“Vanaf vandaag 25 maart 2014, lanceert Paypal een nieuw onderzoeksprogramma. Alle klanten zijn welkom om mee te doen aan dit onderzoek. Het onderzoek duurt 5 minuten en voor je moeite en begrip zal Paypal de meeste klanten selecteren die dit onderzoek nemen en belonen met 25 pond.”
Dit is de gewoonlijke, ongrammatische onzin die onze e-mail inboxen op een dagelijks basis binnenstroomt. Ze vragen de ontvanger om op een malware-bevattende bijlage te klikken. Hopelijk negeren de meesten van ons dit verzoek.
Videos by VICE
Maar in de naam van beveiligingsonderzoek draaien sommigen de rollen om in het spel van dagelijkse kwaadaardigheid. Ze zetten, wat in de sector bekend staat als “honeypots” op. Dit zijn neppe, maar echt-lijkende internetservers die gebruikt worden door beveiligingsteams om hackers aan te trekken om zo hun technieken beter te begrijpen en te weten te komen wat de populairste malware van dit moment is.
Eerder dit jaar, in het zwarte hart van London, sprak ik met een groep pen(etratie)testers. Dit zijn ethische hackers die gaten prikken in de systemen van hun klanten om uit te vinden waar de zwakke plekken zitten. Ze gingen er mee akkoord om een paar nieuwe honeypots te maken en me te laten zien wat het nut is. Ik wilde meer weten over hoe honeypots gemaakt worden en of we patronen konden ontcijferen wanneer we verse vallen op nieuwe locaties zouden plaatsen.
Honeypots worden normaal gemaakt op virtuele privé-servers. Dit zijn plekken op het internet die je kunt huren om er dingen op te plaatsen. Wanneer je een stukje “land” hebt gekocht, download je wat honeypot-software, in ons geval gebruikten we programma’s die bekend staan als Dionaea en Kippo. In principe is dit proces hetzelfde als het installeren van een besturingssysteem op een simpele machine. Het simuleert een echte, kwetsbare server maar in werkelijkheid werken geen van de functies. Maar ze zien er echt genoeg uit.
Als alles goed gaat vinden hackers deze servers en zoeken ze naar kwetsbaarheden. Vervolgens breken ze in om wat voor reden dan ook. Het is als een openhuis organiseren voor overvallers. Het verschil is echter dat er binnen niets te halen valt, maar toch maken ze het zichzelf op hun gemak en proberen ze dingen te stelen of maken ze er een opslagplaats voor crimineel gereedschap van. Op hetzelfde moment kijken de beveiligingsmedewerkers naar wat ze doen, aangezien ze de eigenaren zijn van het huis en leggen ze iedere hatelijke beweging vast. Ze weerhouden de criminelen ervan mensen op het internet ook daadwerkelijk iets naars aan te doen.
Andy Swift, een pen(etratie)tester die de honeypots gemaakt heeft. Afbeelding: Andy Swift
Idealiter zijn deze honeypots op plekken in de wereld neergezet waar digitale criminaliteit wijdverbreid is. Op die manier krijgen degenen die ze runnen meer gegevens over aanvallen waardoor ze beter weten waar hackers mee bezig zijn. Aan het begin van maart kocht Andy Swift, een van de pentesters van de verzekeringsmaatschappij Hut3, een aantal virtuele privé-servers in vier van zulke gebieden: China, Rusland, Kazachstan en Singapore.
Binnen de paar seconden dat de honeypots online stonden vlogen hackers op de nep-servers af. Hun scanapparaten zijn in staat om snel kwetsbare apparaten bloot te leggen. De meeste aanvallers zullen het internet niet doornemen om meerdere kwetsbaarheden te identificeren. In plaats daarvan zullen ze meerdere malen programma’s zoals Masscan gebruiken om zwakke machines op te zoeken waarop hun aanval zal werken. “Dit is veel sneller en efficiënter voor het lanceren van een specifieke aanval,” zei Swift. Aangezien honeypots veel kwetsbaarheden bevatten, zullen ze veel verschillende soorten hackers aantrekken.
