SIP honeypot

Z Wikipedie, otevřené encyklopedie
Skočit na navigaci Skočit na vyhledávání

Specializovaný honeypot simulující VoIP zařízení připojené na internet a podporující SIP protokol. Slouží k poznávání SIP útoků (zdrojových IP adres, vlastností SIP signálů, scénářů napadení, ...). Umožňuje sestavovat black list útočících IP adres, vzory podvržených SIP signálů nebo seznamy cílů podvodných hovorů. Slouží ke studiu postupů, které používají VoIP hackeři. Skupina programů SIP honeypot pak může tvořit SIP honeynet. Informace získané sítí honeypotů mohou být dále zpracovány v navazujícím SW[1][2][3][4] a veřejně publikovány na webu nebo využívané v SIP antifraudu.

SIP honeypot bývá k dispozici jako software, např.: VoIP Honey, Artemisa, Dionaea, Frafos a HoneySIP.

Pasivní SIP honeypot[editovat | editovat zdroj]

Pouze příjímá a eviduje SIP signály. Nereaguje na SIP žádosti, neodpovídá OK ani žádným odmítnutím. Útočník se tak může pouze dohadovat, že na UDP portu jeho podvodné SIP žádosti přijímá VoIP služba. Pozná pouze, že je UDP port aktivní, protože nedostane žádnou ICMP odpověď typu Destination Port Unreachable. I tento jednoduchý režim umožňuje zjistit IP adresy útočníků, napadané UDP porty, vlastnosti úvodních SIP signálů atd.

Dále uvedené zkušenosti pocházejí z ročního experimentování s programem HoneySIP V1.12. Postupně byl umístěn na 3 skupinách čtyř IP adres (v pražském a brněnském telehausu) a provozován vždy po několika měsíců. Na přijímané SIP žádosti reagoval jen velmi omezeně. Celkem byl instalován na desítkách kombinací IP adresy a UDP portů.

Zahájení SIP útoku[editovat | editovat zdroj]

SIP honeypot fungující na veřejné IP adrese a standardním UDP portu 5060 detekuje první podvodnou SIP žádost do několika minut. Je-li VoIP provozován na okolních UDP portech, pak je první neoprávněný SIP signál přijat v řádu hodin až dnů. Průzkumné SIP žádosti jsou pozorovány i na vzdálenějších UDP portech (např. 5100 až 6000). SIP útoky přicházejí na sudé i liché UDP porty. Výsledky jednorázového experimentu ukazující začátky útoků (časy od zprovoznění SIP honeypotu do příjmu 1. podvodné SIP žádosti):

UDP port začátek útoku SIP žádost display-name User-Agent IP zdroje UDP zdroje Abuse SIP žádostí za 120 dnů
5010 2 dny OPTIONS sipvicious friendly-scanner 185.53.88.10 5127 cloudstar.is 4
5020 2 dny OPTIONS sipvicious friendly-scanner 185.53.88.10 5114 cloudstar.is 3
5030 85 dnů OPTIONS sipvicious friendly-scanner 63.143.52.86 6314 limestonenetworks.com 2
5040 6 dnů OPTIONS sipvicious friendly-scanner 147.135.9.201 6786 ovh.us 4
5045 85 dnů OPTIONS sipvicious friendly-scanner 63.143.52.86 6314 limestonenetworks.com 1
5050 15 hod OPTIONS sipvicious friendly-scanner 185.53.88.26 55522 cloudstar.is 15
5055 79 dnů OPTIONS sipvicious friendly-scanner 77.247.109.151 5226 cloudstar.is 3
5060 13 min OPTIONS sipvicious friendly-scanner 185.53.91.41 5091 cloudstar.is > 10.000
5065 12 hod OPTIONS sipvicious friendly-scanner 185.53.88.61 5060 cloudstar.is 50
5070 1 hod OPTIONS sipvicious friendly-scanner 94.177.241.170 5364 aruba.it 184
5075 2 dny OPTIONS sipvicious friendly-scanner 51.158.24.18 5530 online.net 28
5080 7 hod OPTIONS sipvicious friendly-scanner 207.180.241.90 5190 ripe.net 129
5090 21 hod OPTIONS sipvicious friendly-scanner 195.154.181.182 6239 online.net 73
5100 30 dnů OPTIONS sipvicious friendly-scanner 80.82.70.189 5591 ipvolume.net 5

