anatomia de ataques a servidores sip - cert.br · gts-20, sao paulo, brasil – 08 de dezembro de...

Anatomia de ataques a servidoresSIP

João M. Ceron, Klaus Steding-Jessen,Cristine Hoepers

[email protected], [email protected], [email protected]

CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes deSegurança no Brasil

Núcleo de Informação e Coordenação do Ponto BRComitê Gestor da Internet no Brasil

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 1/24

Sobre o CERT.br

Criado em 1997 como ponto focal nacional para tratarincidentes de segurança relacionados com as redesconectadas à Internet no Brasil

− Articulação

− Estatísticas

− Apoio à− Cursos− Palestras

Treinamento eConscientização

Tratamento deIncidentes

Análise deTendências

recuperação

− Honeypots

− Documentação− Reuniões

Distribuídos

− SpamPots

http://www.cert.br/sobre/GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 2/24

http://www.cert.br/sobre/

Estrutura do CGI.br

01- Ministério da Ciência e Tecnologia02- Ministério das Comunicações03- Casa Civil da Presidência da República04- Ministério do Planejamento, Orçamento e Gestão05- Ministério do Desenvolvimento, Indústria e Comércio Exterior06- Ministério da Defesa07- Agência Nacional de Telecomunicações08- Conselho Nacional de Desenvolvimento Cientı́fico e Tecnológico09- Conselho Nacional de Secretários Estaduais para Assuntos de

Ciência e Tecnologia

10- Notório Saber11- Provedores de Acesso e Conteúdo12- Provedores de Infra-estrutura de

Telecomunicações13- Indústria TICs (Tecnologia da Infor-

mação e Comunicação) e Software14- Empresas Usuárias

15-18- Terceiro Setor19-21- Academia


Atribuições do CGI.br

Entre as diversas atribuições e responsabilidadesdefinidas no Decreto Presidencial no 4.829, destacam-se:

• a proposição de normas e procedimentos relativos àregulamentação das atividades na internet

• a recomendação de padrões e procedimentos técnicosoperacionais para a internet no Brasil

• o estabelecimento de diretrizes estratégicas relacionadas aouso e desenvolvimento da internet no Brasil

• a promoção de estudos e padrões técnicos para asegurança das redes e serviços no paı́s

• a coordenação da atribuição de endereços internet (IPs) e doregistro de nomes de domı́nios usando

• a coleta, organização e disseminação de informações sobreos serviços internet, incluindo indicadores e estatı́sticas


Agenda

Motivação

Implementação

Análise dos Dados

Conclusão

Recomendações

Referências


Motivação

• Popularização dos dispositivos SIP

Primergy

Primergy

(Telefones SIP e Softphones)Rede Corporativa

SIPServidor

Gateway

INTERNET

PSTN


Motivação (cont.)

• Alto volume de tráfego em nossos sensores(5060/UDP)

– porta UDP mais sondada nos últimos 16 meses• Ausência de detalhes do tráfego SIP

– nı́vel de aplicação


Implementação

Caracterı́sticas do software implementado:

• escrito em Perl usando o pacote Net::SIP– módulo para Honeyd, instalado em 50+ sensores

• suporta os métodos OPTIONS, REGISTER, INVITE, etc.• “ramais” são configuráveis, com ou sem senha, etc• INVITE são respondidos com erros:

– “Forbidden”, “Request Timeout”, “TemporarilyUnavailable”, “Busy Here”, etc.

• áudio não é armazenado– questões de privacidade– SDP e RTP não são tratados

• logs com IP, método, número discado, User Agent,etc.


Implementação (cont.)

Logs do software implementado:

2012-02-26 14:22:42 +0000: sip-honeyd.pl[729]: IP: 41.X.X.245,method: REGISTER, from: "1234", to: "1234", resp: 200,user-agent: "X-Lite release 1103d stamp 53117"

2012-02-26 14:22:44 +0000: sip-honeyd.pl[729]: IP: 41.X.X.245,method: INVITE, from: "1234", to: "0015201*****194",resp: 403, user-agent: "X-Lite release 1103d stamp 53117"


Anatomia dos Abusos SIP

Primergy

Primergy

SIPServidor

em busca de ramais conhecidos e com senhas fáceisFerramentas automatizadas fazem ataques de força bruta

e mapeiam suas configurações

2

(Telefones SIP e Softphones)Rede Corporativa

1

2

1

Ferramentas automatizadas buscam por servidores SIP

Gateway

INTERNET

PSTN


Anatomia dos Abusos SIP (cont.)

Primergy

Primergy

SIPServidor

Gateway

Rede Corporativa(Telefones SIP e Softphones)

3

3

Atacante abusa servidores SIP para fazer ligaçõespara telefones das redes fixas comutadas ou móveis

INTERNET

PSTN


Análise dos DadosColetados


Resumo dos dados coletados

• Perı́odo de coleta:– Setembro 2011 - Novembro 2012

Mensagens REGISTER 76.957.227Mensagens INVITE 1.190.282IPs únicos 9.295ASes únicos 864Número total de dias 435CCs únicos 86

11.5 GB de dados (REGISTER + INVITE)

Mensagens REGISTER: no geral são varreduras de ferramentas automatizadas

Mensagens INVITE: na maioria softphones solicitando números telefônicosGTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 13/24

Country Codes de Origem

Considerando somente mensagens INVITE

US

CN

PS

NL

TH

EG

FR

CA

ID

MD

Outros

0 5000 10000 15000 20000 25000 30000 35000

Co

un

try C

od

es

Número de Requisições

36724 (19.84%)

28939 (15.63%)

19819 (10.71%)

15151 (8.18%)

14552 (7.86%)

10145 (5.48%)

8686 (4.69%)

7940 (4.29%)

7357 (3.97%)

5686 (3.07%)

30048 (16.23%)


Análise dos Dados

• Abusos ao servidor SIP emulado– vulnerabilidades no servidor– requisições a telefones internacionais

2011-12-31 02:00:10 +0000: sip-honeyd.pl[30586]: IP: 188.X.X.85,method: INVITE, from: "102", to: "90109725*****586",resp: 0, user-agent: undefined


Análise dos Dados (cont.)

