Anatomia de ataques a servidores

SIP

João M. Ceron, Klaus Steding-Jessen,

Cristine Hoepers
ceron@cert.br, jessen@cert.br, cristine@cert.br

CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de

Segurança no Brasil
Núcleo de Informação e Coordenação do Ponto BR
Comitê Gestor da Internet no Brasil

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 1/24

 Sobre o CERT.br
Criado em 1997 como ponto focal nacional para tratar
incidentes de segurança relacionados com as redes
conectadas à Internet no Brasil

Tratamento de Treinamento e Análise de

Incidentes Conscientização Tendências
− Articulação − Cursos − Honeypots
− Apoio à − Palestras Distribuídos
recuperação − Documentação − SpamPots
− Estatísticas − Reuniões

http://www.cert.br/sobre/
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 2/24
 Estrutura do CGI.br

01- Ministério da Ciência e Tecnologia

10- Notório Saber
02- Ministério das Comunicações
11- Provedores de Acesso e Conteúdo
03- Casa Civil da Presidência da República
12- Provedores de Infra-estrutura de
04- Ministério do Planejamento, Orçamento e Gestão
Telecomunicações
05- Ministério do Desenvolvimento, Indústria e Comércio Exterior
13- Indústria TICs (Tecnologia da Infor-
06- Ministério da Defesa
mação e Comunicação) e Software
07- Agência Nacional de Telecomunicações
14- Empresas Usuárias
08- Conselho Nacional de Desenvolvimento Cientı́fico e Tecnológico
15-18- Terceiro Setor
09- Conselho Nacional de Secretários Estaduais para Assuntos de
19-21- Academia
Ciência e Tecnologia

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 3/24

 Atribuições do CGI.br

Entre as diversas atribuições e responsabilidades

definidas no Decreto Presidencial no 4.829, destacam-se:
• a proposição de normas e procedimentos relativos à
regulamentação das atividades na internet
• a recomendação de padrões e procedimentos técnicos
operacionais para a internet no Brasil
• o estabelecimento de diretrizes estratégicas relacionadas ao
uso e desenvolvimento da internet no Brasil
• a promoção de estudos e padrões técnicos para a
segurança das redes e serviços no paı́s
• a coordenação da atribuição de endereços internet (IPs) e do
registro de nomes de domı́nios usando <.br>
• a coleta, organização e disseminação de informações sobre
os serviços internet, incluindo indicadores e estatı́sticas

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 4/24

 Agenda

Motivação

Implementação

Análise dos Dados

Conclusão

Recomendações

Referências

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 5/24

 Motivação

• Popularização dos dispositivos SIP

Rede Corporativa
(Telefones SIP e Softphones)

Primergy

Servidor
SIP
INTERNET

Primergy

Gateway PSTN

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 6/24

 Motivação (cont.)

• Alto volume de tráfego em nossos sensores

(5060/UDP)
– porta UDP mais sondada nos últimos 16 meses
• Ausência de detalhes do tráfego SIP
– nı́vel de aplicação

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 7/24

 Implementação

Caracterı́sticas do software implementado:

• escrito em Perl usando o pacote Net::SIP
– módulo para Honeyd, instalado em 50+ sensores
• suporta os métodos OPTIONS, REGISTER, INVITE, etc.
• “ramais” são configuráveis, com ou sem senha, etc
• INVITE são respondidos com erros:
– “Forbidden”, “Request Timeout”, “Temporarily
Unavailable”, “Busy Here”, etc.
• áudio não é armazenado
– questões de privacidade
– SDP e RTP não são tratados
• logs com IP, método, número discado, User Agent,
etc.
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 8/24
 Implementação (cont.)

Logs do software implementado:

2012-02-26 14:22:42 +0000: sip-honeyd.pl[729]: IP: 41.X.X.245,

method: REGISTER, from: "1234", to: "1234", resp: 200,
user-agent: "X-Lite release 1103d stamp 53117"

2012-02-26 14:22:44 +0000: sip-honeyd.pl[729]: IP: 41.X.X.245,

method: INVITE, from: "1234", to: "0015201*****194",
resp: 403, user-agent: "X-Lite release 1103d stamp 53117"

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 9/24

 Anatomia dos Abusos SIP

Rede Corporativa
(Telefones SIP e Softphones)

Primergy 1
Servidor
SIP
INTERNET 2

Primergy

Gateway PSTN

1 Ferramentas automatizadas buscam por servidores SIP

e mapeiam suas configurações
2 Ferramentas automatizadas fazem ataques de força bruta
em busca de ramais conhecidos e com senhas fáceis

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 10/24

 Anatomia dos Abusos SIP (cont.)

