Informe VoIP Honeypot 1

Resultados de Honey Pot Experiment #1

HAAST

»

HONEYPOT 1

Visión General

Telium colocó un VoIP PBX (que ejecuta FreePBX con Asterisk 14) en una IP pública por un período de 120 días. El software de seguridad SecAst de Teliumse agregó a la PBX para realizar un seguimiento de todos los ataques y proporcionar los datos que se presentan a continuación. SecAst fue configurado para bloquear a un atacante para el resto del experimento una vez que se registró su ataque, por lo que cada ataque representa un nuevo ataque (no repetido).

El propósito principal de este experimento “honeypot” era evaluar el número y la naturaleza de los ataques que un administrador puede esperar contra su servidor, sin hacer pública la IP del servidor ni ninguna credencial. El propósito secundario de este experimento era demostrar el riesgo de exponer las credenciales de la cuenta en Internet a través de mensajes de chat/mensaje, ya que obviamente se está llevando a cabo el raspado automático de las credenciales de la cuenta SIP.

El experimento se dividió en dos fases: en la primera fase (días 0-60) SecAst se configuró para restringir el acceso de los endpoints a América del Norte solamente – para mostrar el impacto de GeoFencing. En la segunda fase (días 61-120) SecAst se configuró para permitir el acceso mundial, y se publicó un conjunto de credenciales SIP válidas en 3 foros públicos que permitían a los usuarios registrarse en el servidor y realizar llamadas (que finalizaron automáticamente después de 3 segundos).

Impacto de la Geofencia

El gráfico a la derecha muestra el número de ataques contra el PBX por día. Tenga en cuenta que en el día 60 GeoFencing se deshabilitó, lo que resultó en un aumento considerable en la frecuencia de los ataques.

Categorías de Ataque Con Geofencia

El gráfico de la izquierda muestra la categoría de ataques identificados (es decir, reglas violadas) durante los primeros 60 días. Las subcategorías de ataque se han enrollado para mostrar las principales categorías. La mayoría de los ataques se reconocen como desde una ubicación geográfica prohibida. Dentro de la valla geográfica permitida, el siguiente tipo de ataque más popular está intentando registrarse con credenciales no válidas.

Categorías de Ataque Sin Geofensión

El gráfico de la derecha muestra la categoría de ataques identificados (es decir, reglas violadas) durante el intervalo de 60 días. Las subcategorías de ataque se han enrollado para mostrar solo las categorías principales. La mayoría de los ataques se reconocen como que intentan registrarse con credenciales no válidas. Sin embargo, tenga en cuenta que 18 de los ataques utilizacredenciales raspadas de sitios web de tipo “soporte” (capturados a través de patrones de uso sospechosos).

Ubicaciones de Origen de Ataque

El gráfico de la izquierda muestra el número de ataques por ubicación geográfica en función de la dirección IP de origen del atacante. Tenga en cuenta que los países de origen superior cambian con el tiempo, ya que los atacantes organizados comparten información con partes relacionadas.

Intensidad de ataque por ubicación geográfica

El gráfico de la derecha muestra un mapa de la ubicación geográfica de los atacantes. Un color rojo más intenso, indica un mayor número de ataques. Un color verde indica que el número de ataques de este país no cruzó el umbral mínimo (para registrarse)