CBM\Administrator

um nur einige zu nennen (mit über 80 verschiedenen Maschinennamen, die diesem Format seit Februar 2011 folgen).

  1. Jeder Computername führt über einen kurzen Zeitraum (der einige Sekunden bis ungefähr 20 Minuten dauert) eine Reihe von Versuchen zum erneuten Verbinden und Trennen einer Reihe meiner Server durch. Dieser Computername wird dann nie angezeigt nochmal. Die IP-Adressen zeigen alle "LOCAL" oder leer (nichts). Diese Angriffe, die bereits im Februar 2011 stattfanden, begannen Monate auseinander, haben aber langsam zugenommen. Heute sehe ich 3-4 Gruppen von Angriffen pro Tag.

  2. Im Frontend meines Netzwerks verwende ich einen selbst erstellten DDoS-Sniffer, der veraltete RD-Verbindungen (wie die DDoS-Angriffe) erkennt und die Sitzung automatisch trennt und die IP-Adresse auf die schwarze Liste setzt. Dies verhindert, dass die Angriffe meine RDP-Dienste zum Erliegen bringen.


Abschnitt B: Honeypotting des Angreifers

Daher habe ich einen isolierten "Honeypot" VM ohne Domänen- oder internen Netzwerkzugriff erstellt und fragwürdigen Netzwerkverkehr darauf umgeleitet, sodass ein einzelner DDoS-Angriff eine Remotesitzung von einem gefälschten Wiederverbindungsversuch erfolgreich instanziieren kann) diese Maschine.

Folgendes ist passiert:

  1. Sie versuchten, einen Trojaner Trojaner zu installieren: Win32/Skeeyah.A! Rfn über den folgenden Prozess:

C:\Users\{loggedinUser}\AppData\Local\Temp\5\cssrs.exe; process: _pid: 12320, ProcessStart: 130880953025982534

  1. Sie ersetzten die an den "Remotedesktop-Serverdienst" gebundene ausführbare Datei durch eine modifizierte Version von rdpwrap.dll (von GitHub), wodurch alle neuen Remoteverbindungen gezwungen wurden, über IHREN Code ausgeführt zu werden

  2. Sie erstellten einen neuen lokalen Benutzer namens "WindowsUpdate", meldeten sich dann als dieser Benutzer an und installierten überraschenderweise Steam und Counter-Strike

    • Sie verwendeten auch C:\Windows\System32\netsh.exe, um eine neue Firewall-Regel mit dem Namen "Remotedesktop" für "TCP\Inbound\ALL" für private, Domänen- und öffentliche Netzwerke und für hinzuzufügen Die nächsten 3 Tage (mehrmaliges An- und Abmelden beim Server mit dem neu erstellten WindowsUpdates-Benutzer von viele IP-Adressen [siehe "bekannte IP-Adressen" unten]) spielten das Spiel für a insgesamt 15 Stunden.

Ich konnte mich auch in ihrem Steam-Konto anmelden, das als [email protected] angemeldet war.

Ich habe ihre Rechnungsinformationen nachgeschlagen, die eine AMEX-Karte eines "LB Stein" aus Millford, AZ, verwenden (erste Adresszeile absichtlich weggelassen, aber in der Datei) - aber es gibt kein Millford in AZ, und Online-Karten korrigieren den Abrechnungsstatus zu CT.

Eine umgekehrte Suche der Telefonnummer anhand der Steam-Rechnungsinformationen ergab tatsächlich einen Loribeth Stein in Millford, CT. Ich rief sie an, um ihr mitzuteilen, dass anscheinend jemand ihre Kreditkarteninformationen verwendet - aber sie machte sehr deutlich, dass sie keine Lust hatte, mit mir zu sprechen oder zu arbeiten, unabhängig von meinen Informationen. (Fraglich? Für diesen Beitrag gehe ich davon aus, dass sie mir einfach nicht geglaubt hat und/oder dachte, ich wäre ein Betrugsanruf.)

