12P by neo 6달전 | favorite | 댓글 3개
  • 허니팟: 공격자가 시스템에 침입하려 할 때 공격을 감지하고 기록하는 장치
    • SSH 허니팟: SSH를 대상으로 하는 허니팟
  • 30일간 SSH Honeypot을 운영한 결과
    • 30일간 총 11,599번의 로그인 시도가 있었으며, 하루 평균 386번의 로그인 시도가 있었음
    • 가장 많이 사용된 사용자명은 root, 345gs5662d34, admin, pi 등이었음. 그외 ubuntu, ubnt, support, user, oracle 등
      • 345gs5662d34는 Polycom CX600 IP 전화기의 기본 자격증명일 가능성이 있음.
    • 가장 많이 사용된 비밀번호는 345gs5662d34, 3245gs5662d34, admin, 123456, password 등이었음
  • 로그인 후 실행된 명령어들을 분석한 결과, 다음과 같은 의심스러운 활동들이 발견됨:
    • 가장 많이 실행된 명령어
      • echo -e “\x6F\x6B”: 6,775회
      • cd ~; chattr -ia .ssh; lockr -ia .ssh: 1,016회
      • uname -s -v -n -r -m: 320회
    • oinasf 스크립트 실행 후 uname -s -m 명령어로 시스템 정보 수집 시도
    • ./ip cloud print 명령어를 통해 MikroTik 라우터 공격 시도
    • mdrfckr 암호화폐 채굴기 설치 및 다른 채굴기 프로세스는 종료시킴
    • MIPS 아키텍처 악성코드 유포 시도(주로 라우터와 IoT 장치 대상)
    • Gafgyt (BASHLITE) 악성코드의 일부인 Sakura.sh 스크립트 실행
      • Gafgyt는 IoT 기기와 리눅스 시스템을 감염시키는 봇넷으로, DDoS 공격 등의 기능을 가지고 있음
      • 약한 비밀번호나 기본 비밀번호, 알려진 취약점을 이용해 장치를 장악하려 함
      • 2014년부터 존재하며, DDoS 공격을 실행할 수 있는 여러 변종으로 발전함

GN⁺의 의견

  • 허니팟을 통해 공격 패턴을 분석하고 방어 전략을 세우는 데 유용함.
  • 기본 사용자 이름과 비밀번호를 사용하는 것은 매우 위험함을 알 수 있음.
  • IoT 장치와 라우터는 특히 취약하므로 보안 설정을 강화해야 함.
  • 암호화 채굴기와 같은 멀웨어는 시스템 자원을 낭비하고 보안 위협을 초래함.
  • 새로운 보안 위협에 대비하기 위해 지속적인 모니터링과 업데이트가 필요함.

345gs5662d34가 높길래 찾아 보니 특정 키보드에서 password라는 이야기( https://isc.sans.edu/diary/Common+usernames+submitted+to+honeypots/… )가 있는데, 확실히는 모르겠네요...

약간 votmdnjem(패스워드) 같은 느낌일 수 있겠네요

Hacker News 의견
  • 자체 호스팅 메일 서버와 방화벽 로그 분석: 비정상적인 트래픽을 차단하기 위해 스크립트를 설정하고, 인터넷 보안 회사의 스캐너 네트워크를 차단하여 불필요한 트래픽을 50% 이상 줄임.

  • 비밀번호 로그인 재활성화 후 보안 문제: 비밀번호 로그인을 잠시 활성화한 후 수천 건의 로그인 시도가 발생했으며, 대부분 중국에서 발생한 것으로 확인됨.

  • 스캐너 시각화: 스캐너의 위치와 ASN을 시각화하여 더 나은 이해를 제공함. 엄격한 검증 절차를 가진 VPS 제공자가 스캐너 활동을 줄이는 데 도움이 됨.

  • SSH 보안 설정: SSH 서버의 보안을 강화하기 위해 포트 변경, 비밀번호 인증 비활성화, 특정 사용자만 허용하는 설정을 추천함.

  • 공개 키 인증만 사용하는 SSH: 공개 키 인증만 사용한다면 fail2ban 같은 추가 보안 도구가 큰 도움이 되지 않으며, VPN 같은 추가 방어층을 추천함.

  • 중국 IP 차단: 대부분의 SSH 로그인 시도가 중국에서 발생하므로 중국 IP를 차단하고 필요 시 일시적으로 해제함.

  • 익명 FTP 서버 운영 경험: 2000년대 초반 익명 FTP 서버를 운영하며 최신 크랙 소프트웨어를 쉽게 얻었던 경험을 공유함.

  • 자체 서버 호스팅의 긍정적 측면: 인터넷에 노출된 모든 것은 누군가가 악용하려고 시도할 것이므로, 보안에 대한 이해를 높이는 것이 중요함.

  • 알 수 없는 명령어 'lockr': 'lockr' 명령어에 대한 참조를 찾을 수 없으며, 주로 악성 코드가 chattr 명령어와 함께 실행하는 것으로 관찰됨.

  • MikroTik 라우터와 공격자 활동: MikroTik 라우터의 클라우드 DNS 기능을 이용해 공격자가 라우터의 동적 DNS 항목을 확인하고, IP 주소 변경 시에도 접근할 수 있도록 함.