Honeypots : activité de la semaine 41

TEHTRIS a observé l’activité sur son réseau de honeypots en semaine 41. Certaines tendances restent identiques par rapport aux semaines passées. Ainsi, la faille EternalBlue représente l’écrasante majorité de l’activité détectée par le module TEHTRIS NTA. De même, le port non-standard le plus utilisé reste le port 6379 (utilisé dans le cadre de l’exploitation d’une vulnérabilité sur les instances Redis). Enfin, les adresses IP à l’origine de la majorité de l’activité réseau malveillante sur les honeypots sont enregistrées principalement aux Pays-Bas (21,76%), aux Etats-Unis (20%), en Chine (12,8%) et en Bulgarie (8%), comme observé les semaines précédentes.

Outre ces éléments, TEHTRIS a analysé cette semaine trois autres types de comportements malveillants.

Sommaire

Abus du protocole SSH : tentatives de connexion de 9 adresses IP au comportement similaire

TEHTRIS a surveillé le protocole SSH sur son réseau de honeypots cette semaine. Il est intéressant d’observer un comportement similaire émanant de 9 adresses IP différentes :

Adresse IP

AS

Pays

37.245.56[.]240

AS 5384 EMIRATES TELECOMMUNICATIONS CORPORATION

AE

84.199.203[.]118

AS 6848 TELENET BVBA

BE

179.129.4[.]13

AS 26599 TELEFONICA BRASIL S.A

BR

99.249.29[.]5

AS 812  ROGERS-COMMUNICATIONS

CA

119.146.57[.]210

AS 4134 CHINANET

CN

42.4.194[.]149

AS 4837 CHINA UNICOM CHINA169 BACKBONE

CN

221.0.168[.]23

AS 4837 CHINA UNICOM CHINA169 BACKBONE

CN

83.138.45[.]80

AS 15704 XTRA TELECOM S.A.

ES

83.23.33[.]30

AS 5617 ORANGE POLSKA SPOLKA AKCYJNA

PL

Ces adresses IP sont détectées successivement le même jour et sont à l’origine de tentatives de connexion SSH utilisant les 21 mêmes identifiants. Elles ciblent principalement des IP lituaniennes, finlandaises, portugaises et britanniques. L’adresse IP brésilienne 179.129.4[.]13 est associée au nom de domaine vivozap.com[.]br, observé dans des cas d’attaques.

Hormis les identifiants « classiques » (root, admin, test…), les logins par défaut suivants ont été utilisés :

  • debian / temppwd, qui sont les identifiants par défaut de certaines versions de routeurs BeagleBone
  • login : cirros / mot de passe : goscubsgo ou cubswin:), identifiants par défaut du système d’exploitation sous Linux CirrOS expliqué dans l’article des honeypots semaine 40
  • login : pi / mot de passe : raspberry, identifiants par défaut d’anciennes version de Raspberry Pi OS, un système d’exploitation libre et gratuit basé sur Debian
  • ethos / live, identifiants par défaut de ethOS, une OS optimisé pour l’extraction de cryptomonnaires comme Ethereum, Zash, Monero
  • miner / mmpOS, qui sont les identifiants par défaut de la plateforme de minage mmpOS

 

TEHTRIS en profite pour rappeler à nouveau cette règle primordiale d’hygiène numérique : ne jamais laisser les logins et mots de passe par défaut de toute machine ou logiciel, en particulier ceux exposés sur Internet.

Tentative de compromission de TCP 3389

L’étude de l’activité réseau faisant appel à des ports autres que les ports réservés (soit >1024) montre que près d’un événement sur dix est une requête TCP sur le port 3389, réalisée par plus de 1100 adresses IP différentes.

Le port 3389 est associé au Remote Desktop Protocol (RDP) de Windows, permettant l’accès au bureau à distance. Plusieurs vulnérabilités ont été découvertes sur le RDP, permettant à un attaquant d’exécuter du code arbitraire à distance. Ces failles ont été corrigées depuis par Microsoft. Cependant, les attaques ciblant les systèmes Windows de Remote Desktop exposés sur internet sont toujours bien d’actualité : le nouveau groupe de ransomware surnommé Venus et actif depuis l’été 2022 obtient l’accès au réseau de ses victimes par ce biais.

Ainsi, il est fortement déconseillé d’exposer le port 3389 sur internet, car il pourrait servir d’accès aux attaquants qui scannent encore activement ces vulnérabilités datant de 2019. Et peut-être à juste titre, car selon le moteur de recherche Shodan.io, plus de 3 millions de ports 3389 sont encore exposés sur internet !

Poursuite des tentatives d’exploitation de routeurs D-Link

Cette semaine encore, plus d’une centaine de tentatives d’exploitation de routeurs D-Link vulnérables ont été observées sur les honeypots de TEHTRIS. Ces requêtes ont fait l’objet d’une explication plus détaillée en semaine 38.

Les requêtes contiennent des connexions vers 35 serveurs malveillants différents pour télécharger le fichier malveillant Mozi.m (botnet) :

Adresse IP Port AS Pays
179.43.175[.]5 AS 51852 PRIVATE LAYER INC CH
179.43.163[.]105 AS 51852 PRIVATE LAYER INC CH
112.28.39[.]234 39756 AS 9808 CHINA MOBILE COMMUNICATIONS GROUP CO., LTD. CN
113.25.203[.]184 48048 AS 4134 CHINANET CN
115.48.217[.]218 38272 AS 4837 CHINA UNICOM CHINA169 BACKBONE CN
115.54.232[.]252 58935 AS 4837 CHINA UNICOM CHINA169 BACKBONE CN
115.60.60[.]195 37077 AS 4837 CHINA UNICOM CHINA169 BACKBONE CN
119.187.195[.]140 34387 AS 4837 CHINA UNICOM CHINA169 BACKBONE CN
120.83.79[.]34 39639 AS 17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE CN
124.42.176[.]117 39864 AS 17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE CN
125.106.159[.]51 38498 AS 4134 CHINANET CN
125.117.106[.]167 37185 AS 4134 CHINANET CN
125.47.212[.]63 45960 AS 4837 CHINA UNICOM CHINA169 BACKBONE CN
163.179.233[.]138 55458 AS 17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE CN
221.14.111[.]125 49504 AS 4837 CHINA UNICOM CHINA169 BACKBONE CN
27.215.70[.]186 56740 AS 4837 CHINA UNICOM CHINA169 BACKBONE CN
42.227.237[.]130 52788 AS 4837 CHINA UNICOM CHINA169 BACKBONE CN
58.252.164[.]133 56207 AS 17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE CN
60.179.68[.]181 33989 AS 4134 CHINANET CN
61.3.188[.]115 44589 AS 9829 NATIONAL INTERNET BACKBONE CN
61.53.17[.]13 53424 AS 9829 NATIONAL INTERNET BACKBONE CN
103.121.174[.]129 54040 AS 137655 ANGEL AIR NETWORK SOLUTIONS PVT. LTD. IN
103.183.33[.]71 47628 AS 133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED IN
117.201.203[.]112 37600 AS 9829 NATIONAL INTERNET BACKBONE IN
117.215.240[.]15 55856 AS 9829 NATIONAL INTERNET BACKBONE IN
117.216.18[.]64 38915 AS 9829 NATIONAL INTERNET BACKBONE IN
117.221.127[.]246 45314 AS 9829 NATIONAL INTERNET BACKBONE IN
202.164.136[.]104 40553 AS 17465 CABLE ISP IN INDIA IN
210.89.58[.]184 33620 AS 133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED IN
223.130.30[.]142 37215 AS 133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED IN
223.130.30[.]166 53165 AS 133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED IN
59.99.200[.]114 51145 AS 9829 NATIONAL INTERNET BACKBONE IN
1.246.222[.]6 1473 AS 9318 SK BROADBAND CO LTD KR
82.151.125[.]134 47150 AS 12389 ROSTELECOM RU
102.33.108[.]55 51151 AS 327782 METROFIBRE-NETWORX ZA

5 adresses IP de l’AS 4837 CHINA UNICOM sont associées au même nom de domaine hn.kd.ny[.]adsl.

TEHTRIS recommande de toujours appliquer les mises à jour dès qu’elles sont disponibles.

Cyber or not Cyber ?

Abonnez-vous à la newsletter TEHTRIS.

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.

Pour pousser le sujet

Publications similaires

Cyber or not cyber ?

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.