Ich habe auch ein einzelnes Ereignis "Validierung von Anmeldeinformationen" im Ereignisprotokoll auf meinem Honeypot-Server gefunden, das Folgendes anzeigt:

enter image description here

[UPDATE 04.11.2015]

Vor dem Auslagern der neuen VM habe ich eine Kopie des Windows\Temp-Verzeichnisses abgerufen, des Profilordners des angemeldeten Benutzers ( C:\Users\{LoggedInUser} \, einschließlich verstecktem \appdata) und eine Sicherung der Registrierung des Computers. Ich habe mehrere Wochen damit verbracht, ntuser.dat-Hives und IE Cache, Registrierung und alle anderen Dateien in C:\Users\{LoggedInUser}\appdata Durchzukämmen = und Windows\Temp und haben die folgenden (vorherigen undokumentierten) Informationen abgeleitet:

  1. Eine schädliche .DER-Datei (Zertifikat) wurde von der folgenden URL heruntergeladen:

WARNUNG: Ich empfehle nicht, diese URL zu besuchen!

hxxp://ocsp.omniroot.com/baltimoreroot/MEUwQzBBMD8wPTAJBgUrDgMCGgUABBTBL0V27RVZ7LBduom%2FnYB45SPUEwQU5Z1ZMIJHWMys%2BghUNoZ7OrUETfACBAcnqkc%3D

(Die Datei wird ohne Erweiterung heruntergefahren und enthält Müll im Editor. Daher habe ich TrID File Identifier verwendet, der die Datei als .DER-Zertifikatdatei bestätigte, und die URL in gesucht Google hat den folgenden Artikel gefunden: OCSP.OmniRoot.com-Handbuch zum Entfernen von Viren von Allen Ray @ pcinfectionskiller.com )

  1. IE wurde laut IEBrand-Protokollen gebrandmarkt, aber ich weiß nicht, zu welchem ​​Zweck

  2. Internet Explorer wurde verwendet, um die folgenden Websites zu durchsuchen (und erfolgreich mit den zugehörigen E-Mails anzumelden):

    match.com als [email protected]

    gmail.com als [email protected] (Gabriel Chariton ***)

*** Gabrial Chariton ist ein bekannter Betrüger gemäß YourITToday.com-1 und YourITToday.com-2

  1. Die Registrierungssicherung von Tweaking.com wurde heruntergeladen, installiert und die folgenden Dateien wurden in C gesichert:\RegBackup

    • Lokaler Benutzerprofilordner
    • Lokale Benutzerregistrierung & ntuser.dat-Dateien
    • C:\Windows\ServiceProfiles\LocalService \
    • C:\Windows\ServiceProfiles\NetworkService \
    • C:\Windows\System32\Config ***

*** Dieser Ordner ist eine Sammlung von Netzwerk- und Computerinformationen, die von einem Microsoft-Skript @ C:\Windows\System32\collectNetworkInfo.vbs generiert wurden

  1. (oder 4.2) Eine Datei mit dem Namen dos_restore_renamed.cmd wurde im Verzeichnis C:\RegBackup abgelegt. Der Dateiinhalt kann hier eingesehen werden: dos_restore_renamed.cmd.txt @ textuploader.com "

  2. Der Internet Explorer-Verlauf wurde gelöscht

  3. Mehrere Ereignisprotokolle (einschließlich Sicherheit und Terminalserver) wurden teilweise gelöscht - oder die Protokollierung wurde für mehrere Zeiträume zwischen 40 Minuten und mehr als 2 Stunden gestoppt.


