anatomia de ataques a servidores sip - cert.br · 19-21-academia 1o col´oquio t ......
Post on 18-Nov-2018
215 Views
Preview:
TRANSCRIPT
Anatomia de Ataquesa Servidores SIP
Klaus Steding-Jessen,Joao M. Ceron, Cristine Hoepers
jessen@cert.br, ceron@cert.br, cristine@cert.br
CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes deSeguranca no Brasil
Nucleo de Informacao e Coordenacao do Ponto BRComite Gestor da Internet no Brasil
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 1/24
Sobre o CERT.br
Criado em 1997 como ponto focal nacional para tratarincidentes de seguranca relacionados com as redesconectadas a Internet no Brasil
− Articulação
− Estatísticas
− Apoio à− Cursos− Palestras
Treinamento eConscientização
Tratamento deIncidentes
Análise deTendências
recuperação
− Honeypots
− Documentação− Reuniões
Distribuídos
− SpamPots
http://www.cert.br/sobre/1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 2/24
Estrutura do CGI.br
01- Ministerio da Ciencia e Tecnologia02- Ministerio das Comunicacoes03- Casa Civil da Presidencia da Republica04- Ministerio do Planejamento, Orcamento e Gestao05- Ministerio do Desenvolvimento, Industria e Comercio Exterior06- Ministerio da Defesa07- Agencia Nacional de Telecomunicacoes08- Conselho Nacional de Desenvolvimento Cientıfico e Tecnologico09- Conselho Nacional de Secretarios Estaduais para Assuntos de
Ciencia e Tecnologia
10- Notorio Saber11- Provedores de Acesso e Conteudo12- Provedores de Infra-estrutura de
Telecomunicacoes13- Industria TICs (Tecnologia da Infor-
macao e Comunicacao) e Software14- Empresas Usuarias
15-18- Terceiro Setor19-21- Academia
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 3/24
Atribuicoes do CGI.br
Entre as diversas atribuicoes e responsabilidadesdefinidas no Decreto Presidencial no 4.829, destacam-se:
• a proposicao de normas e procedimentos relativos aregulamentacao das atividades na internet
• a recomendacao de padroes e procedimentos tecnicosoperacionais para a internet no Brasil
• o estabelecimento de diretrizes estrategicas relacionadas aouso e desenvolvimento da internet no Brasil
• a promocao de estudos e padroes tecnicos para aseguranca das redes e servicos no paıs
• a coordenacao da atribuicao de enderecos internet (IPs) e doregistro de nomes de domınios usando <.br>
• a coleta, organizacao e disseminacao de informacoes sobreos servicos internet, incluindo indicadores e estatısticas
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 4/24
Agenda
Motivacao
Implementacao
Analise dos Dados
Conclusao
Recomendacoes
Referencias
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 5/24
Motivacao
• Popularizacao dos dispositivos SIP
Primergy
Primergy
(Telefones SIP e Softphones)Rede Corportiva
SIPServidor
Gateway
INTERNET
PSTN
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 6/24
Motivacao (cont.)
• Alto volume de trafego em nossos sensores(5060/UDP)
– porta UDP mais sondada nos ultimos 19 meses• Ausencia de detalhes do trafego SIP
– nıvel de aplicacao
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 7/24
Implementacao
Caracterısticas do software implementado:
• escrito em Perl usando o pacote Net::SIP
– modulo para Honeyd, instalado em 50+ sensores
• suporta os metodos OPTIONS, REGISTER, INVITE, etc.• “ramais” sao configuraveis, com ou sem senha, etc• INVITE sao respondidos com erros:
– “Forbidden”, “Request Timeout”, “TemporarilyUnavailable”, “Busy Here”, etc.
• audio nao e armazenado– questoes de privacidade– SDP e RTP nao sao tratados
• logs com IP, metodo, numero discado, User Agent,etc.
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 8/24
Implementacao (cont.)
Logs do software implementado:
2013-04-29 12:21:48 +0000: sip-honeyd.pl[21131]: IP: 37.X.X.217,method: REGISTER, from: "101", to: "101", resp: 200, user-agent:"eyeBeam release 3006o stamp 17551"
2013-04-29 12:22:40 +0000: sip-honeyd.pl[21131]: IP: 37.X.X.217,method: INVITE, from: "101", to: "00197259****839", resp: 403,user-agent: "eyeBeam release 3006o stamp 17551"
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 9/24
Anatomia dos Abusos SIP
Primergy
Primergy
SIPServidor
em busca de ramais conhecidos e com senhas fáceisFerramentas automatizadas fazem ataques de força bruta
e mapeiam suas configurações
2
(Telefones SIP e Softphones)Rede Corportiva
1
2
1
Ferramentas automatizadas buscam por servidores SIP
Gateway
INTERNET
PSTN
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 10/24
Anatomia dos Abusos SIP (cont.)
