TEHTRIS a observé l’activité sur son réseau de honeypots en semaine 41. Certaines tendances restent identiques par rapport aux semaines passées. Ainsi, la faille EternalBlue représente l’écrasante majorité de l’activité détectée par le module TEHTRIS NTA. De même, le port non-standard le plus utilisé reste le port 6379 (utilisé dans le cadre de l’exploitation d’une vulnérabilité sur les instances Redis). Enfin, les adresses IP à l’origine de la majorité de l’activité réseau malveillante sur les honeypots sont enregistrées principalement aux Pays-Bas (21,76%), aux Etats-Unis (20%), en Chine (12,8%) et en Bulgarie (8%), comme observé les semaines précédentes.
Outre ces éléments, TEHTRIS a analysé cette semaine trois autres types de comportements malveillants.
Sommaire
Abus du protocole SSH : tentatives de connexion de 9 adresses IP au comportement similaire
TEHTRIS a surveillé le protocole SSH sur son réseau de honeypots cette semaine. Il est intéressant d’observer un comportement similaire émanant de 9 adresses IP différentes :
|
Adresse IP |
AS |
Pays |
|
37.245.56[.]240 |
AS 5384 EMIRATES TELECOMMUNICATIONS CORPORATION |
AE |
|
84.199.203[.]118 |
AS 6848 TELENET BVBA |
BE |
|
179.129.4[.]13 |
AS 26599 TELEFONICA BRASIL S.A |
BR |
|
99.249.29[.]5 |
AS 812 ROGERS-COMMUNICATIONS |
CA |
|
119.146.57[.]210 |
AS 4134 CHINANET |
CN |
|
42.4.194[.]149 |
AS 4837 CHINA UNICOM CHINA169 BACKBONE |
CN |
|
221.0.168[.]23 |
AS 4837 CHINA UNICOM CHINA169 BACKBONE |
CN |
|
83.138.45[.]80 |
AS 15704 XTRA TELECOM S.A. |
ES |
|
83.23.33[.]30 |
AS 5617 ORANGE POLSKA SPOLKA AKCYJNA |
PL |
Ces adresses IP sont détectées successivement le même jour et sont à l’origine de tentatives de connexion SSH utilisant les 21 mêmes identifiants. Elles ciblent principalement des IP lituaniennes, finlandaises, portugaises et britanniques. L’adresse IP brésilienne 179.129.4[.]13 est associée au nom de domaine vivozap.com[.]br, observé dans des cas d’attaques.
Hormis les identifiants « classiques » (root, admin, test…), les logins par défaut suivants ont été utilisés :
- debian / temppwd, qui sont les identifiants par défaut de certaines versions de routeurs BeagleBone
- login : cirros / mot de passe : goscubsgo ou cubswin:), identifiants par défaut du système d’exploitation sous Linux CirrOS expliqué dans l’article des honeypots semaine 40
- login : pi / mot de passe : raspberry, identifiants par défaut d’anciennes version de Raspberry Pi OS, un système d’exploitation libre et gratuit basé sur Debian
- ethos / live, identifiants par défaut de ethOS, une OS optimisé pour l’extraction de cryptomonnaires comme Ethereum, Zash, Monero
- miner / mmpOS, qui sont les identifiants par défaut de la plateforme de minage mmpOS
TEHTRIS en profite pour rappeler à nouveau cette règle primordiale d’hygiène numérique : ne jamais laisser les logins et mots de passe par défaut de toute machine ou logiciel, en particulier ceux exposés sur Internet.
Tentative de compromission de TCP 3389
L’étude de l’activité réseau faisant appel à des ports autres que les ports réservés (soit >1024) montre que près d’un événement sur dix est une requête TCP sur le port 3389, réalisée par plus de 1100 adresses IP différentes.
Le port 3389 est associé au Remote Desktop Protocol (RDP) de Windows, permettant l’accès au bureau à distance. Plusieurs vulnérabilités ont été découvertes sur le RDP, permettant à un attaquant d’exécuter du code arbitraire à distance. Ces failles ont été corrigées depuis par Microsoft. Cependant, les attaques ciblant les systèmes Windows de Remote Desktop exposés sur internet sont toujours bien d’actualité : le nouveau groupe de ransomware surnommé Venus et actif depuis l’été 2022 obtient l’accès au réseau de ses victimes par ce biais.
Ainsi, il est fortement déconseillé d’exposer le port 3389 sur internet, car il pourrait servir d’accès aux attaquants qui scannent encore activement ces vulnérabilités datant de 2019. Et peut-être à juste titre, car selon le moteur de recherche Shodan.io, plus de 3 millions de ports 3389 sont encore exposés sur internet !