Na maar vijf minuten had de Chinese honeypot al 19 verschillende hackers gelokt, die 1.000 verschillende manieren probeerden om in de server in te breken en er hun voordeel mee te doen. De volgende dag reikte de teller van de hoeveelheid kwaadaardige IP-adressen tot 431. Dat is een 22-voudige toename over 24 uren genomen. “Het beginnersaantal is veel hoger dan we ooit eerder hebben gezien,” zei Swift, die ervaring heeft met het maken van honeypots door het werk bij zijn bedrijf Cyber Intelligence Network.
Dit zou een lopend thema worden voor het honeypot project als geheel: China gonsde van de illegale activiteiten. Eind maart waren er 3.879 aanvallen waargenomen op de Chinese honeypot en daartussen bevonden zich 36 verschillende soorten malware op de server. De meeste aanvallen (2003 in totaal) waren ook uit China afkomstig. Zowel op de machines in Singapore en Kazachstan was China de grootste bron van aanvallen. Met 1.266 aanvallen uit China op een totaal van 4.179 in Singapore en 425 aanvallen op een totaal van 1.481 in Kazachstan.
Dit betekent niet per se dat de hackers allemaal Chinezen waren. Ze hadden simpelweg gehuurde machines in China gebruikt kunnen hebben. Maar het geeft desondanks wel aan hoeveel aanvalsverkeer er door de systemen van de Aziatische supermacht heen gaan. De kaart hieronder, waarin data wordt weergegeven van alle honeypots van Swift (inclusief de nieuwe), laat zien dat de VS en China de drukste locaties zijn voor snode digitale activiteiten.
De grafiek hieronder laat zien hoe ver China vooruitloopt als het gaat om het aantal aanvallen. Het laat ook de impact van onze toegevoegde honeypots zien door het aantal aanvallen en “threat level,” aangezien maart een duidelijke stijging in incidenten laat zien. Wederom: dit komt voornamelijk door activiteit uit China.
Andy kreeg het voor elkaar om een aanval op te nemen die door een Chinese honeypot binnen kwam en die ook uit China afkomstig was. Hierop zien we hoe de hacker inlogt op de honeypot door een terminal via de server’s file transfer protocol (FTP) service. FTP opslagruimtes zijn simpelweg ruimtes waar mensen hun bestanden kunnen stoppen en ze makkelijk over het internet kunnen versturen.
De hacker raadt een gebruikersnaam, namelijk “root” en een wachtwoord, namelijk “password.” De hacker weet niet dat de honeypot welk wachtwoord dan ook had geaccepteerd. De hacker’s commands zijn naast “ftp>” te zien en we hebben het IP-adres weggehaald.
Je zult ze eerst “dir” zien typen, een command die om de directory vraagt waarin alles in de honeypot staat vernoemd. De directory is natuurlijk leeg, dus de hacker gebruikt dan de “help” command om de volledige lijst van mogelijke acties op de nep-FTP server te krijgen. Ze proberen dan de malware te uploaden door gebruik te maken van de “put” command om een bestand genaamd “sdklfsdlk.exe” over te brengen. Dat bestand blijkt een standaard Windows keylogger programma te zijn die elke druk van de toets bijhoudt en terug stuurt naar de computer van de hacker. Dit kan voor veel verschillende scenario’s gebruikt worden, maar hackers vinden het vooral leuk om keyloggers te gebruiken om er achter te komen wat de wachtwoorden zijn van mensen hun online bankrekening, of elke andere logins die door de geïnfecteerde machine heen gaan.
Maar dan laat de hacker zien dat zijn/haar hackvaardigheden ietwat onderontwikkeld zijn, volgens Swift. “Ten eerste hebben ze een klein beetje Windows malware op een UNIX besturingssysteem geüpload, wat nooit werkt,” zei hij. Ten tweede probeerden ze dan om de Windows malware op de UNIX-gebaseerde FTP server te runnen. Verward typt de hacker weer ‘help’ in en verlaat de server, de malware daar achterlatend, en zal waarschijnlijk naar het volgende doelwit gaan.”
