GN⁺: SSH Honeypot을 30일 동안 운영하면 보게 되는 것

• 허니팟: 공격자가 시스템에 침입하려 할 때 공격을 감지하고 기록하는 장치
  • SSH 허니팟: SSH를 대상으로 하는 허니팟
• 30일간 SSH Honeypot을 운영한 결과
  • 30일간 총 11,599번의 로그인 시도가 있었으며, 하루 평균 386번의 로그인 시도가 있었음
  • 가장 많이 사용된 사용자명은 root, 345gs5662d34, admin, pi 등이었음. 그외 ubuntu, ubnt, support, user, oracle 등
    • 345gs5662d34는 Polycom CX600 IP 전화기의 기본 자격증명일 가능성이 있음.
  • 가장 많이 사용된 비밀번호는 345gs5662d34, 3245gs5662d34, admin, 123456, password 등이었음
• 로그인 후 실행된 명령어들을 분석한 결과, 다음과 같은 의심스러운 활동들이 발견됨:
  • 가장 많이 실행된 명령어
    • echo -e “\x6F\x6B”: 6,775회
    • cd ~; chattr -ia .ssh; lockr -ia .ssh: 1,016회
    • uname -s -v -n -r -m: 320회
  • oinasf 스크립트 실행 후 uname -s -m 명령어로 시스템 정보 수집 시도
  • ./ip cloud print 명령어를 통해 MikroTik 라우터 공격 시도
  • mdrfckr 암호화폐 채굴기 설치 및 다른 채굴기 프로세스는 종료시킴
  • MIPS 아키텍처 악성코드 유포 시도(주로 라우터와 IoT 장치 대상)
  • Gafgyt (BASHLITE) 악성코드의 일부인 Sakura.sh 스크립트 실행
    • Gafgyt는 IoT 기기와 리눅스 시스템을 감염시키는 봇넷으로, DDoS 공격 등의 기능을 가지고 있음
    • 약한 비밀번호나 기본 비밀번호, 알려진 취약점을 이용해 장치를 장악하려 함
    • 2014년부터 존재하며, DDoS 공격을 실행할 수 있는 여러 변종으로 발전함

GN⁺의 의견

• 허니팟을 통해 공격 패턴을 분석하고 방어 전략을 세우는 데 유용함.
• 기본 사용자 이름과 비밀번호를 사용하는 것은 매우 위험함을 알 수 있음.
• IoT 장치와 라우터는 특히 취약하므로 보안 설정을 강화해야 함.
• 암호화 채굴기와 같은 멀웨어는 시스템 자원을 낭비하고 보안 위협을 초래함.
• 새로운 보안 위협에 대비하기 위해 지속적인 모니터링과 업데이트가 필요함.