CERTHoneypots

Honeypots : Focus sur la France avant les JO 2024

Les Jeux Olympiques arrivent très prochainement en France ! Mais les cyber attaquants, qui privilégient les cibles liées à l’actualité que ce soit pour perturber l’évènement ou profiter de toute la publicité autour pour lancer des campagnes de phishing à destination des particuliers, sont déjà en ordre de marche pour gagner la médaille d’or sur le plan cyber…

C’est dans ce contexte que TEHTRIS, éditeur de logiciel français, propose un rapport sur les informations récupérées sur son réseau mondial de honeypots, et notamment ceux hébergés en France. Ce réseau de leurres informatiques exposés sur Internet permet de réaliser un suivi de l’évolution des techniques des cyber attaquants utilisées lors des phases de reconnaissance. Les technologies développées par TEHTRIS (Deceptive Response Honeypots et NTA), qui équipent chacun de nos honeypots, permettent de remonter de nombreux logs, utiles pour l’analyse et la réalisation de statistiques.

Ce suivi des techniques les plus utilisées par les groupes cyber malveillants a pour but d’aider à la priorisation des éléments à mettre à jour au sein d’un réseau et de patcher les logiciels et les machines les plus vulnérables. Les renseignements collectés dans cet environnement réel et non-contrôlé permettent d’obtenir des indicateurs de compromission prêts à être utilisés par chaque cyber défenseur, lui permettant ainsi d’adapter au mieux sa posture de défense.

TÉLÉMETRIE

En avril, nos honeypots hébergés en France ont été contactés plus de 20 millions de fois par près de 225 000 adresses IP uniques.

La grande majorité de ces menaces sont issues d’adresses IP hébergées aux États-Unis (45%) comme illustré ci-dessous.

TOP 10 DES PORTS/PROTOCOLES LES PLUS CIBLÉS

Voici le top 10 des ports/protocoles les plus contactés sur nos honeypots hébergés en France pour le mois d’avril 2024.

ProtocolPortIANA associated services%
TCP445SMB26.946%
TCP22SSH11.045%
TCP23Telnet2.959%
TCP80HTTP2.934%
TCP6379Redis1.353%
TCP443HTTPS1.128%
TCP3389Microsoft Windows Based Terminal (WBT) Server used for Windows Remote Desktop Protocol (RDP) and Remote Assistance connections1.068%
TCP8728Unassigned – MikroTik Routers’API1.025%
TCP8443PCsync HTTPS0.551%
UDP5060SIP0.518%

LES SERVICES SSH LARGEMENT CIBLÉS

Pour avril 2024, voici le top 10 des identifiants (login/mot de passe) testés sur le service SSH de nos honeypots hébergés en France :

LoginPassword%
345gs5662d34345gs5662d3439.411%
adminadmin1.855%
rootroot1.188%
root3245gs5662d341.173%
ubntubnt0.949%
000.841%
ubuntu3245gs5662d340.71%
rootpassword0.678%
adminadmin1230.626%
rootadmin0.577%

Ce top 10 illustre une nouvelle fois au combien les cyber attaquants comptent sur l’utilisation des identifiants par défaut et des mots de passe faibles pour obtenir des accès initiaux.

Voici le top 10 des lignes de commandes SSH décodées qui ont été lancées sur son honeypots hébergés en France :

Session.keyword%
cd ~; chattr -ia .ssh; lockr -ia .ssh29.177%
cd ~ && rm -rf .ssh && mkdir .ssh && echo « ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr »>>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~29.151%
cat /proc/cpuinfo | grep name | wc -l8.82%
uname -a2.298%
free -m | grep Mem | awk ‘{print $2 ,$3, $4, $5, $6, $7}’2.035%
cat /proc/cpuinfo | grep name | head -n 1 | awk ‘{print $4,$5,$6,$7,$8,$9;}’2.034%
ls -lh $(which ls)2.031%
crontab -l2.029%
w2.026%
uname -m2.026%

TENTATIVE D’INTRUSION SUR SMB EN AVRIL

Voici le top 10 des Usernames les plus testés sur le service SMB de nos honeypots hébergés en France :

Username%
Administrator35.08%
admin22.393%
hp14.536%
6.418%
Payables4.126%
administrator3.427%
gerami3.112%
PAYABLES-PC\Admin2.075%
PAYABLES-PC\Administrator1.862%
Admin0.976%

Voici les 6 noms de Share recherchés sur nos honeypots hébergés en France :

SHARE Name%
IPC$91.413%
8.551%
C$0.027%
ipc$0.007%
Admin0.001%
Admin$0.001%

Voici le top 10 des fichiers les plus recherchés sur les Share de nos honeypots hébergés en France :

File Access%
svcctl88.31%
RemCom_communicaton8.744%
2.257%
srvsvc0.645%
samr0.023%
Documents and Settings\All Users\Start Menu\Programs\Startup0.007%
WINDOWS\Start Menu\Programs\Startup0.007%
WINNT\Profiles\All Users\Start Menu\Programs\Startup0.007%
NIuUiBxVYk0.001%
aEZzjDXAkP0.001%

TOP 10 DES CVE LES PLUS EXPLOITÉES

Voici le top 10 des CVE les plus exploitées par les cyber attaquants sur nos honeypots hébergés en France afin d’obtenir un accès initial :

CVECVSSv3%
CVE-2017-98419.822.202%
CVE-2019-96709.817.946%
CVE-2019-96217.517.854%
CVE-2024-32739.810.916%
CVE-2023-491037.56.105%
CVE-2018-105619.85.735%
CVE-2021-362609.84.348%
CVE-2021-417737.52.22%
CVE-2017-5638101.665%
CVE-2020-255069.80.925%

Dans ce top 10 d’avril 2024, nous avons découvert et mis en avant une vulnérabilité activement exploitée dans le monde qui n’est pas encore répertoriées par la fameuse base de données considérée comme référence établie par le CISA (agence américaine de cybersécurité) (known exploited vulnerabilities catalog). Il s’agit de la CVE-2019-9621 en 3ème position, pour laquelle nous sommes en mesure d’affirmer qu’elle a bien été exploitée à l’encontre de nos honeypots.

DES IP FRANCAISES ACTIVES CONTRE NOS HONEYPOTS HÉBERGÉS EN FRANCE

Pour le mois d’avril, plus de 3 100 adresses uniques hébergées en France ont contacté notre réseau mondial de honeypots. Ce qui est intéressant, c’est que ces IP françaises malveillantes ont cherché à contacter en majorité nos honeypots hébergés en France (10.4%).

En conclusion, il est nécessaire de se méfier de tous en cyber en appliquant une approche zero-trust et en utilisant des solutions de cybersécurité adéquates.


Information remain TEHTRIS sole property and reproduction is forbidden

TEHTRIS is and remains sole property rights owner of the information provided herein. Any copy, modification, derivative work, associated document, as well as every intellectual property right, is and must remain TEHTRIS’ sole and exclusive property. TEHTRIS authorizes the user to access for read use only. Except as expressly provided above, nothing contained herein will be construed as conferring any license or right under any TEHTRIS’ copyright.

No warranty and liability

TEHTRIS will not be held liable for any use, improper or incorrect use of the information described and/or contained herein and assume no responsibility for anyone’s use of the information. Although every effort has been made to provide complete and accurate information, TEHTRIS makes no warranty, expressed or implied regarding accuracy, adequacy, completeness, legality, reliability, or usefulness of any information provided herein. This disclaimer applies to both isolated and aggregated uses of the information.