In Rusland was onze honeypot relatief rustig, aangezien we hadden verwacht dat deze vrij druk zou zijn. Er waren maar 694 aanvallen gedurende de hele maand, minder dus dan Singapore en Kazachstan. Maar het land dat bekend staat als een nest van schadelijke software had wel de meest interessante en unieke malware. Twee stukken kwaadaardige software sprongen in het bijzonder in het oog. De eerste, Atak genaamd, was een e-mailworm. Het is een soort malware die kopieën van zichzelf verspreidt in bestanden die bij geautomatiseerde e-mails zitten gestopt.
Wanneer ze een machine hebben geïnfecteerd zoeken deze wormen naar e-mail accounts om meer berichten te versturen en zo blijven ze zich vermenigvuldigen. “Atak zoekt naar andere machines op het lokale netwerk om zich naar toe te verspreiden en ze zoeken ook naar meerdere SMTP servers [servers die gebruikt worden voor het sturen en ontvangen van e-mails]. In het bijzonder die van Google (Gmail),” legde Swift uit. “Doorgaans gebruikt het dit om spam e-mails te versturen waarin hetzelf zit, zodat het naar andere computers kan verspreiden.”
De tweede heette Virut, een bekend stukje malware dat hackers gebruikten om netwerken van geïnfecteerde machines op te zetten. Deze netwerken worden botnets genoemd en worden gebruikt om data te stelen en spam te versturen. Begin vorig jaar probeerde de operator van het Poolse “.pl” domein het virus uit te schakelen door de controle van de domeinen over te nemen die de Virut bestuurders/hackers gebruikten.
“Dit stukje malware komt voor in een aantal varianten. Het is best interessant aangezien het kan verhullen wat het ingangspunt is. In principe kan het ieder uitvoerend bestand overnemen en zichzelf er in injecteren,” zei Swift. “Daarnaast kan de malware, wanneer deze werkzaam is, verbonden worden met een IRC [Internet Relay Chat] server waar de malware gecontroleerd kan worden en er willekeurige commands gestuurd kunnen worden.” Dit betekent dat een geïnfecteerde machine eigenlijk in handen is van de hacker.
Het mooie van Swift’s Russische honeypot was de mogelijkheid om met de hacker te spelen in plaats van dat het alleen maar opnames maakte van hun bewegingen. In de video hieronder kun je zien hoe een hacker naar binnen wordt gelokt en dan getergd wordt door een emoticonvogel.
Hier logt een hacker in en typt het “wget” command in. Dit haalt bestanden of webpagina’s terug van een webserver, in dit geval een bestand genaamd f.tgz. Wanneer het gedownload is op de honeypot machine pakt de hacker het bestand uit. Dit bestand bevat een lading handelingen die mogelijkerwijs weer andere middelen zijn voor toekomstige aanvallen.
Ze veranderen vervolgens van directory met de “cd” command en gebruiken een directory genaamd “fresh” wanneer ze één van hun kwaadaardige bestanden proberen te runnen. Op dat moment gaat het systeem fokken met de hacker door te weigeren het kwaadaardige script te runnen. In plaats daarvan verschijnt er een tekst uil met de woorden “O RLY?” De hacker raakt natuurlijk verward en typt een “yes” command, waarop de uil reageert met: “NO WAI!” Lekker voor ’em.
Halverwege het maand-durende project besloot Swift dat hij wat spammers op heterdaad wilde betrappen. Hij maakte een open SMTP relay, wat in principe een server is die makkelijk gehackt kan worden om zo stromen van spam te versturen. Onze servers zouden een hacker toe staan om binnen te breken en een spam-campagne op te zetten, maar het zou voorkomen dat die irritante boodschappen ook daadwerkelijk in mensen hun inbox terecht zouden komen. Na slechts twee uur kreeg een kwaadwillend persoon toegang tot de server en probeerde berichten te versturen waarin “New Nike Trainers” werden aangeboden. Zoals wel vaker het geval is met spam, was er niet veel interessanters dan pogingen om knock-off goederen te verpatsen.