Abschnitt C: Bekannte feindliche IPs und Gemeinsamkeiten über mehrere Honeypots hinweg

  1. IPs, die verwendet werden, um mit den vom Angreifer erstellten Anmeldeinformationen auf meine Honeypots zuzugreifen:
    • 128.71.5.22
    • 128.71.5.53
    • 130.225.59.25
    • 148.251.49.172
    • 154.70.47.90
    • 169.55.19.147
    • 169.55.19.150
    • 169.55.27.134
    • 173.220.35.194
    • 176.226.149.255
    • 178.175.136.114
    • 185.26.144.103
    • 192.3.187.112
    • 198.154.60.102
    • 198.154.60.174
    • 198,58,88,94
    • 199,89,54,108
    • 206.217.140.37
    • 207.182.153.138
    • 37.57.15.23
    • 46.161.40.15
    • 47.22.21.110
    • 5.56.133.145
    • 50.248.158.50
    • 50.255.17.233
    • 77.234.43.139
    • 77.234.43.180
    • 78.68.165.231
    • 80.4.157.18
    • 83.69.0.58
    • 89.163.148.76
    • 93.115.92.244

[UPDATE 02/01/2016]

Seit der Gründung meines ursprünglichen Honeypots habe ich mehrere zusätzliche Honeypots erstellt und nachverfolgt, um aussagekräftigere Daten zu finden. Das Folgende ist eine Zusammenfassung dieser Ergebnisse ...

  1. In meinem zweiten und dritten Honeypot hat der Angreifer einen neuen Benutzer namens "temp" erstellt (im Gegensatz zum "WindowsUpdate" -Nutzer des ursprünglichen Honeypots). Die Verwendung dieses Kontos war nach dem Anmelden mehr oder weniger eine völlig andere böswillige Aktivität als der erste Honeypot. Es gab jedoch insbesondere zwei IP-Adressen, mit denen auf jede einzelne zugegriffen wurde honeypot Ich habe online geschaltet und mich als Benutzer angemeldet, den der Angreifer unmittelbar nach der Kontoerstellung erstellt hat.

    • 5.56.133.145
    • 176.226.149.255
  2. Darüber hinaus teilt die folgende IP (die zum Anmelden bei meinem ursprünglichen Honeypot verwendet wurde) alle IPs bis auf das letzte Oktett mit 2 IPs, die von meiner Network Firewall für DDoS auf die schwarze Liste gesetzt wurden:

    • 46.161.40.15

    Schwarze IPs, ähnliche IPs:

    • 46.161.40.11
    • 46.161.40.20

FreeGeoIP.net kommt zu dem Schluss, dass sowohl 46.161.40.15 als auch 176.226.149.255 aus Russland stammen, während 5.56.133.145 RIPE.net in Kalifornien, USA, gehört, laut whois.arin.net jedoch möglicherweise an einen RIPE.NET-Kunden übergeben wurde . www.RIPE.net/whois sagt, dass es zu einer Adresse und Telefonnummer in Deutschland gehört.


ABSCHNITT D: Netzwerkkonfiguration

Im Allgemeinen sind auf meinen Servern FTP-, Webdienst- und RDP-Ports geöffnet.

RDP verwendet NLA

Die meisten oder alle anderen Ports werden in mehreren Phasen blockiert, vom Gateway bis zu den einzelnen Servern, einschließlich Firewalls, Gruppenrichtlinien und Standardsicherheitspraktiken.


ABSCHNITT E: Vorwärts gehen

  1. Kontaktierte den Steam-Support und wurde informiert, dass sie sich mit dem Problem befassen werden und ich nicht über die Ergebnisse informiert werde

  2. Amex wurde kontaktiert, die Rechnungsinformationen können jedoch keinem aktiven Konto zugeordnet werden

  3. Kontaktiert cywa[email protected] - habe noch nichts davon gehört

34
TaterJuice

Es stellt sich heraus, dass meine vorherige Annahme richtig war. Diese DDoS- "Angriffe" sind eigentlich ein Nebeneffekt eines Makost [dot] net - Botnetzes und sind (in der Tat) NICHT die Absicht des Angreifers Sie scheinen speziell darauf ausgelegt zu sein, KEINE Betriebsstörungen zu verursachen, die uns auf ihre Aktivitäten aufmerksam machen würden. Die Angriffe versuchen tatsächlich, Zugriff auf meine Server zu erhalten, um Serverzeit an Dritte zu vermieten oder zu verkaufen.


