Anatomia de ataques a servidores
SIP
Jo ˜ao M. Ceron, Klaus Steding-Jessen, Cristine Hoepers
ceron@cert.br, jessen@cert.br, cristine@cert.br
CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranc¸a no Brasil
N ´ucleo de Informac¸ ˜ao e Coordenac¸ ˜ao do Ponto BR Comit ˆe Gestor da Internet no Brasil
Sobre o CERT.br
Criado em 1997 como ponto focal nacional para tratar incidentes de seguranc¸a relacionados com as redes conectadas `a Internet no Brasil
− Articulação − Estatísticas − Apoio à − Cursos − Palestras Treinamento e Conscientização Tratamento de
Incidentes TendênciasAnálise de
recuperação − Honeypots − Documentação − Reuniões Distribuídos − SpamPots http://www.cert.br/sobre/
Estrutura do CGI.br
01- Minist ´erio da Ci ˆencia e Tecnologia 02- Minist ´erio das Comunicac¸ ˜oes 03- Casa Civil da Presid ˆencia da Rep ´ublica 04- Minist ´erio do Planejamento, Orc¸amento e Gest ˜ao
05- Minist ´erio do Desenvolvimento, Ind ´ustria e Com ´ercio Exterior 06- Minist ´erio da Defesa
07- Ag ˆencia Nacional de Telecomunicac¸ ˜oes
08- Conselho Nacional de Desenvolvimento Cient´ıfico e Tecnol ´ogico 09- Conselho Nacional de Secret ´arios Estaduais para Assuntos de
10- Not ´orio Saber
11- Provedores de Acesso e Conte ´udo 12- Provedores de Infra-estrutura de
Telecomunicac¸ ˜oes
13- Ind ´ustria TICs (Tecnologia da Infor-mac¸ ˜ao e Comunicac¸ ˜ao) e Software 14- Empresas Usu ´arias
15-18- Terceiro Setor 19-21- Academia
Atribuic¸ ˜oes do CGI.br
Entre as diversas atribuic¸ ˜oes e responsabilidades
definidas no Decreto Presidencial no4.829, destacam-se:
• a proposic¸ ˜ao de normas e procedimentos relativos `a regulamentac¸ ˜ao das atividades na internet
• a recomendac¸ ˜ao de padr ˜oes e procedimentos t ´ecnicos operacionais para a internet no Brasil
• o estabelecimento de diretrizes estrat ´egicas relacionadas ao uso e desenvolvimento da internet no Brasil
• a promoc¸ ˜ao de estudos e padr ˜oes t ´ecnicos para a seguranc¸a das redes e servic¸os no pa´ıs
• a coordenac¸ ˜ao da atribuic¸ ˜ao de enderec¸os internet (IPs) e do registro de nomes de dom´ınios usando <.br>
• a coleta, organizac¸ ˜ao e disseminac¸ ˜ao de informac¸ ˜oes sobre os servic¸os internet, incluindo indicadores e estat´ısticas
Agenda
Motivac¸ ˜ao Implementac¸ ˜ao An ´alise dos Dados Recomendac¸ ˜oes Conclus ˜ao Refer ˆencias
Motivac¸ ˜ao
• Popularizac¸ ˜ao dos dispositivos SIP
Primergy
Primergy
(Telefones SIP e Softphones) Rede Corportiva SIP Servidor Gateway INTERNET PSTN
Motivac¸ ˜ao (cont.)
• Alto volume de tr ´afego em nossos sensores
(5060/UDP)
– porta UDP mais sondada nos ´ultimos 16 meses
• Aus ˆencia de detalhes do tr ´afego SIP
Implementac¸ ˜ao
Caracter´ısticas do software implementado:
• escrito em Perl usando o pacote Net::SIP
– m ´odulo para Honeyd, instalado em 50+ sensores
• suporta os m ´etodos OPTIONS, REGISTER, INVITE, etc.
• “ramais” s ˜ao configur ´aveis, com ou sem senha, etc
• INVITE s ˜ao respondidos com erros:
– “Forbidden”, “Request Timeout”, “Temporarily Unavailable”, “Busy Here”, etc.
• ´audio n ˜ao ´e armazenado
– quest ˜oes de privacidade – SDP e RTP n ˜ao s ˜ao tratados
• logs com IP, m ´etodo, n ´umero discado, User-Agent,
Implementac¸ ˜ao (cont.)
Logs dos software implementado:
2012-02-26 14:22:42 +0000: sip-honeyd.pl[729]: IP: 41.X.X.245, method: REGISTER, from: "1234", to: "1234", resp: 200,
user-agent: "X-Lite release 1103d stamp 53117"
2012-02-26 14:22:44 +0000: sip-honeyd.pl[729]: IP: 41.X.X.245, method: INVITE, from: "1234", to: "0015201*****194",
Anatomia dos Abusos SIP
Primergy Primergy
SIP Servidor
em busca de ramais conhecidos e com senhas fáceis Ferramentas automatizadas fazem ataques de força bruta e mapeiam suas configurações
2
(Telefones SIP e Softphones) Rede Corportiva
1
2
1
Ferramentas automatizadas buscam por servidores SIP
Gateway
INTERNET
Anatomia dos Abusos SIP (cont.) Primergy Primergy SIP Servidor Gateway Rede Corportiva (Telefones SIP e Softphones)
3
3
Atacante abusa servidores SIP para fazer ligações para telefones das redes fixas comutadas ou móveis
INTERNET
An ´alise dos Dados
Coletados
Resumo dos dados coletados • Per´ıodo de coleta: – Setembro 2011 - Novembro 2012 Mensagens REGISTER 76.957.227 Mensagens INVITE 1.190.282 IPs ´unicos 9.295 ASes ´unicos 864
N ´umero total de dias 435
CCs ´unicos 86
11.5 GB de dados (REGISTER + INVITE)
Country Codes de Origem
Considerando somente mensagens INVITE
US CN PS NL TH EG FR CA ID MD Outros 0 5000 10000 15000 20000 25000 30000 35000 Country Codes Número de Requisições 36724 (19.84%) 28939 (15.63%) 19819 (10.71%) 15151 (8.18%) 14552 (7.86%) 10145 (5.48%) 8686 (4.69%) 7940 (4.29%) 7357 (3.97%) 5686 (3.07%) 30048 (16.23%)
An ´alise dos Dados
• Abusos aos servidor SIP emulado
– vulnerabilidades no servidor
– requisic¸ ˜oes a telefones internacionais
2011-12-31 02:00:10 +0000: sip-honeyd.pl[30586]: IP: 188.X.X.85, method: INVITE, from: "102", to: "90109725*****586",
An ´alise dos Dados (cont.)
