¿Mi casa recibe ciberataques?, dirigido hacia mis dispositivos IoT (Internet de las Cosas) como: Camaras IP, TV, Refrigeradores, etc.

Como parte de un trabajo de la Universidad, que tiene como objetivo entender que tan inseguros estamos cuando exponemos dispositivos a internet vamos a instalar un equipo que nos permita capturar los ataques y su posterior análisis.

Honeypot.Para ello en mi casa he instalado un Honeypot (El cual es como una carnada para los atacantes), basado en Phype/telnet-iot-honeypot simulando un dispositivo con el servicio telnet puerto 23/tcp abierto y esta publicado a Internet, como si fuera una camara, para capturar las conexiones de los atacantes.

Diagrama general de la red:

Al publicar el Honeypot a Internet, se muestra que los atacantes intentan ingresar a nuestro dispositivo con usuarios clásicos como root, admin, admin, guest, default y password conocidos como: “admin”, “1111”, “password” etc. Lo que nos lleva a la reflexion a cambiar las credenciales por defecto de fabrica de lo contrario seremos presa facil de ataques maliciosos.

A los 20 minutos a partir que publique el Honeypot a Internet, recibí una primera conexión a las 22:24 de Internet desde Uruguay con el usuario: guest y el password: 12345, pero no descargo malware.

Haciendo primeras revisiones, voy a revisar la conexión de la IP de Francia, ya que observamos que hace dos intentos de descarga de archivos:

• 2019–07–20 23:41:23 http://164.132.213.115:80/5743.arm7
• 2019–07–20 23:41:25 http://164.132.213.115:80/5743.arm

Revisando el log del 20.7.23:41, se observa que el bot Mirai o una variedad, que esta intentando descargase:

• First seen: 20.7 23:41
• First seen file name: 5743.arm
• SHA256: 67050732f5d599b3510d9c8d6af112edea637d2c86cba558ea72f678ca349c61
• Virustotal result: 27/58 Linux.Mirai.58

Si este archivo lo revisamos en Virustotal:

El objetivo del atacante es tomar control del dispositivo y apartir de ello el atacante puede realizar ataques de denegacion de servicios a otros dispositivos, dañar la configuracion de nuestros equipos, mineria de datos, usarlo como servidor de archivos maliciosos.

Ahora pasaremos a analizar una sesion capturada en el honeypot, que me llamo mucho la atención, se observa los comandos que el atacante intenta ejecutar:

Comandos ejecutados por el atacante y resultados, parte 1: Observamos que intenta saber el tipo de sistema y obtener un shell para ejecutar comandos.

Comandos ejecutados por el atacante y resultados, parte 2: Se oberva la ejecución de “busybox”, es como un mini shell para sistemas Linux, Android, Freebsd fue creado específicamente para sistemas operativos integrados con recursos muy limitados.

Probando otros comandos de busybox:

Regresando a los comandos del atacante, ahora ejecuta el comando para saber la arquitectura del dispositivo IoT, tipo de hardware, cpu. etc.

Comandos ejecutados por el atacante y resultados, parte 3:

Comandos ejecutados por el atacante y resultados, parte 4:

Conclusiones:

• Publicar cualquier dispositivo (Camara, TV, Refrigerador,etc) a Internet a los 20 minutos va a empezar a recibir ciberataques para tomar control del dispositivo.
• El objetivo del atacante es tomar contro del dispositivo y utilizarlo para atacar a una próxima victima, por ejemplo en Internet venden ataques DDoS y para ello se necesita un botnet de un número de Pc´s, mientras el botnet tenga más Pc´s podrá generar más tráfico de ataque y tendrá más costo.
• Se recomendaría comunicarse con el fabricante del dispositivo o el partner para que le brinde el procedimiento de como asegurar el dispositivo frente a este tipo de ataques.
• Cambiar las contraseñas por default, siempre tener el dispositivo actualizado.
• A continuación comparto Buenas Prácticas en Internet de las Cosas, IoT, realizado por el Centro Criptológico Nacional de España:

Fuentes:

• https://github.com/Phype/telnet-iot-honeypot
• http://old-releases.ubuntu.com/releases/16.04.2/
• https://www.virustotal.com/gui/user/cesar.farro/apikey
• https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4691-publicado-el-ccn-cert-bp-05-16-en-la-parte-publica-de-su-portal.html
• https://busybox.net/about.html
• https://krebsonsecurity.com/tag/mirai-botnet/

Agradecimientos:

Quiero aprovechar para agradecer a los siguientes colegas que me ayudaron frente a los problemas técnicos que uno encuentra siempre al momento de la instalación, por ello vale la perseverancia.

• Jesus Rosales: https://www.linkedin.com/in/jesus-rosales-0b224229/
• Andres Morales: https://www.linkedin.com/in/andres-morales-zamudio-8270381a/
• William Marchand: https://www.linkedin.com/in/wmarchand/

Anexo, Mirai:

Mirai es un malware de la familia de las botnets destinada a infectar los equipos conformantes del IoT. El objetivo principal de este malware es la infección de routers y cámaras IP, usando estos para realizar ataques de tipo DDoS. La botnet Mirai ha sido utilizada en algunos de los ataques del tipo DDoS más grandes y bruscos de la historia, dentro de los que se incluyen el realizado al sitio web de Brian Krebs , y al proveedor Dyn en octubre de 2016.

En total, hay 68 pares de nombre de usuario y contraseña en el código fuente de la botnet. Sin embargo, muchos de ellos son genéricos y son utilizados por docenas de productos, incluidos enrutadores, cámaras de seguridad, impresoras y grabadoras de video digital (DVR).