Blog

Les pirates attaquent 70 fois par minute : que se passe-t-il lorsqu'un ordinateur n'est pas sécurisé sur Internet

Chaque appareil connecté à Internet possède une adresse IP unique. Ces adresses IP sont publiques et permettent aux ordinateurs de se trouver et de communiquer entre eux via le protocole Internet. Normalement, nous souhaitons permettre aux parties légitimes de se connecter à nos adresses IP et éloigner les adversaires en utilisant des pare-feu, l'authentification et le contrôle d'accès.



Mais que se passerait-il si nous ne prenions aucune de ces précautions ? Combien de temps faudrait-il à des pirates malveillants pour trouver et attaquer votre appareil ? Quelles méthodes utiliseraient-ils ? Que recherchent-ils ? Et d'où viennent-ils ?

Les chercheurs de Comparitech ont cherché à trouver des réponses à ces questions en mettant en place des pots de miel, des ordinateurs factices conçus pour attirer les attaquants afin que nous puissions enregistrer chacun de leurs pas.



Les chercheurs ont mis en place des dispositifs honeypot émulant une gamme de services accessibles sur Internet et prenant en charge un large éventail de protocoles, notamment RDP, SSH, MySQL, VNC, etc. Les pots de miel n'étaient pas sécurisés, de sorte qu'aucune authentification n'était requise pour y accéder et les attaquer. Grâce à cette méthode, les chercheurs de Comparitech ont cherché à déterminer quels types d'attaques se produiraient, à quelle fréquence et d'où elles provenaient.

Rapport de pirate informatique



Au total, nos chercheurs101 545 attaques sur une période de 24 heures, soit 70 attaques par minute.Pour vous donner une idée de l'augmentation des attaques, un Étude de 2007 à l'Université du Maryland n’a enregistré que 2 244 attaques par jour, soit une fraction de ce que nous avons enregistré en 2021.

Types d'attaques : SSH en tête de liste

Les attaques SSH par force brute étaient de loin les plus courantes contre notre pot de miel. SSH, ou Secure Shell, est un protocole crypté utilisé pour accéder à distance aux ordinateurs, gérer les serveurs et exécuter des scripts. Il est logique qu’il s’agisse du type d’attaque le plus courant, car presque tous les appareils prennent en charge SSH d’une manière ou d’une autre.

Les attaques par force brute tentent de deviner le nom d'utilisateur et le mot de passe pour l'accès SSH au serveur. Vous pouvez voir quels noms d’utilisateur et mots de passe ont été les plus fréquemment devinés dans les nuages ​​de mots ci-dessous :

noms d
Noms d’utilisateur les plus souvent devinés lors des attaques par force brute SSH.
mots de passe
Mots de passe les plus souvent devinés lors d'attaques par force brute.

Voici un aperçu des principaux types d’attaques enregistrés sur notre pot de miel :

  • Force brute SSH – Tentatives de deviner la phrase secrète pour accéder à un serveur (73 325)
  • Attaques TCP/UDP – Attaques contre les services qui utilisent ces protocoles et paquets. (12 927)
  • Voleurs d'informations d'identification – Les logiciels malveillants analysent l'appareil de la victime à la recherche de mots de passe et de jetons d'authentification (6 523)
  • Détournement RDP – Le protocole Remote Desktop de Microsoft peut être compromis, donnant aux attaquants un contrôle total à distance sur un appareil Windows (5 797)
  • Attaques par shellcode – Attaques qui tentent d'exécuter à distance le code de l'attaquant sur l'appareil de la victime, généralement pour exploiter une vulnérabilité logicielle (2 263)
  • Attaques ADB – Attaques exploitant des ponts de débogage Android non sécurisés, un outil de ligne de commande pour les appareils Android, notamment les téléphones, les appareils de streaming et les téléviseurs intelligents (487)
  • Exploitation Cisco ASA CVE ou DoS – Une attaque spécifique qui cible les appareils Cisco non corrigés. (53)
  • Attaques Web – La plupart du temps, des attaquants volent des informations d'identification sur des pages Web (139)
  • Attaques SMTP – attaques contre les serveurs et clients de messagerie. (31)

Les trois principaux ports attaqués par ordre décroissant étaient 5900 (VNC), 22 (SSH) et 443 (HTTPS).

ports
Ports les plus fréquemment ciblés.

Que recherchaient les assaillants ?

Lorsque les attaquants ont accédé à nos systèmes via SSH, la plupart ont commencé par tenter de révéler des informations de base sur le système. Voici le top 10 des commandes utilisées par les attaquants enregistrées par notre honeypot :

commandes

À partir de là, les attaquants lanceraient probablement d’autres attaques en fonction de ce qu’ils trouveraient. S'ils trouvent une version non corrigée d'un logiciel présentant une vulnérabilité de sécurité, ils prendront alors des mesures pour exploiter cette vulnérabilité, par exemple. S’ils trouvent une base de données, ils commenceront alors à exfiltrer les données. Ils pourraient également installer un ransomware, un cryptomineur ou toute une série d’autres logiciels malveillants.

Les chercheurs ont également remarqué que les attaquants tentaient d'examinercrontab, un système de planification de tâches sur les systèmes Unix. Ils recherchaient probablement des répertoires de sauvegarde, des utilitaires système et des logiciels installés. D'autres étaient intéressés par les statistiques du processeur et les processus en cours d'exécution pour voir ce qui était installé sur le pot de miel.

