Nedělní OT: síťové útoky a co s nimi ?

Pavel Troller patrol@sinus.cz
Neděle Červen 7 06:00:50 CEST 2009



   Zdravím při neděli,
   tak tu mám zase lahůdku pro počítačové, nyní spíše síťové specialisty,
adminy a další inteligenty :-).
   Včera odpoledne se jedna z mých SIP ústředen stala obětí útoku. Tento je
veden z IP adresy z amerického IP prostoru - 216.245.200.107. Je zřejmě
použito tohoto nástroje: http://sipvicious.googlecode.com v režimu bruteforce
hádání hesla SIP účastníka.
   Brute force útoku je skutečně morbidní - cca 180 REGISTER žádostí za
sekundu, což ústřednu (Asterisk) prakticky vyřadilo z provozu. Tím jsem také
na útok přišel. Bezprostřední řešení - zápis útočící IP adresy do iptables
samozřejmě systému ulevil, avšak cca 550 kbit/s útočícího provozu mi dosud
(cca 5:30 ráno) teče do sítě a to je polovina toku, který mám k dispozici.
   Velmi zajímavé je, jak útok vznikl. Včera kolem 15:40 jsem telefonoval
z pobočky z určitým číslem přes tuto ústřednu. Za cca 3 minuty započal z výše
uvedené IP adresy útok na přesně to číslo pobočky, z něhož jsem volal. 
Volal jsem přes nezabezpečené WiFi operátora Ralsko.Net (z chalupy, kde je
toto připojení jednou z mála přijatelných alternativ). Navíc byl provoz veden
ipip tunelem (nešifrovaným, pro šifrování nemají mé routery dostatek výkonu,
pokud je zapnu, telefonování stojí za prd).
   Útočník však neví, že to, co se snaží cracknout, vůbec není účastník, ale
trunk, čili k registraci nedochází a vzájemná autorizace je pomocí pevných
IP adres. Ten asterisk tedy vůbec na ty REGISTER requesty neodpovídal, pouze
180x za sekundu generoval chybový výpis do logu, což byla bezprostřední
příčina jeho zneschopnění (log za dobu útoku - několik hodin, než jsem 
útočníka zablokoval, dosáhl cca 650 MB). Útok je tedy úplně zpackaný od 
samého začátku, nemohl být nikdy úspěšný, ale přesto dosud trvá, již cca 15
hodin. Zdá se, že útočník je naprostý idiot (script kiddie), který skutečně
umí jen pustit script a jít od toho a čekat na výsledek.
   Tak, a teď: Co s tím ? Samozřejmě jsem napsal na abuse e-mail ISP, z něhož
útok vychází (limestonenetworks.com), aby útočníka dohledali a zablokovali.
Samozřejmě neodpověděli - jsem zvědav, zda odpoví alespoň v pondělí, kdy už
bude útok asi ukončen. Dále jsem zadal útočící IP do google a vida, našel jsem
cca 3 odkazy, svědčící o tom, že nejsem jedinou obětí. Dotyčná IP byla již
použita ke crackování SIP ústředen, avšak v jiném režimu (šlo o průběžný
jednorázový scan rozsahu čísel, nikoli soustředěný útok na jedno číslo). Tyto
útoky byly registrovány v jiných částech světa. Dále je zajímavé, že je útočeno
z portu 5089. Normální SIP má port 5060. Zdroják té utility jsem nečetl, ale
předpokládám, že při vytváření socketu, najde-li port obsazený, zkouší další
vyšší. To by vedlo k předpokladu, že akutálně systém útočí na nějakých 29 cílů.
   Vzhledem ke globalitě útoků mi není úplně jasná vazba mezi mým místním
hovorem v ČR a útokem. Ten útočící stroj jsem samozřejmě nmapoval, je to
Linux (Debian) a běží na něm apache2 (jen defaultní stránka, neznáte-li nějaké
bližší URL), ssh, smtp a mysql. Nenašel jsem stopy po vyhackování (atypicky
otevřené porty atd.), což ale nemusí nic znamenat. Může jít o stroj vyloženě
zřízený k těmto účelům. Pak je zajímavé, kdo jej používá - zda jde o síť
mezinárodních VoIP crackerů, která má "prsty všude" (už jsem pomáhal objasnit
některé úspěšné útoky na VoIP v mém okolí, stává se to pomalu častým jevem),
nebo zda nějaký místní šťoural jen má do něj přístup (ale pak by vlastně byl
součástí té sítě, jde jen o jiný pohled).
   Mám obavu, že obrátit se např. na policii ČR by mi asi moc nepomohlo, 
pochybuji, že by něco řešili, když je to tak, jak jsem popsal. Má někdo s
řešením takového útoku ze zahraničí zkušenosti ? Má to vůbec smysl to zkoušet,
nebo je lepší prostě zatnout zuby, provést maximální protiopatření, obětovat
půlku ingresu a doufat, že to brzy přejde ?

   Zdraví Pavel Troller



Další informace o konferenci Hw-list