Развернул Honeypot во времена Log4J и вот что произошло

Honeypot Log4J

Продолжим экспериментировать с Honeypot. В предыдущей статье, я показал, что произойдет если пробросить RDP через роутер. Сегодня я покажу, что происходит с выделенными серверами VPS, если их своевременно и правильно не защитить.

Еще по теме: Honeypot для хакера на Raspberry Pi

Honeypot и уязвимость Log4J

Несколько дней назад я решил развернуть Honeypot с простой конфигурацией на Google Cloud Platform (GCP). Для этого использовал виртуальный выделенный сервер Debian Linux (VPS), доменную зону .store (самый дешевый домен), сервер Apache и страницу авторизации с методом GET.

Затем, все пустил в свободное плавание, на съедение кравлерами хакерских поисковиков и бороздящим всемирную сеть сканерам и пошел по своим делам.

Не прошло и 4 часа, как я заметил признаки жизни на Марсе в файле access.log начали появляться интересные подключения. Из разных частей света, пришло несколько вредоносных запросов, и один из них оказался самым любопытным. Это была попытка выполнить уязвимость Log4J с IP-адреса 195.3.221.30, расположенного в Польше.

Проверка Access.log
Файл Access.log
IP-адрес Польши
IP-адрес Польши

Я быстро определил формат полезной нагрузки в запросах.

Однако ссылка зашифрована кодировкой Base64, чтобы избежать обнаружения брандмауэром веб-приложений (WAF) сервера, на который нацелено предполагаемое приложение. Первым попавщим сервисом я декодировал, и кодировка Base64 оказалась простой функцией «wget» для загрузки и выполнения вредоносного файла, как показано ниже.

Декодирование Base64
Декодирование Base64

Этот файл был загружен с другого IP-адреса 140.238.180.34, расположенного в Сан-Паулу, Бразилия:

IP-адрес Сан-Паулу
IP-адрес Сан-Паулу

Как только обнаружил, что сервер в Бразилии все еще работает, решил провести небольшой криминалистический анализ в моей домашней лаборатории REMnux.

Машина REWMnux
Машина REWMnux

Затем я загрузил вредоносный файл на VirusTotal, который определил файле, как троян с функционалом бэкдора:

Анализ вредоносного файла на VirusTotal
Анализ вредоносного файла на VirusTotal

Я захотел проверить, что это за файл на самом деле. Действительно, согласно The Magic Bytes, это был исполняемый двоичный файл Linux ELF:

Магические байты
Магические байты

Затем я использовал команду file, чтобы подтвердить тип исполняемого файла:

Исполняемый файл
Исполняемый файл

Наконец, я выполнил динамический анализ, чтобы увидеть отсек вредоносных программ, и обнаружил, что сервер управления и контроля снова находится в Сан-Паулу, Бразилия:

Подключение к сети
Подключение к сети
Удаленный IP-адрес
Удаленный IP-адрес

Суть сей басни такова. Невозможно быть защищенным, если не знаешь, как работает атака. Если вы владелец выделенного сервера, я настоятельно рекомендую ознакомиться с средствами защиты сервера VPS и своевременно защититься.

РЕКОМЕНДУЕМ:

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован.