Rapport VoIP Honeypot 1

Résultats de Experiment Pot de Miel #1

HAAST

»

POT DE MIEL 1

Aperçu

Telium a placé un VoIP PBX (fonctionnant FreePBX avec Asterisk 14) sur une adresse IP publique pour une période de 120 jours. Le logiciel de sécurité SecAst de Telium a été ajouté au PBX pour suivre toutes les attaques et fournir les données présentées ci-dessous. SecAst a été mis en place pour bloquer un attaquant pour le reste de l’expérience une fois que leur attaque a été enregistrée, de sorte que chaque attaque représente une nouvelle attaque (non répétée).

Le but principal de cette expérience de « pot de miel » était d’évaluer le nombre et la nature des attaques qu’un administrateur peut attendre contre son serveur, sans rendre public l’adresse IP du serveur ou les informations d’identification. L’objectif secondaire de cette expérience était de démontrer le risque d’exposer les informations d’identification des comptes sur Internet par le biais de messages de chat/message, car le grattage automatique des informations d’identification des comptes SIP est évidemment en cours.

L’expérience a été divisée en deux phases: Dans la première phase (jours 0-60) SecAst a été mis en place pour restreindre l’accès aux points de terminaison à l’Amérique du Nord seulement – pour montrer l’impact de GeoFencing. Dans la deuxième phase (jours 61-120) SecAst a été mis en place pour permettre l’accès dans le monde entier, et un ensemble d’informations d’identification SIP valides ont été publiés dans 3 forums publics permettant aux utilisateurs de s’inscrire avec le serveur et faire des appels (qui a pris fin automatiquement après 3 secondes).

Impact de GeoFencing

Le graphique de droite montre le nombre d’attaques contre le PBX par jour. Notez que le jour 60 GeoFencing a été désactivé, ce qui a entraîné une augmentation considérable de la fréquence des attaques.

Catégories d’attaque avec GeoFencing

Le graphique de gauche montre la catégorie d’attaques identifiées (c’est-à-dire la règle violée) au cours des 60 premiers jours. Les sous-catégories d’attaque ont été regroupées pour afficher les principales catégories. La plupart des attaques sont reconnues comme provenant d’un lieu géographique interdit. Dans la clôture géographique autorisée, le type d’attaque le plus populaire tente de s’inscrire avec des informations d’identification non valides.

Catégories d’Attaque sans GeoFencing

Le graphique de droite montre la catégorie d’attaques identifiées (c’est-à-dire la règle violée) au cours de la période de 60 jours. Les sous-catégories d’attaque ont été regroupées pour afficher uniquement les principales catégories. La plupart des attaques sont reconnues comme tentant de s’inscrire avec des informations d’identification non valides. Toutefois, notez que 18 des attaques ont utilisé des informations d’identification grattées à partir de sites Web de type « support » (pris par des modèles d’utilisation suspects).

Emplacements Source d’Attaque

Le graphique à gauche montre le nombre d’attaques par emplacement géographique en fonction de la source IP de l’attaquant. Notez que les pays sources les plus en vue changent au fil du temps, car les attaquants organisés partagent des informations avec des parties liées.

Intensité de l’attaque par emplacement géographique

Le graphique de droite montre une carte de l’emplacement géographique des attaquants. Une couleur rouge plus intense, indique un plus grand nombre d’attaques. Une couleur verte indique que le nombre d’attaques en provenance de ce pays n’a pas franchi le seuil minimum (pour s’inscrire)