Ботнеты, участвующие в «медленном брутфорсе», стали умнее / Информационная безопасность / Хабрахабр

Ботнеты, участвующие в «медленном брутфорсе», стали умнее

Примерно в начале ноября специалисты по безопасности заметили необычное поведение ботнетов. Они начали координированную работу по медленному перебору логинов и паролей к самым разным хостам. Специалисты называют это «медленным брутфорсом», потому что скорость перебора паролей крайне мала (нужно перебрать все комбинации паролей для всех возможных логинов по словарю) — этот процесс займёт несколько лет. Но за счёт огромного числа машин, участвующих в «атаке», дело всё-таки постепенно продвигается — каждый день злоумышленники получают какой-то «улов». Запросы идут с разных IP (см. логи). Атака явно координируется из общего центра (у ботов есть общий словарь для перебора вариантов).

К настоящему моменту ботнеты перебрали уже больше половины словаря и дошли до буквы “o”. Чем это закончится и кто стоит за странной активностью — пока не совсем понятно. Также неясно, почему злоумышленники не трогают машины под OpenBSD.

Ясно только одно: в последнее время активность ботнетов претерпела изменения. Уменьшилось количество попыток подбора пароля для каждого логина с 10-15 до 1-4. Специалисты считают, что причиной этого может стать перераспределение ресурсов в ботнете. Боты динамически переключаются с более сложных целей на более простые и перераспределяют ресурсы.

Поиск в интернете информации о медленном брутфорсе показывает, что первые признаки были замечены ещё в мае 2008 года. Проанализировать неизвестного противника можно только если объединить логи от разных сервисов, на которых присутствует активность этих ботов.

+50

24 декабря 2008, 16:09

alizar

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

комментарии (101)

–4

PSHKGRZN 24 декабря 2008, 16:22 #

А может это последствия кризиса?

PSHKGRZN 24 декабря 2008, 18:07 # ↑

Приходит «заказчик» к хацкеру и говорит:
«Кризис! — Нет денег! — Я могу платить на три четверти меньше...»

На что ему хацкер:
«— Ну, раз так — будем работать по новому методу — скорость меньше, — но эффективность та же! Идёт?»

:)

НЛО прилетело и опубликовало эту надпись здесь

catsmile 24 декабря 2008, 16:34 #

Похоже, Лэйн развлекается.

Kukalyakin 24 декабря 2008, 17:22 # ↑

Кто?

ooprizrakoo 24 декабря 2008, 17:24 # ↑

Lain

ooprizrakoo 24 декабря 2008, 17:25 # ↑

ssve 24 декабря 2008, 18:15 # ↑

Что за пятно? От лазерного прицела? ;D

ooprizrakoo 24 декабря 2008, 18:23 # ↑

Ага.

Frosty 25 декабря 2008, 00:25 # ↑

Сошедший с ума подросток-наркоман дрожащими руками целится в Лейн.

Killy 24 декабря 2008, 17:26 # ↑

Serial Experiments Lain

catsmile 24 декабря 2008, 17:27 # ↑

Лэйн Ивакура. google: Serial Experiments Lain. Всячески рекомендую, кстати.

Kukalyakin 24 декабря 2008, 17:29 # ↑

О! Я читал какую-то из глав манги, а аниме не смотрел. Психоделико)

catsmile 24 декабря 2008, 17:30 # ↑

Я вчера закончил досматривать, всё никак руки не доходили. В конце авторы уж больно завернули, правда. Но доброта осталась.

mq0 24 декабря 2008, 16:41 #

А это целенаправленная атака или просто накрывают сервера с открытыми портами(по ssh судя по логам ходят)

Benderlidze 24 декабря 2008, 17:15 # ↑

а если закрыть ssh со всех айпи, только со своего открыть…

TiGR 24 декабря 2008, 17:23 # ↑

Надо просто юзать 2048-битные ключики, помимо текстовой авторизации.

–1

twi 24 декабря 2008, 17:38 # ↑

как это поможет против перебора?

kabachok 24 декабря 2008, 17:39 # ↑

ну можно отключить вход по паролю, оставить только по ключу

ishua 24 декабря 2008, 17:41 # ↑

как поможет 2048-битный ключ против перебора? вы вопрос то осознали или не в теме?:))

я поясню, при автоизации использовать не только пароль, но еще и открытый ключ ;) только с паролем авторизацию запретить.

twi 24 декабря 2008, 17:46 # ↑

а понятно. можно вообще только с консоли работать. или выключить от греха. :)

ishua 24 декабря 2008, 17:48 # ↑

ну можно и спать на потолке, но использовать ключ сильно напряженным не считаю…

twi 24 декабря 2008, 17:52 # ↑

не считая того, что его надо где-то хранить. ну а если честно я согласен.