Der Angriffsprozess (dh 'Unbeabsichtigtes DDoS')

Der Angriffsprozess ist ungefähr so:

  1. Das Botnetz leitet gestaffelte Anmeldeversuche stapelweise an einen scheinbar zufälligen Block von IPs in Form eines Miniaturwörterbuchs weiter Angriffe & fälschten Wiederverbindungsversuche . Diese Versuche werden immer gestaffelt durchgeführt und scheinen automatisiert zu sein oder nach einem Zeitplan ausgeführt zu werden, der möglicherweise von einer realen Person in die Warteschlange gestellt wird.

  2. Die Anmeldeversuche beginnen meistens mit dem Versuch, sich mit ".\Administrator " (oder " local\Administrator" anzumelden ") als Domain\Benutzername und" Administrator "(wie der Benutzername) als Passwort.
    Wenn " Administrator " fehlschlägt, der Server jedoch auf Standard-RDP-Ports reagiert, werden sie schließlich wieder angezeigt (Sekunden, Minuten, Stunden, Tage oder Wochen später) mit Kenntnis der tatsächlichen Benutzernamen, die für RDP in meinen Servern und Servernamen verwendet wurden, in die diese Benutzer RDP eingegeben haben (vermutlich von kompromittierten Client-Computern geerntet). Meistens wird versucht, sich mit dem Benutzernamen als Passwort anzumelden (dh " {Benutzername} "\" {Benutzername } ", wie jdoe\jdoe, owner\owner usw.).

  3. Fehlgeschlagene Anmeldeversuche werden scheinbar vom Botnet\Angreifer aufgehängt oder offen gehalten, meistens gefolgt von einem Brute-Force-Versuch, die Verbindung erneut herzustellen, wodurch veraltete RDP-Sitzungen zurückbleiben und Ports aufgefressen werden. Dies führt uns zu einem Denial of Service, wenn mehrere Gruppen von Angriffen gleichzeitig empfangen werden.

    • Es scheint, dass dieses Botnetz ihre Angriffe absichtlich versetzt, um nicht für das entdeckt zu werden, was sie wirklich sind. Sie möchten wie isolierte\nicht verwandte Bad-Login-Versuche aussehen, die nur spärlich auf mehrere Server verteilt sind. Mehrere Wellen, die gleichzeitig eingehen, scheinen für den Angreifer unerwünscht zu sein, da ein Denial-of-Service verhindern würde, dass ihre eigenen Wörterbuch-/Brute-Force-Angriffe eine Verbindung herstellen, die Server für sie unzugänglich machen und uns auf böswillige Aktivitäten aufmerksam machen.
    • Obwohl dieses Muster uns seit 2011 angreift, haben sich erst seit 2013 mehrere Angriffe überlappt, als ob sie sich nicht bewusst wären. Vor 2013 war es selten, mehr als eine Charge gleichzeitig zu sehen. Dies sagt mir, dass entweder das Botnetz gespalten ist - neue werden mit derselben Malware betrieben, oder möglicherweise sind die anderen schon eine Weile dort und sie haben nun seit 2013 dieselben Daten wie zuvor erhalten. Es ist auch erwähnenswert, dass ich bereits im Februar 2009 Spuren von ähnlichen Angriffen gefunden habe, die jedoch ein anderes Maschinennamenmuster aufweisen, mit Maschinennamen wie "37L4247D25-07" und "37L4247D28-05" "(siehe Originalbeitrag, " Abschnitt A: DDoS-Muster " für mehr).

