Cesko.wiki SIP honeypot
Author
Albert FloresSpecializovaný honeypot simulující VoIP zařízení připojené na internet a podporující SIP protokol. Slouží k poznávání SIP útoků (zdrojových IP adres, vlastností SIP signálů, scénářů napadení, ...). Umožňuje sestavovat black list útočících IP adres, vzory podvržených SIP signálů nebo seznamy cílů podvodných hovorů. Slouží ke studiu postupů, které používají VoIP hackeři. Skupina programů SIP honeypot pak může tvořit SIP honeynet. Informace získané sítí honeypotů mohou být dále zpracovány v navazujícím SW a veřejně publikovány na webu nebo využívané v SIP antifraudu.
SIP honeypot bývá k dispozici jako software, např. : [url=http://voiphoney. +moresourceforge. net/]VoIP Honey[/url], [url=http://artemisa. sourceforge. net/. page_id=2]Artemisa[/url] , [url=https://dionaea. readthedocs. io/en/latest/service/sip. html]Dionaea[/url], [url=https://www. frafos. com/timely-attack-discovery-using-honeypot/]Frafos[/url] a HoneySIP.
Pasivní SIP honeypot
Pouze přijímá a eviduje SIP signály. Nereaguje na SIP žádosti, neodpovídá OK ani žádným odmítnutím. +more Útočník se tak může pouze dohadovat, že na UDP portu jeho podvodné SIP žádosti přijímá VoIP služba. Pozná pouze, že je UDP port aktivní, protože nedostane žádnou ICMP odpověď typu Destination Port Unreachable. I tento jednoduchý režim umožňuje zjistit IP adresy útočníků, napadané UDP porty, vlastnosti úvodních SIP signálů atd.
Dále uvedené zkušenosti pocházejí z ročního experimentování s programem HoneySIP V1. 12. +more Postupně byl umístěn na 3 skupinách čtyř IP adres (v pražském a brněnském telehausu) a provozován vždy po několika měsíců. Na přijímané SIP žádosti reagoval jen velmi omezeně. Celkem byl instalován na desítkách kombinací IP adresy a UDP portů.
Zahájení SIP útoku
SIP honeypot fungující na veřejné IP adrese a standardním UDP portu 5060 detekuje první podvodnou SIP žádost do několika minut. Je-li VoIP provozován na okolních UDP portech, pak je první neoprávněný SIP signál přijat v řádu hodin až dnů. +more Průzkumné SIP žádosti jsou pozorovány i na vzdálenějších UDP portech (např. 5100 až 6000). SIP útoky přicházejí na sudé i liché UDP porty. Výsledky jednorázového experimentu ukazující začátky útoků (časy od zprovoznění SIP honeypotu do příjmu 1. podvodné SIP žádosti):
. UDP port začátek útoku SIP žádost display-name User-Agent IP zdroje UDP zdroje Abuse SIP žádostí za 120 dnů 5010 2 dny OPTIONS sipvicious friendly-scanner 185. 53. 88. 10 5127 cloudstar. is 4 5020 2 dny OPTIONS sipvicious friendly-scanner 185. 53. 88. 10 5114 cloudstar. is 3 5030 85 dnů OPTIONS sipvicious friendly-scanner 63. 143. 52. 86 6314 limestonenetworks. com 2 5040 6 dnů OPTIONS sipvicious friendly-scanner 147. 135. 9. 201 6786 ovh. us 4 5045 85 dnů OPTIONS sipvicious friendly-scanner 63. 143. 52. 86 6314 limestonenetworks. com 1 5050 15 hod OPTIONS sipvicious friendly-scanner 185. 53. 88. 26 55522 cloudstar. is 15 5055 79 dnů OPTIONS sipvicious friendly-scanner 77. 247. 109. 151 5226 cloudstar. is 3 5060 13 min OPTIONS sipvicious friendly-scanner 185. 53. 91. 41 5091 cloudstar. is > 10. 000 5065 12 hod OPTIONS sipvicious friendly-scanner 185. 53. 88. 61 5060 cloudstar. is 50 5070 1 hod OPTIONS sipvicious friendly-scanner 94. 177. 241. 170 5364 aruba. it 184 5075 2 dny OPTIONS sipvicious friendly-scanner 51. 158. 24. 18 5530 online. net 28 5080 7 hod OPTIONS sipvicious friendly-scanner 207. 180. 241. 90 5190 ripe. net 129 5090 21 hod OPTIONS sipvicious friendly-scanner 195. 154. 181. 182 6239 online. net 73 5100 30 dnů OPTIONS sipvicious friendly-scanner 80. 82. 70. 189 5591 ipvolume. net 5
Dominují SIP žádosti OPTIONS, jen zcela výjimečně byly detekovány SIP žádosti REGISTER, INVITE nebo CANCEL. Příklad neoprávněné SIP žádosti OPTIONS přijaté na adrese 195. +more47. 235. 3:5080:.