pietrovich 24 декабря 2008, 23:27 # ↑

ключики на SSH это не только безопасность, но и удобство :)
яя себе putty/far(winscp) настраиваю на работу с конкретным ключиком и не парюсь по поводу ввода паролей :)

korynd 25 декабря 2008, 19:52 # ↑

Может, просто использовать несловарный пароль?

angry_elf 24 декабря 2008, 18:07 # ↑

ssh надо просто перевешивать на нестандартный порт (за 1024-й)

mixermsk 24 декабря 2008, 18:24 # ↑

От случайной атаки спасёт, но если решат докопаться до отдельно взятого сервера — вероятней всего по ответам сервисов поймут что и где висит. Зафаерволиться надёжней.

angry_elf 24 декабря 2008, 18:29 # ↑

Ну в статье и не пишут про конкретную атаку. А базовая защита от script-kiddie (перевешивание стандартных сервисов на нестандартные порты) даёт серьезную уверенность в том, что случайной серьезной атаки на сервер просто не будет.

mixermsk 24 декабря 2008, 18:29 # ↑

Кстати, если перевесить ssh, на 22й порт повесить portsentry — вполне может помочь :)

TiGR 25 декабря 2008, 10:54 # ↑

От ботнета-то?

mixermsk 25 декабря 2008, 15:22 # ↑

Да. При попытке соединиться с 22м портом бот попадает в hosts.deny, соответственно проверить свою версию пароля у него возможности нет.

TiGR 25 декабря 2008, 15:47 # ↑

И как это помешает другому боту стукнуться в другой порт? Речь-то шла именно об этом.

valer00n 24 декабря 2008, 21:12 # ↑

Тогда уж проще держать руку на пульсе новостей, и оперативно менять пароль как только становится известны текущая позиция в словаре перебора.

pietrovich 24 декабря 2008, 23:26 # ↑

не всегда удобно. бывает нужно порулить черт знает откуда… или IP дома динамичский, как у меня.
поэтому для себя решаю проблему подъемом OpenVPN на нестандартном порту с авторизацией сертификатами (теперь пусть брутфорсят, ага). все порты снаружи закрываю кроме VPN и публичных сервисов (http, https, etc), а из внутренней сети могу творить все что угодно :)

flashvoid 24 декабря 2008, 17:48 # ↑

Накрывают по открытым портам.

bomj 24 декабря 2008, 16:55 #

похоже развлекается CIA XD

mytribune 24 декабря 2008, 17:06 #

Их бы палить по этому признаку и собирать в одну базу.
Сервис IsMyComputerPartOfBotnet.com, сообщающий, светился ли мой IP-адрес (и адреса из моей подсетки) в подобных атаках, был бы востребован :)

brick 24 декабря 2008, 17:11 # ↑

Быстрее меня печатаете :)

twi 24 декабря 2008, 17:42 # ↑

Отличная идея для сайта, прикольный домен.

merlin_rterm 24 декабря 2008, 20:29 # ↑

А вот вы подумайте, как работает spamhaus.

marapper 25 декабря 2008, 09:59 # ↑

дурацкая привычка использовать домен первого уровня как часть слова, ага :)

TiGR 25 декабря 2008, 10:58 # ↑

Тогда уж AmIZombie

akeepaki 25 декабря 2008, 08:23 # ↑

И чтобы, к примеру, гугл (или наверное для тех, у кого комп может быть в рабстве, это должны быть одноклассники какие-нить :) говорил, ваш ИП находится в базе ботов и отсылал на инструкцию по мерам, которые необходимо применить.

MaEcTPo 26 декабря 2008, 00:08 # ↑

Вот только плохо будет, если сеть за НАТом, и в ней сидит с одной айпишника много людей, и каждый из них будет видеть это сообщение, а тот кто и вправду часть ботнета не пользуется гуглом/однокласниками или даже не понимает что такое IP и прочее. Но идея хорошая, поддерживаю.

brick 24 декабря 2008, 17:09 #

Фуф, моего адреса в логах нет, я не зомби!

А вообще хорошо бы создать базу бот-логов где бы человек мог автоматически проверять свой адрес и выявлять нахождение бота на своей машине.

bogolt 24 декабря 2008, 17:12 #

хм кажется настает время когда придется создавать интернет внутри интернета

breeze 24 декабря 2008, 17:15 #

>Также неясно, почему злоумышленники не трогают машины под OpenBSD.