Identificar o destino das ligac¸ ˜oes
Redund ˆancia dos n ´umeros solicitados:
2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00149725*****586 2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 000149725*****586 2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00159725*****586 2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00219725*****586 2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00219725*****586 2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00319725*****586 2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 9725*****586 2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00219725*****586 <---| Longest substring: 9725*****586 9725*****586|972|5*****586|IL|Israel biblioteca Number::Phone::Country
An ´alise das Ligac¸ ˜oes
´
Unico IP realizou ligac¸ ˜oes para 144 pa´ıses: poss´ıvel
central telef ˆonica.
PE 113.X.X.205 SL GY CM NI VG MH CV AW BA CD HN FM ZM HK RU SB T N ME ST NR BW BB CZ EE LI PW T O BY KM NF T J GW MU MM AL GB PM GE LY MV NO DO KZ KP NC AC BE GL GD AM PL NP ES DJ SR ER BG GT IO KY RO JP SV AD MC HT CF RS NU BF GQ WF OM UA BQ CL PH DK MG HR SO KE T Z SD NA ZW UZ SN ID MR T K CI EG T W MD AT ZA SA ML BJ ET LR CH LV FR AF SC YE GN T C VE AZ VA MA AI SH MW SM KN DM CK T G T L NL DE US GH GM GF CU MK
An ´alise das Ligac¸ ˜oes (cont.)
Tuplas mais frequentes observadas:
IP DDI Total (%) PS → IL 9910 5.19% EG → EG 7008 3.67% MD → CZ 5559 2.91% US → CZ 4535 2.37% FR → RU 4267 2.23% US → IL 3454 1.81% PS → RU 3449 1.80% CA → Inter (0800) 3296 1.72% US → GB 2038 1.06% US → ZW 1904 0.99%
An ´alise das Ligac¸ ˜oes (cont.)
N ´umeros telef ˆonicos solicitados pelo IP 50.X.X.99
50.X.X.99 *****395049 *****980216 *****912794640 *****750051 *****294857325 *****71000443 *****88922236 *****779374469 *****200220730 *****009087 *****0947482 *****0947487 *****66971088 *****77311731 *****112960 *****91033997 *****7270427 *****912794609 *****28510034 *****912794610 *****90002212 *****13100795 *****68905289 *****4998697 *****750146 *****66971056 *****88004243 *****90903147 *****51001317 *****291218 *****20391289 *****601023 *****80040091 *****395047 *****602606841 *****779387485 *****999753417 *****5034714 *****912794608 *****90002202 *****602605250 *****51006326 *****291217 *****81020567 *****845110437 *****009094 *****9534620 *****8772754 *****601144 *****9001502 *****9534595 *****779387402 *****20391383 *****212447 *****50770170 *****200201043 *****70710125 *****912794635
An ´alise das Ligac¸ ˜oes (cont.)
User Agents utilizados nas tentativas de ligac¸ ˜oes undefined random sipcli eyeBeam VaxSIPUserAgent Unknown Asterisk Zoiper X−Lite Nuvois Outros 0 20000 40000 60000 80000 100000 120000 User Agents Número de Requisições 109654 (56.62%) 27405 (14.12%) 21900 (11.23%) 16222 (8.26%) 16048 (8.26%) 966 (0.48%) 747 (0.38%) 322 (0.16%) 202 (0.10%) 66 (0.03%) 714 (0.36%)
Recomendac¸ ˜oes
• Proteger o servidor SIP da Internet
• Usar senhas fortes
– terminais VoIP e softphones
– a senha ´e armazenada nos dispositivos, e pode ser longa e complexa
• Utilizar extens ˜oes com nomes n ˜ao usuais
• Monitorar o uso do SIP na sua organizac¸ ˜ao
– Logs de acessos
– Conta telef ˆonicas procurando por ligac¸ ˜oes n ˜ao usuais.
Conclus ˜oes
• Abusos objetivando ligac¸ ˜oes internacionais
• Ferramentas personalizadas
– User Agents aparentemente modificados
• N ´umeros mais ligados sugerem fraudes
– Bank of America e Citibank – Cart ˜ao pr ´e-pago internacional
• Centrais telef ˆonicas ou proxies
Refer ˆencias
• Comit ˆe Gestor da Internet no Brasil – CGI.br
http://www.cgi.br/
• CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranc¸a no Brasil
http://www.cert.br/
• Honeypots for Threats and Abuse passive Reconnaissance and information Gathering
http://www.honeytarg.cert.br/
• Anatomy of SIP Attacks – Dezembro 2012 Usenix ;login: Magazine
https://www.usenix.org/publications/login/