anatomia de ataques a servidores sip - cert.br · gts-20, sao paulo, brasil – 08 de dezembro de...
TRANSCRIPT
-
Anatomia de ataques a servidoresSIP
João M. Ceron, Klaus Steding-Jessen,Cristine Hoepers
[email protected], [email protected], [email protected]
CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes deSegurança no Brasil
Núcleo de Informação e Coordenação do Ponto BRComitê Gestor da Internet no Brasil
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 1/24
-
Sobre o CERT.br
Criado em 1997 como ponto focal nacional para tratarincidentes de segurança relacionados com as redesconectadas à Internet no Brasil
− Articulação
− Estatísticas
− Apoio à− Cursos− Palestras
Treinamento eConscientização
Tratamento deIncidentes
Análise deTendências
recuperação
− Honeypots
− Documentação− Reuniões
Distribuídos
− SpamPots
http://www.cert.br/sobre/GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 2/24
http://www.cert.br/sobre/
-
Estrutura do CGI.br
01- Ministério da Ciência e Tecnologia02- Ministério das Comunicações03- Casa Civil da Presidência da República04- Ministério do Planejamento, Orçamento e Gestão05- Ministério do Desenvolvimento, Indústria e Comércio Exterior06- Ministério da Defesa07- Agência Nacional de Telecomunicações08- Conselho Nacional de Desenvolvimento Cientı́fico e Tecnológico09- Conselho Nacional de Secretários Estaduais para Assuntos de
Ciência e Tecnologia
10- Notório Saber11- Provedores de Acesso e Conteúdo12- Provedores de Infra-estrutura de
Telecomunicações13- Indústria TICs (Tecnologia da Infor-
mação e Comunicação) e Software14- Empresas Usuárias
15-18- Terceiro Setor19-21- Academia
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 3/24
-
Atribuições do CGI.br
Entre as diversas atribuições e responsabilidadesdefinidas no Decreto Presidencial no 4.829, destacam-se:
• a proposição de normas e procedimentos relativos àregulamentação das atividades na internet
• a recomendação de padrões e procedimentos técnicosoperacionais para a internet no Brasil
• o estabelecimento de diretrizes estratégicas relacionadas aouso e desenvolvimento da internet no Brasil
• a promoção de estudos e padrões técnicos para asegurança das redes e serviços no paı́s
• a coordenação da atribuição de endereços internet (IPs) e doregistro de nomes de domı́nios usando
• a coleta, organização e disseminação de informações sobreos serviços internet, incluindo indicadores e estatı́sticas
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 4/24
-
Agenda
Motivação
Implementação
Análise dos Dados
Conclusão
Recomendações
Referências
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 5/24
-
Motivação
• Popularização dos dispositivos SIP
Primergy
Primergy
(Telefones SIP e Softphones)Rede Corporativa
SIPServidor
Gateway
INTERNET
PSTN
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 6/24
-
Motivação (cont.)
• Alto volume de tráfego em nossos sensores(5060/UDP)
– porta UDP mais sondada nos últimos 16 meses• Ausência de detalhes do tráfego SIP
– nı́vel de aplicação
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 7/24
-
Implementação
Caracterı́sticas do software implementado:
• escrito em Perl usando o pacote Net::SIP– módulo para Honeyd, instalado em 50+ sensores
• suporta os métodos OPTIONS, REGISTER, INVITE, etc.• “ramais” são configuráveis, com ou sem senha, etc• INVITE são respondidos com erros:
– “Forbidden”, “Request Timeout”, “TemporarilyUnavailable”, “Busy Here”, etc.
• áudio não é armazenado– questões de privacidade– SDP e RTP não são tratados
• logs com IP, método, número discado, User Agent,etc.
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 8/24
-
Implementação (cont.)