À propos des attaquants

Environ 98 % des adresses IP d’origine des attaquants figuraient déjà sur des listes noires accessibles au public. Nous avons enregistré des tentatives d'accès non autorisées provenant de robots et d'explorations (3), de scanners de masse (85), de nœuds de sortie Tor (101) et de certaines adresses IP peu recommandables signalées par notre outil de surveillance (614).

systèmes d

Environ les deux tiers des attaques provenaient de systèmes d’exploitation inconnus, parmi lesquels des Mac, entre autres. Parmi ceux que nous connaissons, 9,5 % provenaient d’appareils Windows et 17,5 % d’appareils Linux.

des pays

Retracer une attaque dans un pays spécifique est un peu douteux, car de nombreux attaquants, sinon la plupart, utiliseront des proxys pour se cacher. Ceci étant dit, voici la répartition des adresses IP d’origine des attaquants par pays :

  1. Chine – 32 %
  2. Russie – 19%
  3. États-Unis – 15 %
  4. France – 7%
  5. Singapour – 5,5%
  6. Irlande – 5,5%
  7. Brésil – 4%
  8. Ukraine – 4%
  9. Inde – 4%
  10. Corée du Sud – 3%

Les pirates préfèrent-ils cibler des systèmes d’exploitation spécifiques ?

Les chercheurs de Comparitech ont tenté de répondre à cette question en déguisant le pot de miel en différents systèmes d'exploitation, notamment Windows, MacOS et Linux.

Ils n’ont enregistré aucune différence significative dans le nombre d’attaques ciblant un système d’exploitation particulier.

Cela étant dit, les chercheurs admettent que les attaquants pourraient être trop intelligents pour leur stratagème. Nos chercheurs ont déguisé le pot de miel Linux en un autre système d'exploitation en modifiant la valeur TTL par défaut, un paramètre par lequel la plupart des scanners automatisés déterminent le système d'exploitation et la version installés. Mais certains scanners peuvent voir au-delà de cette astuce.

De plus, de nombreux services et protocoles activés sur notre pot de miel sont indépendants du système d'exploitation, ce qui signifie qu'ils fonctionnent sur n'importe quel système d'exploitation et sont vus de la même manière par les attaquants, quel que soit le système d'exploitation sous-jacent.

Notes sur la méthodologie

Les chercheurs de Comparitech se sont appuyés sur T-Pot pour une grande partie de cette expérience. T-Pot est une suite open source d'outils utilisés pour la surveillance des pots de miel, notamment :

  • Cockpit – une interface Web légère et un terminal Web pour surveiller Docker, les systèmes d'exploitation et les performances en temps réel.
  • Cyberchef – une application Web pour le cryptage, l'encodage, la compression et l'analyse des données.
  • Pile ELK – pour visualiser magnifiquement tous les événements capturés par T-Pot.
  • Elasticsearch Head – une interface Web pour parcourir et interagir avec un cluster ElasticSearch.
  • Fatt – un script basé sur pyshark pour extraire les métadonnées réseau et les empreintes digitales des fichiers pcap et du trafic réseau en direct.
  • Spiderfoot – un outil d'automatisation du renseignement open source.
  • Suricata – un moteur de surveillance de la sécurité du réseau.

Ces outils ont permis à nos chercheurs de surveiller les services et protocoles honeypot suivants :

  • adbhoney – un protocole conçu pour garder une trace des téléphones, téléviseurs et DVR émulés et réels connectés à un hôte donné
  • ciscoasa – Composant Cisco ASA capable de détecter CVE-2018-0101, une vulnérabilité DoS et d'exécution de code à distance
  • citrixhoneypot – émule CVE-2019-19781 afin que nous puissions analyser les tentatives d'exploitation
  • conpot – émule des infrastructures complexes pour convaincre un attaquant qu'il vient de trouver un immense complexe industriel
  • cowrie – Pot de miel SSH et Telnet conçu pour enregistrer les attaques par force brute et les interactions avec le shell
  • dicompot – un serveur DICOM entièrement fonctionnel avec une touche d'originalité
  • dionaea – intègre Python comme langage de script, utilise Libemu pour détecter les shellcodes, prend en charge IPv6 et TLS
  • elasticpot – simule un serveur Elasticsearch vulnérable ouvert sur Internet
  • glutton – utilise de nombreux protocoles bien connus au-dessus du serveur
  • heralding – un simple pot de miel qui collecte les informations d'identification
  • honeypy – émule les services basés sur UDP ou TCP pour fournir plus d'interaction
  • honeysap – pot de miel axé sur la recherche spécifique aux services SAP
  • honeytrap – un outil de sécurité réseau écrit pour observer les attaques contre les services TCP ou UDP
  • ipphoney – simulant une imprimante prenant en charge le protocole d'impression Internet et exposée à Internet
  • mailoney – un pot de miel SMTP
  • medpot – le pot de miel HL7/FHIR
  • rdpy – Pots de miel RDP, VNC et RSS
  • piège – convertit les pages Web existantes en surfaces d'attaque
  • tanneur – supplément client pour Snare
^