гм ;) наверное потому, что в OpenBSD под дефолту запрещено всё, что не разрешено. А так же потому, что OpenBSD — это одна из немногих OS с минимальным количеством уязвимостей за всю историю сети ;)

twi 24 декабря 2008, 17:36 # ↑

дело не в самой OpenBSD а в админах, которые не станут использовать слабые пароли, если уж используют obsd ;)

freefd 25 декабря 2008, 19:59 # ↑

поверьте, они используют ключи :)

–2

goreev 24 декабря 2008, 17:25 #

А что если изменить логин, так чтобы он начинался на последную букву альфавита. А перед тем как они будут подходить к этой букве изменить логин, чтобы он начинался на первую. Или уже сейчас можно изменить логин, чтобы он начинался на букву «А», если они ее уже прошли!

Enemoh 24 декабря 2008, 17:30 # ↑

не думаю что они линейно подбирают.

goreev 25 декабря 2008, 17:58 # ↑

Написанно же, что уже дошли до буквы «о». Откуда бы иначе можно было бы сделать такое утверждение?!

TiGR 24 декабря 2008, 17:25 #

Осиротевшие боты ищут новый приют? :) Стучатся, бедные, во все двери, предлагают пароли по словарю…

ZoRgSoft 24 декабря 2008, 17:30 #

Заметил, заметил, на наш сервер фряхи так и лезут, медленно переберают с разных сетей, уже поднадоело банить ипшники их.

kabachok 24 декабря 2008, 17:39 #

mail.pddsl.de
mail.carena-ci.com
огорчает наличие таких костов. говорит о том что даже провайдерские сервера не особо защищены

kabachok 24 декабря 2008, 17:41 # ↑

ns.pe3ny.net
ns.realtrade.lv
да уж ))

twi 24 декабря 2008, 17:49 # ↑

думаю жертвы, тут-же присоединяются к перебору…

middle 24 декабря 2008, 19:22 # ↑

У меня в логах даже .gov был :)

bagyr 24 декабря 2008, 17:40 #

Вывод: пароли нужно начинать с буквы «z».

kabachok 24 декабря 2008, 17:44 # ↑

пароль вообще нужно в кириллице писать :D

Enemoh 24 декабря 2008, 17:43 # ↑

это может спасти от одного взломщика, но когда тысячи их и у каждого по части словаря и действуют они не по цепочки а поочереди.

ishua 24 декабря 2008, 17:49 # ↑

а еще лучше с Z или с! или какой нить другой экзотики !@#$%^* :)

TiGR 24 декабря 2008, 17:55 # ↑

Этот пароль в их словаре на пятой строчке. Сразу после 123456.

akral 24 декабря 2008, 20:07 # ↑

!@#$%^*
не равно
!@#$%^

Всё дело — в звёздочке!

TiGR 25 декабря 2008, 10:59 # ↑

Ну да, ну да, ошибочка вышла. Не на пятой строчке. На шестой. :)

+17

Liksys 24 декабря 2008, 18:12 # ↑

Нет, это Google осознал себя как личность…

–7

welovedoit 24 декабря 2008, 18:17 # ↑

Жалко заряда нехватает. Реально заржал аки лошадь. :)

welovedoit 24 декабря 2008, 20:50 # ↑

Вот теперь у меня его ещё меньше, так что извини, дал бы плюс, но сообщество мешает. Чтоб оно было здорово.

–8

welovedoit 24 декабря 2008, 20:56 # ↑

И ещё меньше! Всё же вы ржачные до невозможности.
Сидят, бдят, плюсомёт наготове держат. Кто тут сказал что-то? Минус, минус, минус.

ishua 24 декабря 2008, 17:52 #

кстати а как они перебирают? SSH, то? имен пользователей они не знаю и не могут знать, не уж то root по ssh ищут? или имена пользователей тоже перебирают, ну тогда года им врятли хватит…

kabachok 24 декабря 2008, 17:52 # ↑

вы смотрели то логи?

ishua 24 декабря 2008, 17:58 # ↑

виноват, каюсь :(

mixermsk 24 декабря 2008, 18:28 # ↑

логи показывают, что брутят с разных адресов по разным логинам и паролям. причем брутят в большом количестве.

Cancel 24 декабря 2008, 18:44 # ↑

Я перевесил ssh со стандартного порта на другой. Сразу брутфорс прекратился. За год ни одной попытки. А до этого круглосуточно долбились.

На апач продолжают долбиться. Ищут стандартные дыры в популярных программах. Давно хочется honeypot поставить, да никак не соберусь.

ivlis 24 декабря 2008, 18:43 # ↑

Кстати это идея, повесить VPS и ждать улова…

Cancel 24 декабря 2008, 18:45 # ↑

Когда-то ставил. Ничего интересного, устанавливают скрипт, который сразу начинает слать спам. Причём всё автоматом делается, похоже.

