Продолжим экспериментировать с Honeypot. В предыдущей статье, я показал, что произойдет если пробросить RDP через роутер. Сегодня я покажу, что происходит с выделенными серверами VPS, если их своевременно и правильно не защитить.
Еще по теме: Honeypot для хакера на Raspberry Pi
Honeypot и уязвимость Log4J
Несколько дней назад я решил развернуть Honeypot с простой конфигурацией на Google Cloud Platform (GCP). Для этого использовал виртуальный выделенный сервер Debian Linux (VPS), доменную зону .store (самый дешевый домен), сервер Apache и страницу авторизации с методом GET.
Затем, все пустил в свободное плавание, на съедение кравлерами хакерских поисковиков и бороздящим всемирную сеть сканерам и пошел по своим делам.
Не прошло и 4 часа, как я заметил признаки жизни на Марсе в файле access.log начали появляться интересные подключения. Из разных частей света, пришло несколько вредоносных запросов, и один из них оказался самым любопытным. Это была попытка выполнить уязвимость Log4J с IP-адреса 195.3.221.30, расположенного в Польше.
Я быстро определил формат полезной нагрузки в запросах.
Однако ссылка зашифрована кодировкой Base64, чтобы избежать обнаружения брандмауэром веб-приложений (WAF) сервера, на который нацелено предполагаемое приложение. Первым попавщим сервисом я декодировал, и кодировка Base64 оказалась простой функцией «wget» для загрузки и выполнения вредоносного файла, как показано ниже.
Этот файл был загружен с другого IP-адреса 140.238.180.34, расположенного в Сан-Паулу, Бразилия:
Как только обнаружил, что сервер в Бразилии все еще работает, решил провести небольшой криминалистический анализ в моей домашней лаборатории REMnux.
Затем я загрузил вредоносный файл на VirusTotal, который определил файле, как троян с функционалом бэкдора:
Я захотел проверить, что это за файл на самом деле. Действительно, согласно The Magic Bytes, это был исполняемый двоичный файл Linux ELF:
Затем я использовал команду file, чтобы подтвердить тип исполняемого файла:
Наконец, я выполнил динамический анализ, чтобы увидеть отсек вредоносных программ, и обнаружил, что сервер управления и контроля снова находится в Сан-Паулу, Бразилия:
Суть сей басни такова. Невозможно быть защищенным, если не знаешь, как работает атака. Если вы владелец выделенного сервера, я настоятельно рекомендую ознакомиться с средствами защиты сервера VPS и своевременно защититься.
РЕКОМЕНДУЕМ: