Anatomia de Ataques a Servidores SIP - cert.br · 19-21-Academia 1o Col´oquio T ......

Anatomia de Ataquesa Servidores SIP

Klaus Steding-Jessen,Joao M. Ceron, Cristine Hoepers

[email protected], [email protected], [email protected]

CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes deSeguranca no Brasil

Nucleo de Informacao e Coordenacao do Ponto BRComite Gestor da Internet no Brasil

1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 1/24

Sobre o CERT.br

Criado em 1997 como ponto focal nacional para tratarincidentes de seguranca relacionados com as redesconectadas a Internet no Brasil

− Articulação

− Estatísticas

− Apoio à− Cursos− Palestras

Treinamento eConscientização

Tratamento deIncidentes

Análise deTendências

recuperação

− Honeypots

− Documentação− Reuniões

Distribuídos

− SpamPots

http://www.cert.br/sobre/1o Coloquio Tecnico CTIR Gov de 2013, Brasılia, DF – 17 de maio de 2013 – p. 2/24

http://www.cert.br/sobre/

Estrutura do CGI.br

01- Ministerio da Ciencia e Tecnologia02- Ministerio das Comunicacoes03- Casa Civil da Presidencia da Republica04- Ministerio do Planejamento, Orcamento e Gestao05- Ministerio do Desenvolvimento, Industria e Comercio Exterior06- Ministerio da Defesa07- Agencia Nacional de Telecomunicacoes08- Conselho Nacional de Desenvolvimento Cientıfico e Tecnologico09- Conselho Nacional de Secretarios Estaduais para Assuntos de

Ciencia e Tecnologia

10- Notorio Saber11- Provedores de Acesso e Conteudo12- Provedores de Infra-estrutura de

Telecomunicacoes13- Industria TICs (Tecnologia da Infor-

macao e Comunicacao) e Software14- Empresas Usuarias

15-18- Terceiro Setor19-21- Academia


Atribuicoes do CGI.br

Entre as diversas atribuicoes e responsabilidadesdefinidas no Decreto Presidencial no 4.829, destacam-se:

• a proposicao de normas e procedimentos relativos aregulamentacao das atividades na internet

• a recomendacao de padroes e procedimentos tecnicosoperacionais para a internet no Brasil

• o estabelecimento de diretrizes estrategicas relacionadas aouso e desenvolvimento da internet no Brasil

• a promocao de estudos e padroes tecnicos para aseguranca das redes e servicos no paıs

• a coordenacao da atribuicao de enderecos internet (IPs) e doregistro de nomes de domınios usando <.br>

• a coleta, organizacao e disseminacao de informacoes sobreos servicos internet, incluindo indicadores e estatısticas


Agenda

Motivacao

Implementacao

Analise dos Dados

Conclusao

Recomendacoes

Referencias


Motivacao

• Popularizacao dos dispositivos SIP

Primergy

Primergy

(Telefones SIP e Softphones)Rede Corportiva

SIPServidor

Gateway

INTERNET

PSTN


Motivacao (cont.)

• Alto volume de trafego em nossos sensores(5060/UDP)

– porta UDP mais sondada nos ultimos 19 meses• Ausencia de detalhes do trafego SIP

– nıvel de aplicacao


Implementacao

Caracterısticas do software implementado:

• escrito em Perl usando o pacote Net::SIP

– modulo para Honeyd, instalado em 50+ sensores

• suporta os metodos OPTIONS, REGISTER, INVITE, etc.• “ramais” sao configuraveis, com ou sem senha, etc• INVITE sao respondidos com erros:

– “Forbidden”, “Request Timeout”, “TemporarilyUnavailable”, “Busy Here”, etc.

• audio nao e armazenado– questoes de privacidade– SDP e RTP nao sao tratados

• logs com IP, metodo, numero discado, User Agent,etc.


Implementacao (cont.)

Logs do software implementado:

2013-04-29 12:21:48 +0000: sip-honeyd.pl[21131]: IP: 37.X.X.217,method: REGISTER, from: "101", to: "101", resp: 200, user-agent:"eyeBeam release 3006o stamp 17551"

2013-04-29 12:22:40 +0000: sip-honeyd.pl[21131]: IP: 37.X.X.217,method: INVITE, from: "101", to: "00197259****839", resp: 403,user-agent: "eyeBeam release 3006o stamp 17551"


Anatomia dos Abusos SIP

Primergy

Primergy

SIPServidor

em busca de ramais conhecidos e com senhas fáceisFerramentas automatizadas fazem ataques de força bruta

e mapeiam suas configurações

2

(Telefones SIP e Softphones)Rede Corportiva

1

2

1

Ferramentas automatizadas buscam por servidores SIP

Gateway

INTERNET

PSTN


Anatomia dos Abusos SIP (cont.)

Primergy

Primergy

SIPServidor

Gateway

Rede Corportiva(Telefones SIP e Softphones)

3

3

Atacante abusa servidores SIP para fazer ligaçõespara telefones das redes fixas comutadas ou móveis

INTERNET

PSTN


Analise dos DadosColetados


Resumo dos dados coletados

• Perıodo de coleta:– Setembro 2011 - Abril 2013

Mensagens REGISTER 115.817.401Mensagens INVITE 2.241.367IPs unicos 13.443ASes unicos 937Numero total de dias 589CCs unicos 89

17.4 GB de dados (REGISTER + INVITE)

Mensagens REGISTER: no geral sao varreduras de ferramentas automatizadas

Mensagens INVITE: na maioria softphones solicitando numeros telefonicos


Country Codes de Origem

Considerando somente mensagens INVITE

PS

US

SC

CN

FR

TH

DE

NL

EG

MD

Outros

0 10000 20000 30000 40000 50000 60000 70000

País

(C

ou

ntr

y C

od

e)

Número de requisições

32527

28913

14625

13743

13247

8940

8108

7797

7274

5686

(16.40%)

(15.01%)

(13.75%)

(8.22%)

(7.96%)

(6.00%)

(4.17%)

(4.16%)

(3.77%)

(3.37%)

(17.13%)


Analise dos Dados

• Abusos ao servidor SIP emulado– vulnerabilidades nao foram exploradas– requisicoes a telefones internacionais

2013-04-29 12:22:40 +0000: sip-honeyd.pl[21131]: IP: 37.X.X.217,method: INVITE, from: "101", to: "00197259****839", resp: 403,user-agent: "eyeBeam release 3006o stamp 17551"


Analise dos Dados (cont.)

Identificar o destino das ligacoes

Redundancia dos numeros solicitados:

2013-04-30 03:01:04 -0300: sip2db.pl[25198]: 00197259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 0070097259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 997259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 1230097259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 01397259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 01597259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 02197259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 0072797259****8392013-04-30 03:01:04 -0300: sip2db.pl[25198]: 01101197259****839

<----------|Longest substring: 97259****839

97259****839|972|59****839|IL|Israel

biblioteca Number::Phone::Country


Analise das Ligacoes

Unico IP realizou ligacoes para 79 paıses: possıvelcentral telefonica.

AfterGlow 1.6.2

71.X.X.9

SL

PK

TR

HT

KI

LT

CF

GY

NI

BI

VN

GQ

BA

UA

BQ

HN

CD

CL FM

DK

MG

RU

SO

SB

ST

CZ

ZW

EE

LI

PW

MR

BY

KMCI

NF

MD

AT

ZA

LR

MU

LV

AL

GB

SC

GN

TC

Free

AZ

VE

MV

KZ

MAKP

NE

PL

ES

JM

DM

TG

TL

IN

BG

US

LK

GM

RO

MK


Analise das Ligacoes (cont.)

Tuplas mais frequentes observadas:

IP DDI Total (%)CZ → SC 37128 9.90%IL → PS 23168 6.18%RU → FR 16197 4.32%RU → PS 14000 3.73%CH → SC 12709 3.39%CZ → MD 11603 3.09%EG → EG 8880 2.37%GB → US 8301 2.21%IL → US 8256 2.20%IL → FR 6291 1.67%



Numeros telefonicos solicitados pelo IP 50.X.X.99

AfterGlow 1.6.2

50.X.X.99

****91033997

****0947487

****9534620

****602606841

****81020567

****200201043****291217

****601144

****009094

****90002212

****980216

****112960

****71000443

****779387485

****779387402

****91009983

****212447

****291218****80040091

****20391383

****0947482

****009087

****294857325

****601023

****602605250

****66971056

****90002202

****9001502

****20391289

****7270427

****4998697

****28510034

****200220730****88004243

****5034714

****750146

****912794610

****395047

****750051

****77311731

****779374469

****70710125

****50770170

****912794635

****51001317****912794640

****51006326

****37910203

****999753417

****66971088

****68905289

****395049****90903147

****9534595

****8772754

****912794609

****912794608

****88922236



Ligacoes com origem US vs CN:


User Agents utilizados nas tentativas de ligacoes

undefined

sipcli

random

eyeBeam

VaxSIPUserAgent

Asterisk

Unknown

Zoiper

X−Lite

Nuvois

0 20000 40000 60000 80000 100000120000140000

Us

er

Ag

en

ts

Número de requisições

123176 (32.97%)

112873 (30.21%)

94320 (25.24%)

23903 (6.39%)

16551 (4.43%)

1081 (0.28%)

966 (0.25%)

363 (0.09%)

208 (0.05%)

73 (0.01%)


Conclusoes

• Abusos objetivando ligacoes internacionais• Ferramentas personalizadas

– User Agents aparentemente modificados• Numeros mais ligados sugerem fraudes

– Bank of America e Citibank– Cartao pre-pago internacional

• Centrais telefonicas ou proxies– Mesmo IP e User Agent


Recomendacoes

• Proteger o servidor SIP da Internet• Usar senhas fortes

– terminais VoIP e softphones– a senha e armazenada nos dispositivos, e pode ser

longa e complexa

• Utilizar extensoes com nomes nao usuais• Monitorar o uso do SIP na sua organizacao

– Logs de acessos– Conta telefonicas procurando por ligacoes nao

usuais.


Referencias

• Comite Gestor da Internet no Brasil – CGI.brhttp://www.cgi.br/

• CERT.br – Centro de Estudos, Resposta e Tratamento deIncidentes de Seguranca no Brasilhttp://www.cert.br/

• Honeypots for Threats and Abuse passiveReconnaissance and information Gatheringhttp://www.honeytarg.cert.br/

• Anatomy of SIP Attacks – Dezembro 2012 Usenix ;login:Magazinehttps://www.usenix.org/publications/login/

december-2012-volume-37-number-6/anatomy-sip-attacks


http://www.cgi.br/

http://www.cert.br/

http://www.honeytarg.cert.br/

https://www.usenix.org/publications/login/december-2012-volume-37-number-6/anatomy-sip-attacks

https://www.usenix.org/publications/login/december-2012-volume-37-number-6/anatomy-sip-attacks

Anatomia de Ataques a Servidores SIP - cert.br · 19-21-Academia 1o Col´oquio T ......

Documents

Transcript of Anatomia de Ataques a Servidores SIP - cert.br · 19-21-Academia 1o Col´oquio T ......