Dominují SIP žádosti OPTIONS, jen zcela výjimečně byly detekovány SIP žádosti REGISTER, INVITE nebo CANCEL. Příklad neoprávněné SIP žádosti OPTIONS přijaté na adrese 195.47.235.3:5080:

OPTIONS sip:100@195.47.235.3:5080 SIP/2.0
Via: SIP/2.0/UDP 127.0.0.1:5127;branch=z9hG4bK-1853953302;rport
Content-Length: 0
From: "sipvicious"<sip:100@1.1.1.1>;tag=7531596266393665313339320133373
Accept: application/sdp
User-Agent: friendly-scanner
To: "sipvicious"<sip:100@1.1.1.1>
Contact: sip:100@127.0.0.1:5127
CSeq: 1 OPTIONS
Call-ID: 1131234710387705485967315468
Max-Forwards: 70

Útočící IP adresy[editovat | editovat zdroj]

Podvodné SIP žádosti přicházejí z IP adres evidovaných ve všech 5 registrech. Ze 3 čtvrtin ale převažují evropské IP adresy (73 %). Ojediněle byla přijata SIP žádost i z české IP adresy. SIP honeypot za 90 dnů na UDP portu 5060 zjistil tuto strukturu útočících IP adres:

registr SIP žádostí IP adres země
RIPE 12906 302 DE, DK, EE, FR, GB, IS, IT, KZ, LT, NL, PL, PS, PT, RU, SC, TR, US,
ARIN 4415 70 AU, CA, NL, US
AFRINIC 319 17 US, ZA
APNIC 138 26 AU, CN, ID, KR, VN
LACNIC 2 1 CO

Na UDP portu 5060 bývají do 3 dnů přijaty SIP žádosti z více než 50 různých IP adres. Po 30 dnech překročil počet 200 a po 90 dnech jich bylo přes 400. Pasivní SIP honeypot provozovaný 90 dnů na UDP portu 5060, který žádosti OPTIONS potvrzoval OK (na ostatní SIP žádosti neodpovídal) identifikoval jako nejčastěji útočící IP adresy:

útočící IP adresa SIP žádostí podíl registr země Abuse
85.114.107.238 1634 9 % RIPE Palestine fusion.ps
216.244.84.218 1369 8 % ARIN USA wowrack.com
74.121.190.250 1290 7 % ARIN USA wowrack.com
185.107.83.44 1248 7 % RIPE Netherlands nforce.com
37.49.231.142 1010 6 % RIPE Netherlands cloudstar.is
37.49.231.142 690 4 % RIPE Netherlands cloudstar.is
46.166.151.80 609 3 % RIPE Netherlands nforce.com
216.244.83.90 542 3 % ARIN USA wowrack.com
62.210.88.58 511 3 % RIPE France online.net
185.40.4.48 468 3 % RIPE Russian ntx.ru
216.244.81.234 352 2 % ARIN USA wowrack.com
185.53.91.57 324 2 % RIPE Iceland cloudstar.is
další 7733 43 % * * *

Zjištěné IP adresy logicky nepatří útočníkům ale poskytovatelům služeb Cloud, VPN apod.