OPTIONS sip:100@195. 47. +more235. 3:5080 SIP/2. 0 Via: SIP/2. 0/UDP 127. 1:5127;branch=z9hG4bK-1853953302;rport Content-Length: 0 From: "sipvicious";tag=7531596266393665313339320133373 Accept: application/sdp User-Agent: friendly-scanner To: "sipvicious" Contact: sip:100@127. 1:5127 CSeq: 1 OPTIONS Call-ID: 1131234710387705485967315468 Max-Forwards: 70.
Útočící IP adresy
Podvodné SIP žádosti přicházejí z IP adres evidovaných ve všech 5 registrech. Ze 3 čtvrtin ale převažují evropské IP adresy (73 %). +more Ojediněle byla přijata SIP žádost i z české IP adresy. SIP honeypot za 90 dnů na UDP portu 5060 zjistil tuto strukturu útočících IP adres:
. registr SIP žádostí IP adres země RIPE 12906 302 DE, DK, EE, FR, GB, IS, IT, KZ, LT, NL, PL, PS, PT, RU, SC, TR, US, ARIN 4415 70 AU, CA, NL, US AFRINIC 319 17 US, ZA APNIC 138 26 AU, CN, ID, KR, VN LACNIC 2 1 CO
Na UDP portu 5060 bývají do 3 dnů přijaty SIP žádosti z více než 50 různých IP adres. Po 30 dnech překročil počet 200 a po 90 dnech jich bylo přes 400. +more Pasivní SIP honeypot provozovaný 90 dnů na UDP portu 5060, který žádosti OPTIONS potvrzoval OK (na ostatní SIP žádosti neodpovídal) identifikoval jako nejčastěji útočící IP adresy:
Zjištěné IP adresy logicky nepatří útočníkům ale poskytovatelům služeb Cloud, VPN apod. útočící IP adresa SIP žádostí podíl registr země Abuse 85. 114. 107. 238 1634 9 % RIPE Palestine fusion. ps 216. 244. 84. 218 1369 8 % ARIN USA wowrack. com 74. 121. 190. 250 1290 7 % ARIN USA wowrack. com 185. 107. 83. 44 1248 7 % RIPE Netherlands nforce. com 37. 49. 231. 142 1010 6 % RIPE Netherlands cloudstar. is 37. 49. 231. 142 690 4 % RIPE Netherlands cloudstar. is 46. 166. 151. 80 609 3 % RIPE Netherlands nforce. com 216. 244. 83. 90 542 3 % ARIN USA wowrack. com 62. 210. 88. 58 511 3 % RIPE France online. net 185. 40. 4. 48 468 3 % RIPE Russian ntx. ru 216. 244. 81. 234 352 2 % ARIN USA wowrack. com 185. 53. 91. 57 324 2 % RIPE Iceland cloudstar. is další 7733 43 %
Podvrhované SIP signály
Zcela pasivní SIP honeypot po 10 dnech zaregistroval na UDP portu 5060 tyto druhy SIP žádostí:
| SIP žádost | počet | User-Agent |
|---|---|---|
| OPTIONS | 1034 | friendly-scanner, PBX, eyeBeam, Asterisk-PBX, AVM FRITZ_Box, Vicidal, PolycomSound, . |
| REGISTER | 33 | friendly-scanner, PBX, Cisco-SIPGateway, SmartSwitch, Awaya, . +more |
| INVITE | 39 | friendly-scanner, PBX, StarTrinity, . |
| jiné UDP pakety | 2 |
Příklad neoprávněné SIP žádosti REGISTER přijaté na adrese 195.47.235.3:5060:
REGISTER sip:195. 47. +more235. 3 SIP/2. 0 Via: SIP/2. 0/UDP 37. 49. 231. 171:17586;branch=z9hG4bK-339953588;rport Content-Length: 0 From: "AmooT";tag=64393062663936653133633401343536303531383539 Accept: application/sdp User-Agent: PBX To: "AmooT" Contact: None CSeq: 1 REGISTER Call-ID: 318021611912846176272765 Max-Forwards: 70.
Příklad neoprávněné SIP žádosti INVITE přijaté na adrese 195.47.235.3:5060:
INVITE sip:0012673612980@195. 47. +more235. 3 SIP/2. 0 Via: SIP/2. 0/UDP 62. 210. 88. 58:59117;branch=z9hG4bK1357933556 Max-Forwards: 70 From: ;tag=2132184247 To: Call-ID: 504040875-1500941435-1890018837 CSeq: 1 INVITE Contact: Content-Type: application/sdp Content-Length: 207 Allow: ACK, BYE, CANCEL, INFO, INVITE, MESSAGE, NOTIFY, OPTIONS, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE, PUBLISH.
v=0 o=100 16264 18299 IN IP4 192.168.1.83 s=call c=IN IP4 192.168.1.83 t=0 0 m=audio 25282 RTP/AVP 0 101 a=rtpmap:0 pcmu/8000 a=rtpmap:8 pcma/8000 a=rtpmap:101 telephone-event/8000 a=fmtp:101 0-11
Aktivní SIP honeypot
Simuluje chování reálného VoIP zařízení. Definovaným způsobem reaguje na SIP žádosti OPTIONS, REGISTER nebo INVITE. +more Případně určeným postupem simuluje obsluhu SIP volání či dokonce kontrolovaně realizuje skutečné podvodné hovory. Útočník se pak domnívá, že na UDP portu funguje VoIP zařízení a pokouší se zjistit čísla obsluhovaná ústřednou, heslo SIP registrace, prefix pro zahraniční hovory a dostupnost cílů podvodných hovorů.
Obsluha OPTIONS
Reakce honeypotu na podvodné SIP žádosti (potvrzení 200 OK nebo SIP odmítnutí) jsou pro útočníka informací, že na daném portu skutečně funguje VoIP zařízení podporující protokol SIP. To má význam zejména na nestandardních UDP portech (jiných než 5060). +more Útočník někdy může z obsahu a struktury SIP odpovědi rozpoznat i otisk napadeného SIP zařízení. Aktivní SIP honeypot proto může napodobovat odpověď konkrétního zařízení (např. Asterisku). Z hlediska SIP honeypotu je možné ze žádostí OPTIONS zjišťovat charakteristické znaky (fingerprints) podvodných SIP žádostí. Např. :.
* IP adresy zdrojů SIP žádostí * typické skladby a pořadí položek SIP žádostí * typické délky i obsah položky Call-ID * typické délky i obsah parametrů tag a branch * typické obsahy položek User-Agent (friendly-scanner, . ) * typické display-name v adresních položkách (sipvicious, . +more) * typická tel. čísla v adresních položkách (100, . ) * typické IP v adresních položkách (1. 1. 1. 1, . ) * . apod.
Charakteristické znaky (fingerprints) získané provozem sítě SIP honeypotů později slouží jako parametry kontroly prováděné SBC systémem.
Obsluha REGISTER
Útočník se pomocí podvodných žádostí REGISTER může snažit zjistit:
* existenci VoIP zařízení podporujícího protokol SIP (stejně jako pomocí OPTIONS), * existenci telefonního čísla obsluhovaného napadenou SIP ústřednou, * existenci telefonního čísla trestuhodně nezabezpečeného SIP heslem nebo * jednoduché SIP heslo sloužící k registraci SIP telefonu k SIP ústředně.
Aktivní SIP honeypot může zmapovat škálu telefonních čísel, která se útočníci pokoušejí napadnout (vracením SIP odpovědi 404 Not Found). Navíc může na žádost REGISTER reagovat potvrzením 200 OK a vyvolat dojem tel. +more čísla nezabezpečeného pomocí SIP hesla. Podobně může potvrzením některého triviálního SIP hesla (123, . ), které útočník jistě vyzkouší, vyvolat dojem prolomení SIP registrace. Stejně jako u podvržených žádostí OPTIONS lze i ze žádostí REGISTER zjišťovat a následně využívat charakteristické znaky (fingerprints) typické pro podvodné SIP žádosti.
Na místě registrovaného tel. čísla se vyskytují řetězce číslic i různá jména nebo řetězce znaků. Příklady telefonních čísel zjištěných z podvodných SIP žádostí:
0 až 9, 00 až 99, 000 až 999, 0000 až 9999, . atd. +more, test, Test, test1, admin, admin1, Admin, abc, abc100, abc123, abc1001, abcd, user, user1, User, Bavaria, Bloger, biology, cracking, demo, demo1, highway, joker, Malta, St. Lucia, secret, .
Obsluha INVITE
Pomocí žádosti INVITE může útočník zjistit totéž jako ze žádostí OPTIONS (existenci obsluhy SIP protokolu) nebo REGISTER (existenci tel. čísla a způsob jeho zabezpečení). +more Navíc může útočník pomocí podvodných žádostí INVITE:.
* zjistit prefix potřebný pro zahraniční hovory, * zjistit dostupnost cílů podvodných hovorů a * realizovat drahé hovory na podvodné cíle.