Logs do software implementado:
2012-02-26 14:22:42 +0000: sip-honeyd.pl[729]: IP: 41.X.X.245,method: REGISTER, from: "1234", to: "1234", resp: 200,user-agent: "X-Lite release 1103d stamp 53117"
2012-02-26 14:22:44 +0000: sip-honeyd.pl[729]: IP: 41.X.X.245,method: INVITE, from: "1234", to: "0015201*****194",resp: 403, user-agent: "X-Lite release 1103d stamp 53117"
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 9/24
-
Anatomia dos Abusos SIP
Primergy
Primergy
SIPServidor
em busca de ramais conhecidos e com senhas fáceisFerramentas automatizadas fazem ataques de força bruta
e mapeiam suas configurações
2
(Telefones SIP e Softphones)Rede Corporativa
1
2
1
Ferramentas automatizadas buscam por servidores SIP
Gateway
INTERNET
PSTN
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 10/24
-
Anatomia dos Abusos SIP (cont.)
Primergy
Primergy
SIPServidor
Gateway
Rede Corporativa(Telefones SIP e Softphones)
3
3
Atacante abusa servidores SIP para fazer ligaçõespara telefones das redes fixas comutadas ou móveis
INTERNET
PSTN
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 11/24
-
Análise dos DadosColetados
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 12/24
-
Resumo dos dados coletados
• Perı́odo de coleta:– Setembro 2011 - Novembro 2012
Mensagens REGISTER 76.957.227Mensagens INVITE 1.190.282IPs únicos 9.295ASes únicos 864Número total de dias 435CCs únicos 86
11.5 GB de dados (REGISTER + INVITE)
Mensagens REGISTER: no geral são varreduras de ferramentas automatizadas
Mensagens INVITE: na maioria softphones solicitando números telefônicosGTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 13/24
-
Country Codes de Origem
Considerando somente mensagens INVITE
US
CN
PS
NL
TH
EG
FR
CA
ID
MD
Outros
0 5000 10000 15000 20000 25000 30000 35000
Co
un
try C
od
es
Número de Requisições
36724 (19.84%)
28939 (15.63%)
19819 (10.71%)
15151 (8.18%)
14552 (7.86%)
10145 (5.48%)
8686 (4.69%)
7940 (4.29%)
7357 (3.97%)
5686 (3.07%)
30048 (16.23%)
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 14/24
-
Análise dos Dados
• Abusos ao servidor SIP emulado– vulnerabilidades no servidor– requisições a telefones internacionais
2011-12-31 02:00:10 +0000: sip-honeyd.pl[30586]: IP: 188.X.X.85,method: INVITE, from: "102", to: "90109725*****586",resp: 0, user-agent: undefined
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 15/24
-
Análise dos Dados (cont.)
Identificar o destino das ligações
Redundância dos números solicitados:
2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00149725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 000149725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00159725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00219725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00219725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00319725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 9725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00219725*****586
-
Análise das Ligações
Único IP realizou ligações para 144 paı́ses: possı́velcentral telefônica.
AfterGlow 1.6.2
PE
113.X.X.205
SL
TR
GY
CM
NI
VG
MHCV BAAW
CD
HN
FM
ZM
HKRU
SB
TN
ME
ST
NR
BW
BB
CZ
EE
LI
PW
TO
BY
KM
NF
TJ
GW
MU
MM
AL
GB
PMGE
LY
MV
NO
DO
KZKP
NCAC
BE
GL
GD
AM
PLNP
ES
JM
DJ
SR
ER
BG GT
IO
KY
RO
JP
SV
AD
MC
IQ
HT
LT
CF
RS
NU
BFGQ
WF
OM
UA
BQ
CL
PH
DK
MG
HRSO
KE
TZSD
MY
NA
ZW
UZ
SN
ID
MR
TK
CI
EG
TW
MD
AT
ZA
SA
ML
BJ
ET
LR
CH
LV
FR
AF
SC
YE
GN
TC
VE
AZ
FK
VA
MA
QANANP
AISHMW
SM
KN
DM
CK
TG
TL
VU
NL
DE
US
PGGH
GM
GF
CU
IR
MK
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 17/24
-
Análise das Ligações (cont.)