Podvrhované SIP signály[editovat | editovat zdroj]

Zcela pasivní SIP honeypot po 10 dnech zaregistroval na UDP portu 5060 tyto druhy SIP žádostí:

SIP žádost počet User-Agent
OPTIONS 1034 friendly-scanner, PBX, eyeBeam, Asterisk-PBX, AVM FRITZ_Box, Vicidal, PolycomSound, ...
REGISTER 33 friendly-scanner, PBX, Cisco-SIPGateway, SmartSwitch, Awaya, ...
INVITE 39 friendly-scanner, PBX, StarTrinity, ...
jiné UDP pakety 2

Příklad neoprávněné SIP žádosti REGISTER přijaté na adrese 195.47.235.3:5060:

REGISTER sip:195.47.235.3 SIP/2.0
Via: SIP/2.0/UDP 37.49.231.171:17586;branch=z9hG4bK-339953588;rport
Content-Length: 0
From: "AmooT"<sip:100@1.1.1.1>;tag=64393062663936653133633401343536303531383539
Accept: application/sdp
User-Agent: PBX
To: "AmooT"<sip:100@1.1.1.1>
Contact: None
CSeq: 1 REGISTER
Call-ID: 318021611912846176272765
Max-Forwards: 70

Příklad neoprávněné SIP žádosti INVITE přijaté na adrese 195.47.235.3:5060:

INVITE sip:0012673612980@195.47.235.3 SIP/2.0
Via: SIP/2.0/UDP 62.210.88.58:59117;branch=z9hG4bK1357933556
Max-Forwards: 70
From: <sip:100@195.47.235.3>;tag=2132184247
To: <sip:0012673612980@217.11.249.110>
Call-ID: 504040875-1500941435-1890018837
CSeq: 1 INVITE
Contact: <sip:100@62.210.88.58:59117>
Content-Type: application/sdp
Content-Length: 207
Allow: ACK, BYE, CANCEL, INFO, INVITE, MESSAGE, NOTIFY, OPTIONS, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE, PUBLISH

v=0
o=100 16264 18299 IN IP4 192.168.1.83
s=call
c=IN IP4 192.168.1.83
t=0 0
m=audio 25282 RTP/AVP 0 101
a=rtpmap:0 pcmu/8000
a=rtpmap:8 pcma/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-11

Aktivní SIP honeypot[editovat | editovat zdroj]

Simuluje chování reálného VoIP zařízení. Definovaným způsobem reaguje na SIP žádosti OPTIONS, REGISTER nebo INVITE. Případně určeným postupem simuluje obsluhu SIP volání či dokonce kontrolovaně realizuje skutečné podvodné hovory. Útočník se pak domnívá, že na UDP portu funguje VoIP zařízení a pokouší se zjistit čísla obsluhovaná ústřednou, heslo SIP registrace, prefix pro zahraniční hovory a dostupnost cílů podvodných hovorů.

Obsluha OPTIONS[editovat | editovat zdroj]

Reakce honeypotu na podvodné SIP žádosti (potvrzení 200 OK nebo SIP odmítnutí) jsou pro útočníka informací, že na daném portu skutečně funguje VoIP zařízení podporující protokol SIP. To má význam zejména na nestandardních UDP portech (jiných než 5060). Útočník někdy může z obsahu a struktury SIP odpovědi rozpoznat i otisk napadeného SIP zařízení. Aktivní SIP honeypot proto může napodobovat odpověď konkrétního zařízení (např. Asterisku). Z hlediska SIP honeypotu je možné ze žádostí OPTIONS zjišťovat charakteristické znaky (fingerprints) podvodných SIP žádostí. Např.:

  • IP adresy zdrojů SIP žádostí
  • typické skladby a pořadí položek SIP žádostí
  • typické délky i obsah položky Call-ID
  • typické délky i obsah parametrů tag a branch
  • typické obsahy položek User-Agent (friendly-scanner, ...)
  • typické display-name v adresních položkách (sipvicious, ...)
  • typická tel. čísla v adresních položkách (100, ...)
  • typické IP v adresních položkách (1.1.1.1, ...)
  • ... apod.

Charakteristické znaky (fingerprints) získané provozem sítě SIP honeypotů později slouží jako parametry kontroly prováděné SBC systémem.