Ondanks al de voor de hand liggende mogelijkheden die onze honeypots boden aan aanvallers waren de meerderheid van de hacks alleen geïnteresseerd in het verkrijgen van ruimte op de servers zodat ze anonieme en goedkope telefoonservice’s konden aanbieden op hackerfora. Om dit te doen checkt een hacker of de server’s Session Initiation Protocol (SIP) poort open stond. Deze poort wordt gebruikt om video– en voicecalls te maken tussen IP-adressen.
Wanneer ze eenmaal controle hebben over de service verkopen ze deze doorgaans aan telefoonspammers op illegale markten. Door een gehackte server te gebruiken kunnen scammers hun sporen verbergen wanneer ze irritante telefoontjes plegen. In het ergste geval zou de SIP poort verbonden worden met een echte VoIP service en die zou misbruikt worden om informatie- of servicenummers te controleren. De bandieten zouden dan een deel van de opbrengst krijgen van ieder telefoontje, dus het is een gemakkelijke manier om geld te verdienen. Van onze honeypots, waarbij geen echte telefoongesprekken verbonden konden worden, was het duidelijk dat hackers veel waarde zagen op dit gebied.
Wat ook heel gebruikelijk was, waren de aanvallen op een oude zwakke plek in Microsoft Windows dat bekend staat als MS08-67. Het is een bekende zwakke plek in Windows 2000 tot XP, maar ondanks dat het meerdere malen is opgelapt, zei Swift dat veel bedrijven het nog steeds niet hebben verholpen. “Dit is de meest gangbare plek voor pentesten,” zei hij. “We zien het heel vaak. Als je deze plek ziet op Windows 2003 weet je zeker dat je de machine binnenkomt.” Je kunt zien welke besturingssystemen hoe vaak zijn aangevallen in de grafieken hierboven bij “Operating System Attacks.”
Nu ons maand-lange project voorbij is, wordt het voor mij duidelijk dat veel van de oude problemen op het internet niet opgelost zijn. SIP-aanvallen en spam doen het nog erg goed, ondanks dat ze al jaren tot het algemene bewustzijn horen. Bedrijven slagen er nog steeds niet in om hun systemen te verbeteren om aanvallen te voorkomen, ondanks de assistentie die zich aanbiedt. China en Rusland blijven een opzienbarende hoeveelheid aan criminele activiteit ondersteunen.
Een voor de hand liggende vraag is: hoe dragen honeypot projecten, die al jaren veel gebruikt worden onder onderzoekers, bij aan het minimaliseren van digitale criminaliteit? Veel van ‘s werelds grootste beveiligingsbedrijven, van Symantec tot Kaspersky, gebruiken ze. Maar cybercriminaliteit zit nog steeds in de lift. Informatie die door Symantec in april is vrijgegeven laat zien dat in 2013 het aantal data-inbraken met 62 procent is gestegen ten opzichte van het jaar daarvoor. Door deze aanvallen zijn de identiteiten van ongeveer 552 miljoen mensen bloot gesteld.
Honeypots voorkomen misschien niet direct online criminaliteit, maar het is duidelijk dat ze waardevol zijn voor pentesters. Dat komt omdat het niet de baan is van pentesters om slecht bedoelde activiteit te stoppen, maar ze werken met hun baas samen om er zeker van te zijn dat hun infrastructuur zo goed mogelijk bestand is tegen een aanval. De resultaten die worden afgeleid van honeypots zijn daar slechts een klein onderdeel van.
Voorlopig zullen de digitale criminelen waar we mee in contact kwamen verder gaan met het vinden en uitbuiten van kwetsbare systemen. Ondanks dat we lol hebben gehad met het zien falen van hackers, en ze herhaaldelijk bespot hebben zien worden door een uil, is het moeilijk om zonder een gevoel van zorg over het internet weg te gaan.