Poursuite des tentatives d’exploitation de routeurs D-Link
Cette semaine encore, plus d’une centaine de tentatives d’exploitation de routeurs D-Link vulnérables ont été observées sur les honeypots de TEHTRIS. Ces requêtes ont fait l’objet d’une explication plus détaillée en semaine 38.
Les requêtes contiennent des connexions vers 35 serveurs malveillants différents pour télécharger le fichier malveillant Mozi.m (botnet) :
| Adresse IP | Port | AS | Pays |
| 179.43.175[.]5 | – | AS 51852 PRIVATE LAYER INC | CH |
| 179.43.163[.]105 | – | AS 51852 PRIVATE LAYER INC | CH |
| 112.28.39[.]234 | 39756 | AS 9808 CHINA MOBILE COMMUNICATIONS GROUP CO., LTD. | CN |
| 113.25.203[.]184 | 48048 | AS 4134 CHINANET | CN |
| 115.48.217[.]218 | 38272 | AS 4837 CHINA UNICOM CHINA169 BACKBONE | CN |
| 115.54.232[.]252 | 58935 | AS 4837 CHINA UNICOM CHINA169 BACKBONE | CN |
| 115.60.60[.]195 | 37077 | AS 4837 CHINA UNICOM CHINA169 BACKBONE | CN |
| 119.187.195[.]140 | 34387 | AS 4837 CHINA UNICOM CHINA169 BACKBONE | CN |
| 120.83.79[.]34 | 39639 | AS 17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE | CN |
| 124.42.176[.]117 | 39864 | AS 17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE | CN |
| 125.106.159[.]51 | 38498 | AS 4134 CHINANET | CN |
| 125.117.106[.]167 | 37185 | AS 4134 CHINANET | CN |
| 125.47.212[.]63 | 45960 | AS 4837 CHINA UNICOM CHINA169 BACKBONE | CN |
| 163.179.233[.]138 | 55458 | AS 17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE | CN |
| 221.14.111[.]125 | 49504 | AS 4837 CHINA UNICOM CHINA169 BACKBONE | CN |
| 27.215.70[.]186 | 56740 | AS 4837 CHINA UNICOM CHINA169 BACKBONE | CN |
| 42.227.237[.]130 | 52788 | AS 4837 CHINA UNICOM CHINA169 BACKBONE | CN |
| 58.252.164[.]133 | 56207 | AS 17816 CHINA UNICOM IP NETWORK CHINA169 GUANGDONG PROVINCE | CN |
| 60.179.68[.]181 | 33989 | AS 4134 CHINANET | CN |
| 61.3.188[.]115 | 44589 | AS 9829 NATIONAL INTERNET BACKBONE | CN |
| 61.53.17[.]13 | 53424 | AS 9829 NATIONAL INTERNET BACKBONE | CN |
| 103.121.174[.]129 | 54040 | AS 137655 ANGEL AIR NETWORK SOLUTIONS PVT. LTD. | IN |
| 103.183.33[.]71 | 47628 | AS 133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED | IN |
| 117.201.203[.]112 | 37600 | AS 9829 NATIONAL INTERNET BACKBONE | IN |
| 117.215.240[.]15 | 55856 | AS 9829 NATIONAL INTERNET BACKBONE | IN |
| 117.216.18[.]64 | 38915 | AS 9829 NATIONAL INTERNET BACKBONE | IN |
| 117.221.127[.]246 | 45314 | AS 9829 NATIONAL INTERNET BACKBONE | IN |
| 202.164.136[.]104 | 40553 | AS 17465 CABLE ISP IN INDIA | IN |
| 210.89.58[.]184 | 33620 | AS 133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED | IN |
| 223.130.30[.]142 | 37215 | AS 133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED | IN |
| 223.130.30[.]166 | 53165 | AS 133661 NETPLUS BROADBAND SERVICES PRIVATE LIMITED | IN |
| 59.99.200[.]114 | 51145 | AS 9829 NATIONAL INTERNET BACKBONE | IN |
| 1.246.222[.]6 | 1473 | AS 9318 SK BROADBAND CO LTD | KR |
| 82.151.125[.]134 | 47150 | AS 12389 ROSTELECOM | RU |
| 102.33.108[.]55 | 51151 | AS 327782 METROFIBRE-NETWORX | ZA |
5 adresses IP de l’AS 4837 CHINA UNICOM sont associées au même nom de domaine hn.kd.ny[.]adsl.
TEHTRIS recommande de toujours appliquer les mises à jour dès qu’elles sont disponibles.