Obsluha REGISTER[editovat | editovat zdroj]

Útočník se pomocí podvodných žádostí REGISTER může snažit zjistit:

  • existenci VoIP zařízení podporujícího protokol SIP (stejně jako pomocí OPTIONS),
  • existenci telefonního čísla obsluhovaného napadenou SIP ústřednou,
  • existenci telefonního čísla trestuhodně nezabezpečeného SIP heslem nebo
  • jednoduché SIP heslo sloužící k registraci SIP telefonu k SIP ústředně.

Aktivní SIP honeypot může zmapovat škálu telefonních čísel, která se útočníci pokoušejí napadnout (vracením SIP odpovědi 404 Not Found). Navíc může na žádost REGISTER reagovat potvrzením 200 OK a vyvolat dojem tel. čísla nezabezpečeného pomocí SIP hesla. Podobně může potvrzením některého triviálního SIP hesla (123, ...), které útočník jistě vyzkouší, vyvolat dojem prolomení SIP registrace. Stejně jako u podvržených žádostí OPTIONS lze i ze žádostí REGISTER zjišťovat a následně využívat charakteristické znaky (fingerprints) typické pro podvodné SIP žádosti.

Na místě registrovaného tel. čísla se vyskytují řetězce číslic i různá jména nebo řetězce znaků. Příklady telefonních čísel zjištěných z podvodných SIP žádostí:

0 až 9, 00 až 99, 000 až 999, 0000 až 9999, ...  atd., 
test, Test, test1, admin, admin1, Admin, abc, abc100, abc123, abc1001, abcd, user, user1, User,
Bavaria, Bloger, biology, cracking, demo, demo1, highway, joker, Malta, St.Lucia, secret, ...

Obsluha INVITE[editovat | editovat zdroj]

Pomocí žádosti INVITE může útočník zjistit totéž jako ze žádostí OPTIONS (existenci obsluhy SIP protokolu) nebo REGISTER (existenci tel. čísla a způsob jeho zabezpečení). Navíc může útočník pomocí podvodných žádostí INVITE:

  • zjistit prefix potřebný pro zahraniční hovory,
  • zjistit dostupnost cílů podvodných hovorů a
  • realizovat drahé hovory na podvodné cíle.

Aktivní SIP honeypot může zjistit škálu útočníkem testovaných prefixů a seznam cílů podvodných hovorů. Ze žádostí INVITE může (stejně jako ze žádostí OPTIONS a REGISTER) zjišťovat a následně využívat znaky (fingerprints) typické pro podvodné SIP žádosti (včetně typické skladby a obsahu atributů v SDP části signálu INVITE).

Prefix před číslem volaného se může skládat až ze 3 částí: ochranného PIN nebo čísla zakázky (cokoli) a prefixu pro přechod do veřejné sítě (typicky 0) a prefixu zahraničního hovoru (typicky 00). Příklad různých prefixů volby zjištěných z podvodných SIP žádostí:

00, 000, 900, 800, 700, 8, 88, 88 až 8888888888, 7, 77, 7777 až 7777777777, 9, 99, 999 až 9999999999, 00000 až 0000000000,
*0, *00, *000, *0000, *00000, *0*0, *9011, 7*00, 7*000, *9011*, *9011**, 00*00, 000*000,
+, +00, +000, ++00, +++00, +0+, +00+, 00+00,
.9011, ..9011, ...9011, 00.00,
#, #0, #00, #000, #9, #99,
~0, ~00,~000,
$0, $$0, $9,
00/00, 00-00, x00, */0, */*, *9011/, ./*9011, *9011//, *9011///, *9011////, #+0,
..., etc.