Primergy
Primergy
SIPServidor
Gateway
Rede Corportiva(Telefones SIP e Softphones)
3
3
Atacante abusa servidores SIP para fazer ligaçõespara telefones das redes fixas comutadas ou móveis
INTERNET
PSTN
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 11/24
Analise dos DadosColetados
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 12/24
Resumo dos dados coletados
• Perıodo de coleta:– Setembro 2011 - Abril 2013
Mensagens REGISTER 115.817.401Mensagens INVITE 2.241.367IPs unicos 13.443ASes unicos 937Numero total de dias 589CCs unicos 89
17.4 GB de dados (REGISTER + INVITE)
Mensagens REGISTER: no geral sao varreduras de ferramentas automatizadas
Mensagens INVITE: na maioria softphones solicitando numeros telefonicos
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 13/24
Country Codes de Origem
Considerando somente mensagens INVITE
PS
US
SC
CN
FR
TH
DE
NL
EG
MD
Outros
0 10000 20000 30000 40000 50000 60000 70000
País
(C
ou
ntr
y C
od
e)
Número de requisições
32527
28913
14625
13743
13247
8940
8108
7797
7274
5686
(16.40%)
(15.01%)
(13.75%)
(8.22%)
(7.96%)
(6.00%)
(4.17%)
(4.16%)
(3.77%)
(3.37%)
(17.13%)
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 14/24
Analise dos Dados
• Abusos ao servidor SIP emulado– vulnerabilidades nao foram exploradas– requisicoes a telefones internacionais
2013-04-29 12:22:40 +0000: sip-honeyd.pl[21131]: IP: 37.X.X.217,method: INVITE, from: "101", to: "00197259****839", resp: 403,user-agent: "eyeBeam release 3006o stamp 17551"
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 15/24
Analise dos Dados (cont.)
Identificar o destino das ligacoes
Redundancia dos numeros solicitados:
2013-04-30 03:01:04 -0300: sip2db.pl[25198]: 00197259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 0070097259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 997259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 1230097259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 01397259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 01597259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 02197259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 0072797259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 01101197259****839
<----------|Longest substring: 97259****839
97259****839|972|59****839|IL|Israel
biblioteca Number::Phone::Country
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 16/24
Analise das Ligacoes
Unico IP realizou ligacoes para 79 paıses: possıvelcentral telefonica.
AfterGlow 1.6.2
71.X.X.9
SL
PK
TR
HT
KI
LT
CF
GY
NI
BI
VN
GQ
BA
UA
BQ
HN
CD
CL FM
DK
MG
RU
SO
SB
ST
CZ
ZW
EE
LI
PW
MR
BY
KMCI
NF
MD
AT
ZA
LR
MU
LV
AL
GB
SC
GN
TC
Free
AZ
VE
MV
KZ
MAKP
NE
PL
ES
JM
DM
TG
TL
IN
BG
US
LK
GM
RO
MK
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 17/24
Analise das Ligacoes (cont.)
Tuplas mais frequentes observadas:
IP DDI Total (%)CZ → SC 37128 9.90%IL → PS 23168 6.18%RU → FR 16197 4.32%RU → PS 14000 3.73%CH → SC 12709 3.39%CZ → MD 11603 3.09%EG → EG 8880 2.37%GB → US 8301 2.21%IL → US 8256 2.20%IL → FR 6291 1.67%
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 18/24
Analise das Ligacoes (cont.)
Numeros telefonicos solicitados pelo IP 50.X.X.99
AfterGlow 1.6.2
50.X.X.99
****91033997
****0947487
****9534620
****602606841
****81020567
****200201043****291217
****601144
****009094
****90002212
****980216
****112960
****71000443
****779387485
****779387402
****91009983
****212447
****291218****80040091
****20391383
****0947482
****009087
****294857325
****601023
****602605250
****66971056
****90002202
****9001502
****20391289
****7270427
****4998697
****28510034
****200220730****88004243
****5034714
****750146
****912794610
****395047
****750051
****77311731
****779374469
****70710125
****50770170
****912794635
****51001317****912794640
****51006326
****37910203
****999753417
****66971088
****68905289
****395049****90903147
****9534595
****8772754
****912794609
****912794608
****88922236
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 19/24
Analise das Ligacoes (cont.)
Ligacoes com origem US vs CN:
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 20/24
User Agents utilizados nas tentativas de ligacoes
undefined
sipcli
random
eyeBeam
VaxSIPUserAgent
Asterisk
Unknown
Zoiper
X−Lite
Nuvois
0 20000 40000 60000 80000 100000120000140000
Us
er
Ag
en
ts
Número de requisições
123176 (32.97%)
112873 (30.21%)
94320 (25.24%)
23903 (6.39%)
16551 (4.43%)
1081 (0.28%)
966 (0.25%)
363 (0.09%)
208 (0.05%)
73 (0.01%)
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 21/24
Conclusoes
• Abusos objetivando ligacoes internacionais• Ferramentas personalizadas
– User Agents aparentemente modificados• Numeros mais ligados sugerem fraudes
– Bank of America e Citibank– Cartao pre-pago internacional
• Centrais telefonicas ou proxies– Mesmo IP e User Agent
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 22/24
Recomendacoes
• Proteger o servidor SIP da Internet• Usar senhas fortes
– terminais VoIP e softphones– a senha e armazenada nos dispositivos, e pode ser
longa e complexa
• Utilizar extensoes com nomes nao usuais• Monitorar o uso do SIP na sua organizacao
– Logs de acessos– Conta telefonicas procurando por ligacoes nao
usuais.
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 23/24
Referencias
• Comite Gestor da Internet no Brasil – CGI.brhttp://www.cgi.br/
• CERT.br – Centro de Estudos, Resposta e Tratamento deIncidentes de Seguranca no Brasilhttp://www.cert.br/
• Honeypots for Threats and Abuse passiveReconnaissance and information Gatheringhttp://www.honeytarg.cert.br/
• Anatomy of SIP Attacks – Dezembro 2012 Usenix ;login:Magazinehttps://www.usenix.org/publications/login/
december-2012-volume-37-number-6/anatomy-sip-attacks
1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 24/24
top related