Aktivní SIP honeypot může zjistit škálu útočníkem testovaných prefixů a seznam cílů podvodných hovorů. Ze žádostí INVITE může (stejně jako ze žádostí OPTIONS a REGISTER) zjišťovat a následně využívat znaky (fingerprints) typické pro podvodné SIP žádosti (včetně typické skladby a obsahu atributů v SDP části signálu INVITE).
Prefix před číslem volaného se může skládat až ze 3 částí: ochranného PIN nebo čísla zakázky (cokoli) a prefixu pro přechod do veřejné sítě (typicky 0) a prefixu zahraničního hovoru (typicky 00). Příklad různých prefixů volby zjištěných z podvodných SIP žádostí:
00, 000, 900, 800, 700, 8, 88, 88 až 8888888888, 7, 77, 7777 až 7777777777, 9, 99, 999 až 9999999999, 00000 až 0000000000, *0, *00, *000, *0000, *00000, *0*0, *9011, 7*00, 7*000, *9011*, *9011**, 00*00, 000*000, +, +00, +000, ++00, +++00, +0+, +00+, 00+00, . 9011, . +more9011, . 9011, 00. 00, #, #0, #00, #000, #9, #99, ~0, ~00,~000, $0, $$0, $9, 00/00, 00-00, x00, */0, */*, *9011/, . /*9011, *9011//, *9011///, *9011////, #+0, . , etc.
Příklady tel. čísel podvodných hovorů z experimentu v roce 2011:
Albánie: 0035551181063 Ázerbájdžán: 00994400160002 Bělorusko: 00375333445909, 00375602606857, 00375602606858 Barma: 009595640970, 0095525806531 Bulharsko: 00359878323345, 00359999753237, 00359999726452 Burkina Faso: 0022650770036 Burundi: 0025774855444 Dominikánsko: 0017675033801 Džibutsko: 00253891340 Ellipso (satelitní síť): 00881935211586, 0088213090309, 008823460773 Eritrea: 002913091852 Estonsko: 0037281020072, 0037270077045 Falklandy: 0050057069, 0050090839 Grenada: 0014735077004 Gruzie: 0099572001324, 0099572001306, 0099572001306 Guinea: 0022455200903 Honduras: 0050487370618 Chile: 0056421972315 Irák: 009648210000650 Jamajka: 0018766971080 Keňa: 00254204795035 Kiribati: 0068670516 Kongo: 002431231572 Komory: 002698100209 Kuba: 005359603058, 00535959868 Liberie: 0023190000173 Lichtenštejnsko: 004238701465 Litva: 0037091009419, 0037090310081, 0037052194142 Lotyšsko: 0037181031368, 0037181000461, 0037165779364, 0037127690331, 0037127910458, 0037127910508, 0037127971460, 0037127971461 Madagaskar: 00261200220473 Moldávie: 0037390002180 Niger: 00227170022 Norfolkské ostrovy: 00672372610 Polsko: 0048720914262 Rakousko: 0043810959478, 0043820894110, 0043810104319, 0043820894354 Rumunsko: 0040720331935, 0040903000009 Rusko: 0077851001207 San Marino: 0037866311080, 0037877311444 Severní Korea: 0085099929734 Sierra Leone: 0023222288829, 0023224001218 Slovinsko: 0038643281745, 003864976175 Somálsko: 0025270601063, 002522168319, 0025230221425, 002525237312283, 0025240900306 Středoafrická republika: 0023621750032 Šalomounovy ostrovy: 006777495988 Španělsko: 0034601001394 Tákžikistán: 00992372300032 Togo: 002287270050 Tunisko: 0021670760110 Ukrajina: 00380623431670 Vanuatu: 006787780096 Zimbabwe: 00263732210353, 002639530302, 00263912792694
Typické znaky podvodů
Dalším zpracováním údajů ze SIP honeypotů lze získat znalosti o typických znacích podvodných SIP žádostí (fingerprints). Např. +more typická skladba i pořadí položek SIP signálů, typická délka i obsah položek SIP signálů, . apod. Některá údaje jsou jednoznačným znakem VoIP podvodu (např. sip-uri obsahující 1. 1. 1. 1, User-Agent: friendly-scanner, display-name sipvicious). Jiné údaje mohou být jen příznakem možného VoIP podvodu (např. přítomnost nepovinných položek nebo pořadí položek v SIP žádosti INVITE nebo délka či struktura položky Call-ID či parametrů branch a tag nebo řetězec Unknown v rámci SIP-URI položky From).
Znalost fingerprints podvodných SIP žádostí je dobře využitelná v SIP antifraudu. Např. +more jako black-list nepřípustných IP adres v sip-uri uvnitř SIP žádostí, jako black-list nepřípustného obsahu položek User-Agent i Server, jako black-list nepřípustných hodnot display-name, . apod.