Příklady tel. čísel podvodných hovorů z experimentu v roce 2011:

Albánie: 0035551181063
Ázerbájdžán: 00994400160002
Bělorusko: 00375333445909, 00375602606857, 00375602606858
Barma: 009595640970, 0095525806531
Bulharsko: 00359878323345, 00359999753237, 00359999726452
Burkina Faso: 0022650770036
Burundi: 0025774855444
Dominikánsko: 0017675033801
Džibutsko: 00253891340
Ellipso (satelitní síť): 00881935211586, 0088213090309, 008823460773
Eritrea: 002913091852
Estonsko: 0037281020072, 0037270077045
Falklandy: 0050057069, 0050090839
Grenada: 0014735077004
Gruzie: 0099572001324, 0099572001306, 0099572001306
Guinea: 0022455200903
Honduras: 0050487370618
Chile: 0056421972315
Irák: 009648210000650
Jamajka: 0018766971080
Keňa: 00254204795035
Kiribati: 0068670516
Kongo: 002431231572
Komory: 002698100209
Kuba: 005359603058, 00535959868
Liberie: 0023190000173
Lichtenštejnsko: 004238701465
Litva: 0037091009419, 0037090310081, 0037052194142
Lotyšsko: 0037181031368, 0037181000461, 0037165779364, 0037127690331, 0037127910458, 0037127910508, 0037127971460, 0037127971461
Madagaskar: 00261200220473
Moldávie: 0037390002180
Niger: 00227170022
Norfolkské ostrovy: 00672372610
Polsko: 0048720914262
Rakousko: 0043810959478, 0043820894110, 0043810104319, 0043820894354
Rumunsko: 0040720331935, 0040903000009
Rusko: 0077851001207
San Marino: 0037866311080, 0037877311444
Severní Korea: 0085099929734
Sierra Leone: 0023222288829, 0023224001218
Slovinsko: 0038643281745, 003864976175
Somálsko: 0025270601063, 002522168319, 0025230221425, 002525237312283, 0025240900306
Středoafrická republika: 0023621750032
Šalamounovy ostrovy: 006777495988
Španělsko: 0034601001394
Tákžikistán: 00992372300032
Togo: 002287270050
Tunisko: 0021670760110
Ukrajina: 00380623431670
Vanuatu: 006787780096
Zimbabwe: 00263732210353, 002639530302, 00263912792694

Typické znaky podvodů[editovat | editovat zdroj]

Dalším zpracováním údajů ze SIP honeypotů lze získat znalosti o typických znacích podvodných SIP žádostí (fingerprints). Např. typická skladba i pořadí položek SIP signálů, typická délka i obsah položek SIP signálů, ... apod. Některá údaje jsou jednoznačným znakem VoIP podvodu (např. sip-uri obsahující 1.1.1.1, User-Agent: friendly-scanner, display-name sipvicious). Jiné údaje mohou být jen příznakem možného VoIP podvodu (např. přítomnost nepovinných položek nebo pořadí položek v SIP žádosti INVITE nebo délka či struktura položky Call-ID či parametrů branch a tag nebo řetězec Unknown v rámci SIP-URI položky From).

Znalost fingerprints podvodných SIP žádostí je dobře využitelná v SIP antifraudu. Např. jako black-list nepřípustných IP adres v sip-uri uvnitř SIP žádostí, jako black-list nepřípustného obsahu položek User-Agent i Server, jako black-list nepřípustných hodnot display-name, ... apod.

Související články[editovat | editovat zdroj]

Externí odkazy[editovat | editovat zdroj]

  1. ŠAFAŘÍK, Jakub. Distribuovaný systém klasifikace útoků pro VoIP infrastrukturu využívající protokol SIP. liptel.vsb.cz [online]. 2016. Dostupné online. 
  2. HERYCH, Jan. Vysokointeraktivní VoIP Honeypot. dspace.cvut.cz [online]. 2014. Dostupné online. 
  3. BAJÁKOVÁ, Zuzana. Nasazení IP telefonních Honeypotů v reálné infrastruktuře. dspace.vsb.cz [online]. 2016. Dostupné online. 
  4. FIŠER, Ivo. VoIP podvody - hovory do zahraničí. indico.csnog.eu [online]. Dostupné online.