Tuplas mais frequentes observadas:
IP DDI Total (%)PS → IL 9910 5.19%EG → EG 7008 3.67%MD → CZ 5559 2.91%US → CZ 4535 2.37%FR → RU 4267 2.23%US → IL 3454 1.81%PS → RU 3449 1.80%CA → Inter (0800) 3296 1.72%US → GB 2038 1.06%US → ZW 1904 0.99%
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 18/24
-
Análise das Ligações (cont.)
Números telefônicos solicitados pelo IP 50.X.X.99
AfterGlow 1.6.2
50.X.X.99
*****395049
*****91009983
*****980216
*****912794640
*****750051
*****294857325
*****71000443
*****88922236
*****779374469
*****200220730
*****009087
*****0947482
*****0947487
*****66971088
*****77311731
*****112960
*****91033997
*****7270427 *****912794609
*****28510034
*****912794610
*****90002212
*****13100795
*****68905289
*****835211500
*****4998697
*****750146
*****66971056
*****88004243
*****90903147
*****51001317
*****291218
*****20391289
*****601023
*****80040091
*****395047
*****602606841
*****779387485
*****999753417
*****5034714
*****912794608
*****90002202
*****602605250
*****51006326
*****291217
*****81020567
*****845110437
*****009094
*****9534620
*****8772754
*****601144
*****9001502*****9534595
*****779387402
*****37910203
*****20391383
*****212447
*****50770170
*****200201043
*****70710125
*****912794635
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 19/24
-
Análise das Ligações (cont.)
Ligações com origem US vs CN:
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 20/24
-
User Agents utilizados nas tentativas de ligações
undefined
random
sipcli
eyeBeam
VaxSIPUserAgent
Unknown
Asterisk
Zoiper
X−Lite
Nuvois
Outros
0 20000 40000 60000 80000 100000 120000
Us
er
Ag
en
ts
Número de Requisições
109654 (56.62%)
27405 (14.12%)
21900 (11.23%)
16222 (8.26%)
16048 (8.26%)
966 (0.48%)
747 (0.38%)
322 (0.16%)
202 (0.10%)
66 (0.03%)
714 (0.36%)
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 21/24
-
Conclusões
• Abusos objetivando ligações internacionais• Ferramentas personalizadas
– User Agents aparentemente modificados• Números mais ligados sugerem fraudes
– Bank of America e Citibank– Cartão pré-pago internacional
• Centrais telefônicas ou proxies– Mesmo IP e User Agent
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 22/24
-
Recomendações
• Proteger o servidor SIP da Internet• Usar senhas fortes
– terminais VoIP e softphones– a senha é armazenada nos dispositivos, e pode ser
longa e complexa
• Utilizar extensões com nomes não usuais• Monitorar o uso do SIP na sua organização
– Logs de acessos– Conta telefônicas procurando por ligações não
usuais.
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 23/24
-
Referências
• Comitê Gestor da Internet no Brasil – CGI.brhttp://www.cgi.br/
• CERT.br – Centro de Estudos, Resposta e Tratamento deIncidentes de Segurança no Brasilhttp://www.cert.br/
• Honeypots for Threats and Abuse passiveReconnaissance and information Gatheringhttp://www.honeytarg.cert.br/
• Anatomy of SIP Attacks – Dezembro 2012 Usenix ;login:Magazinehttps://www.usenix.org/publications/login/
december-2012-volume-37-number-6/anatomy-sip-attacks
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 24/24
http://www.cgi.br/http://www.cert.br/http://www.honeytarg.cert.br/https://www.usenix.org/publications/login/december-2012-volume-37-number-6/anatomy-sip-attackshttps://www.usenix.org/publications/login/december-2012-volume-37-number-6/anatomy-sip-attacks
MotivaçãoImplementaçãoAnálise dos DadosConclusãoRecomendaçõesReferências