Identificar o destino das ligações

Redundância dos números solicitados:

2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00149725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 000149725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00159725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00219725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00219725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00319725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 9725*****5862011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00219725*****586

Análise das Ligações

Único IP realizou ligações para 144 paı́ses: possı́velcentral telefônica.

AfterGlow 1.6.2

PE

113.X.X.205

SL

TR

GY

CM

NI

VG

MHCV BAAW

CD

HN

FM

ZM

HKRU

SB

TN

ME

ST

NR

BW

BB

CZ

EE

LI

PW

TO

BY

KM

NF

TJ

GW

MU

MM

AL

GB

PMGE

LY

MV

NO

DO

KZKP

NCAC

BE

GL

GD

AM

PLNP

ES

JM

DJ

SR

ER

BG GT

IO

KY

RO

JP

SV

AD

MC

IQ

HT

LT

CF

RS

NU

BFGQ

WF

OM

UA

BQ

CL

PH

DK

MG

HRSO

KE

TZSD

MY

NA

ZW

UZ

SN

ID

MR

TK

CI

EG

TW

MD

AT

ZA

SA

ML

BJ

ET

LR

CH

LV

FR

AF

SC

YE

GN

TC

VE

AZ

FK

VA

MA

QANANP

AISHMW

SM

KN

DM

CK

TG

TL

VU

NL

DE

US

PGGH

GM

GF

CU

IR

MK


Análise das Ligações (cont.)

Tuplas mais frequentes observadas:

IP DDI Total (%)PS → IL 9910 5.19%EG → EG 7008 3.67%MD → CZ 5559 2.91%US → CZ 4535 2.37%FR → RU 4267 2.23%US → IL 3454 1.81%PS → RU 3449 1.80%CA → Inter (0800) 3296 1.72%US → GB 2038 1.06%US → ZW 1904 0.99%



Números telefônicos solicitados pelo IP 50.X.X.99

AfterGlow 1.6.2

50.X.X.99

*****395049

*****91009983

*****980216

*****912794640

*****750051

*****294857325

*****71000443

*****88922236

*****779374469

*****200220730

*****009087

*****0947482

*****0947487

*****66971088

*****77311731

*****112960

*****91033997

*****7270427 *****912794609

*****28510034

*****912794610

*****90002212

*****13100795

*****68905289

*****835211500

*****4998697

*****750146

*****66971056

*****88004243

*****90903147

*****51001317

*****291218

*****20391289

*****601023

*****80040091

*****395047

*****602606841

*****779387485

*****999753417

*****5034714

*****912794608

*****90002202

*****602605250

*****51006326

*****291217

*****81020567

*****845110437

*****009094

*****9534620

*****8772754

*****601144

*****9001502*****9534595

*****779387402

*****37910203

*****20391383

*****212447

*****50770170

*****200201043

*****70710125

*****912794635



Ligações com origem US vs CN:


User Agents utilizados nas tentativas de ligações

undefined

random

sipcli

eyeBeam

VaxSIPUserAgent

Unknown

Asterisk

Zoiper

X−Lite

Nuvois

Outros

0 20000 40000 60000 80000 100000 120000

Us

er

Ag

en

ts

Número de Requisições

109654 (56.62%)

27405 (14.12%)

21900 (11.23%)

16222 (8.26%)

16048 (8.26%)

966 (0.48%)

747 (0.38%)

322 (0.16%)

202 (0.10%)

66 (0.03%)

714 (0.36%)


Conclusões

• Abusos objetivando ligações internacionais• Ferramentas personalizadas

– User Agents aparentemente modificados• Números mais ligados sugerem fraudes

– Bank of America e Citibank– Cartão pré-pago internacional

• Centrais telefônicas ou proxies– Mesmo IP e User Agent


Recomendações

• Proteger o servidor SIP da Internet• Usar senhas fortes

– terminais VoIP e softphones– a senha é armazenada nos dispositivos, e pode ser

longa e complexa

• Utilizar extensões com nomes não usuais• Monitorar o uso do SIP na sua organização

– Logs de acessos– Conta telefônicas procurando por ligações não

usuais.


Referências

• Comitê Gestor da Internet no Brasil – CGI.brhttp://www.cgi.br/

• CERT.br – Centro de Estudos, Resposta e Tratamento deIncidentes de Segurança no Brasilhttp://www.cert.br/

• Honeypots for Threats and Abuse passiveReconnaissance and information Gatheringhttp://www.honeytarg.cert.br/

• Anatomy of SIP Attacks – Dezembro 2012 Usenix ;login:Magazinehttps://www.usenix.org/publications/login/

december-2012-volume-37-number-6/anatomy-sip-attacks


http://www.cgi.br/http://www.cert.br/http://www.honeytarg.cert.br/https://www.usenix.org/publications/login/december-2012-volume-37-number-6/anatomy-sip-attackshttps://www.usenix.org/publications/login/december-2012-volume-37-number-6/anatomy-sip-attacks

MotivaçãoImplementaçãoAnálise dos DadosConclusãoRecomendaçõesReferências

anatomia de ataques a servidores sip - cert.br · gts-20, sao paulo, brasil – 08 de dezembro de...

Documents