CKA304HUK 24 декабря 2008, 18:46 # ↑

/*грустно*/
жаль

uranik 24 декабря 2008, 21:19 # ↑

Но можно узнать с какого ip присылают новый спам и раскрутить цепочку :)

silverwind 26 декабря 2008, 22:15 # ↑

Можно и не мечтать… думаете у них нет обходных путей от волчьих ям несчастных «цру-шников»? ;-)

silverwind 26 декабря 2008, 22:16 # ↑

P.S. написал и подумал, что под «несчастными цру-шниками» я конечно же! имел в виду не вас (нас), а именно цру-шников которые 100% что пытаются так «их» словить…

CKA304HUK 24 декабря 2008, 18:45 # ↑

мысль /*полез клепать ханипот*/

ivlis 24 декабря 2008, 18:45 #

У меня тоже самое на всех компах у которых открыт ssh наружу.

Мне кажется что запрет рута по ssh и не особо тривиальные логины (не user или dad) решают проблему.

Если кому надо, могу выложить километры логов :)

Exmas 24 декабря 2008, 19:10 #

Восстание машин?

technowizard 24 декабря 2008, 19:18 #

Может кому пригодится. Для iptables:

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s [TRUSTED_IP_IS_HERE] --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j SSHSCAN
-A SSHSCAN -m recent --set --name SSH
-A SSHSCAN -m recent --update --seconds 300 --hitcount 4 --name SSH -j LOG --log-prefix «SSH SCAN blocked: „
-A SSHSCAN -m recent --update --seconds 300 --hitcount 4 --name SSH -j DROP
-A SSHSCAN -j ACCEPT

и ботнеты идут гулять 5 минут после 3 неудачных попыток подбора пароля. По опыту они вообще оставляют свои попытки подбирать пароль после того, как ssh перестает их пускать.

technowizard 24 декабря 2008, 19:32 # ↑

* ботнеты = боты :)

prodd 24 декабря 2008, 21:42 # ↑

для freebsd ваш вариант = установить sshit(порт /usr/ports/security/sshit) простой перл скрип который добавляет в блокировку фаерволом ип адрес после x попыток, на y секунд

hostmaster 25 декабря 2008, 13:50 # ↑

статью читали внимательно? оба варианта не рабочие, потому что
— попыток (с одного IP) крайне мало (одна, две)
— эти средства не блокируют доступ постоянно а только на некоторое время (и это правильно) по этому когда с того же IP опять придет бот через 2 дня (неделю) то бан будет уже снят

надо собирать централизованно информацию с нескольких хостов (чем больше тем лучше) чтобы правильно оценить ситуацию. если не хотите использовать denyhosts, можно написать свой вариант с централизованным syslog сервером и распространением block list-ов на защищаемые сервера каким то способом (rsync)

еще вариант научить sshd проверять адрес клиента через dnsbl и вести соответствующие списки

pietrovich 24 декабря 2008, 23:32 #

первые признаки были замечены ещё в мае 2008 года.

или оценены и наблюдения опубликованы.
у себя с в логах некоторых машин с открытым SSH (обычно это не так, но случаи бывают разные) замечал такое безобразие еще в прошлом году

или речь идет о том что факт замедления а не банального распределенного брутфорса начали наблюдать в мае?

egorinsk 25 декабря 2008, 01:43 #

В общем, тем кто юзает несловарные пароли бояться нечего, я так понимаю. Так что все хорошо))

А это — сскорее форма наказания для нерадивых админов, чем реальная угроза.

flashvoid 25 декабря 2008, 03:15 #

А сегодня вход с логинами на «p» и «o» зпрещен… не самая умная была мысль перебирать в алфавитном порядке…

hostmaster 25 декабря 2008, 13:39 #

— сменить порт ssh на не стандартный, если вдруг вы еще этого не сделали
— запретить доступ root-у через ssh или разрешить только ему авторизоваться только по ключу (PermitRootLogin without-password)
— поставить DenyHosts, написаный на python демон следящий за попытками подбора паролей и имеющая возможность обмениваться этой информацией с другими хостами

passshok 25 декабря 2008, 20:15 #

Как сменить сигнатуру sshd на OpenBSD-шную?

hostmaster 26 декабря 2008, 17:32 # ↑

VersionAddendum

passshok 26 декабря 2008, 19:43 # ↑

Это только в BSD? Похоже что если gentoo linux, то придется патчить.

hostmaster 29 декабря 2008, 12:22 # ↑

да, это FreeBSD шный патч

LDEV 26 декабря 2008, 10:00 #

Мы обрубили все попытки ботов просто перенеся нужные сервисы на другой порт. Все популярные программы поддерживают выбор альтернативного порта.

Логи SSH раньше были мегабайтными за день, а теперь пустуют… Причем выделенный сервер, нигде не светился…

Информационная безопасность