Ich konnte Folgendes ableiten, indem ich meine vorhandenen Informationen (Originalbeitrag) mit meinen IIS & http Fehlerprotokollen, ausgehenden Bandbreitenprotokollen und dem Anzeigen von WireShark während des Versuchs verglichen habe Angriffe und Honeypot-Nutzung:

Kompromittierte Computer werden als Botnet-Hosts verwendet, um mithilfe einer ausgeklügelten Sammlung von Malware, Viren, Rootkits, Browser-Sidejacking und einer langen Liste von mehreren tausend bekannten Server-Exploits (php, phpNuke, phpMyAdmin, phpGallery, wordpress, IIS und asp.net konfigurieren, um nur einige zu nennen). Sie scannen auch Netzwerke mit lokalen WPAD-DNS-Abfragen und haben Es wurde versucht, WPAD\Windows Update für einen Man-In-The-Middle-Angriff zu verwenden und Netzwerkdrucker zu hacken, um das Netzwerk zu gefährden Sicherheit.

Ich glaube, das Botnetz verfügt über ein wachsendes zentrales Repository für Server- und Benutzerinformationen, bekannte Exploits und viele weitere Metadaten, mit denen sie die von ihnen angegriffenen Server gefährden können. Diese Maschinen sammeln Daten unabhängig voneinander, aber Angriffe erfolgen in Wellen und folgen immer denselben Mustern.

Sobald ein Server kompromittiert und "vermietet" ist, kann jeder erraten, wofür die angemeldete Partei ihn verwendet, aber "illegal" scheint angesichts dessen, was wir gesehen haben, eine ziemlich gute Schlussfolgerung zu sein (siehe Originalbeitrag, "). Abschnitt B: Honeypotting des Angreifers " für weitere Informationen).


Die feindlichsten IPs

Seit der Gründung meines ursprünglichen Honeypots habe ich mehrere zusätzliche Honeypots erstellt und nachverfolgt, um aussagekräftigere Daten zu finden. Ich habe meinen ursprünglichen Beitrag (Abschnitt C: IP-Adressen) mit 2 zusätzlichen Punkten aktualisiert, die ich hier zusammenfassen werde:

5.56.133.145 und 176.226.149.255 haben sich beide mit MULTIPLE Honeypots angemeldet die vom Angreifer unmittelbar nach der Kontoerstellung erstellten Anmeldeinformationen. 46.161.40.15 wurde verwendet, um sich nur bei meinem ersten Honeypot anzumelden, teilt jedoch die ersten 3 Oktette mit mindestens 2 anderen IP-Adressen, die von meiner Netzwerk-Firewall blockiert wurden DDoS.


Ich habe eine sofortige Reduzierung der DDoS-Angriffe festgestellt, seit ich diesen Artikel gepostet habe (neugierig). Wenn ich meine Kunden kontaktiere und sie dazu bringe, ihre Sicherheit zu installieren/zu aktualisieren und (wichtige) Windows-Updates herunterzuladen, erscheinen die Angriffe immer weniger.


Ich komme NICHT zu dem Schluss, dass Makost [dot] net hinter diesen Angriffen steckt. Mir ist einfach kein anderer Name für diese Art von Botnetz bekannt, aber er folgt denselben Angriffs- und Verwendungsmustern, für die Makost bekannt ist.

Weitere Informationen zu Makost [dot] net finden Sie unter folgendem Link:

http://krebsonsecurity.com/tag/makost/

Ich hoffe, diesen Artikel mit zusätzlichen Informationen zu aktualisieren, sobald ich sie finde. Fragen\Kommentare willkommen. Die IP-Adressen in meinem ursprünglichen Beitrag enthalten sowohl Botnet-Angreifer als auch Benutzer, die in meinem Honeypot angemeldet sind, nachdem dieser "kompromittiert" wurde.

13
TaterJuice

Überprüfen Sie Ihre ausgehenden Bandbreitenprotokolle. Möglicherweise verwendet der Angreifer Ihre Server als eine Art Botnetz. Dies scheint sehr ausführlich zu sein und ich würde die Spooks jetzt anrufen (Sie haben viele Informationen). Ist das vollständige Deaktivieren von RDP eine Option?

1
Chad Baxter