Rede Corporativa
(Telefones SIP e Softphones)

Primergy

Servidor 3
SIP
INTERNET

Primergy

Gateway PSTN

3 Atacante abusa servidores SIP para fazer ligações

para telefones das redes fixas comutadas ou móveis

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 11/24

 Análise dos Dados
Coletados

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 12/24

 Resumo dos dados coletados

• Perı́odo de coleta:
– Setembro 2011 - Novembro 2012

Mensagens REGISTER 76.957.227

Mensagens INVITE 1.190.282
IPs únicos 9.295
ASes únicos 864
Número total de dias 435
CCs únicos 86
11.5 GB de dados (REGISTER + INVITE)

Mensagens REGISTER: no geral são varreduras de ferramentas automatizadas

Mensagens INVITE: na maioria softphones solicitando números telefônicos
GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 13/24
 Country Codes de Origem

Considerando somente mensagens INVITE

US 36724 (19.84%)

CN 28939 (15.63%)

PS 19819 (10.71%)

NL 15151 (8.18%)

TH 14552 (7.86%)
Country Codes

EG 10145 (5.48%)

FR 8686 (4.69%)

CA 7940 (4.29%)

ID 7357 (3.97%)

MD 5686 (3.07%)

Outros 30048 (16.23%)

0 5000 10000 15000 20000 25000 30000 35000

Número de Requisições

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 14/24

 Análise dos Dados

• Abusos ao servidor SIP emulado

– vulnerabilidades no servidor
– requisições a telefones internacionais

2011-12-31 02:00:10 +0000: sip-honeyd.pl[30586]: IP: 188.X.X.85,

method: INVITE, from: "102", to: "90109725*****586",
resp: 0, user-agent: undefined

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 15/24

 Análise dos Dados (cont.)

Identificar o destino das ligações

Redundância dos números solicitados:

2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00149725*****586
2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 000149725*****586
2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00159725*****586
2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00219725*****586
2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00219725*****586
2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00319725*****586
2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 9725*****586
2011-09-26 19:21:55 -0300: sip2db.pl[9814]: 00219725*****586
<----------|
Longest substring: 9725*****586

9725*****586|972|5*****586|IL|Israel
biblioteca Number::Phone::Country

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 16/24

 Análise das Ligações
Único IP realizou ligações para 144 paı́ses: possı́vel
central telefônica.
NP PL NA
IO
CZ ZM
LY CH G B DE
GY CF TG
SR HR LV
SO ES TL
SN BB DM
SB MV
TZ AT CU AF
TC
SD UZ
VE MK KE
BG GW GT BW MD RO
VA LI
RS MC
TN SC KM MU
ML
ME DO AM
ER
GM CL WF
PM NO PW AL NL
NI
SM AD FM BE
CD G E
LR BJ
GD 113.X.X.205 DK
GN CK BQ
NF
HT JP ET
YE ID
ST GL
KP TK KZ
PE
ZA US CM EG
SL HN
NU NR AZ MM NC
SA SV FR
MA AC BY
ZW GF
UA
MW GQ SH CI
KY TW MG AI
BF T O
PH DJ HK MH
MR CV AW BA RU
VG T J
OM KN EE GH
MY PG NANP
QA IR
LT VU JM IQ
FK
TR

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 17/24 AfterGlow 1.6.2

 Análise das Ligações (cont.)

Tuplas mais frequentes observadas:

IP DDI Total (%)

PS → IL 9910 5.19%
EG → EG 7008 3.67%
MD → CZ 5559 2.91%
US → CZ 4535 2.37%
FR → RU 4267 2.23%
US → IL 3454 1.81%
PS → RU 3449 1.80%
CA → Inter (0800) 3296 1.72%
US → GB 2038 1.06%
US → ZW 1904 0.99%

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 18/24

 Análise das Ligações (cont.)

Números telefônicos solicitados pelo IP 50.X.X.99

*****912794635
*****9534595
*****9001502
*****68905289 *****602606841
*****980216

*****5034714 *****779387402 *****13100795

*****212447
*****66971088

*****4998697
*****912794608
*****91033997 *****90002212

*****70710125 *****601023
*****90903147
*****20391289 *****602605250
*****200201043 *****601144

*****50770170

*****7270427 *****912794609 *****395047

*****009094
*****0947487
*****750146
*****779387485
*****90002202 50.X.X.99
*****009087
*****51001317 *****9534620
*****51006326

*****999753417 *****750051
*****0947482
*****395049
*****8772754
*****912794640
*****81020567
*****28510034
*****291217 *****80040091
*****912794610
*****88004243
*****845110437
*****20391383

*****77311731 *****71000443
*****66971056
*****294857325
*****200220730
*****88922236 *****112960
*****291218
*****779374469
*****835211500
*****91009983 *****37910203

AfterGlow 1.6.2

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 19/24

 Análise das Ligações (cont.)

Ligações com origem US vs CN:

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 20/24

 User Agents utilizados nas tentativas de ligações

undefined 109654 (56.62%)

random 27405 (14.12%)
sipcli 21900 (11.23%)
eyeBeam 16222 (8.26%)
User Agents

VaxSIPUserAgent 16048 (8.26%)

Unknown 966 (0.48%)
Asterisk 747 (0.38%)
Zoiper 322 (0.16%)
X−Lite 202 (0.10%)
Nuvois 66 (0.03%)
Outros 714 (0.36%)

0 20000 40000 60000 80000 100000 120000

Número de Requisições

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 21/24

 Conclusões

• Abusos objetivando ligações internacionais

• Ferramentas personalizadas
– User Agents aparentemente modificados
• Números mais ligados sugerem fraudes
– Bank of America e Citibank
– Cartão pré-pago internacional
• Centrais telefônicas ou proxies
– Mesmo IP e User Agent

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 22/24

 Recomendações

• Proteger o servidor SIP da Internet

• Usar senhas fortes
– terminais VoIP e softphones
– a senha é armazenada nos dispositivos, e pode ser
longa e complexa
• Utilizar extensões com nomes não usuais
• Monitorar o uso do SIP na sua organização
– Logs de acessos
– Conta telefônicas procurando por ligações não
usuais.

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 23/24

 Referências

• Comitê Gestor da Internet no Brasil – CGI.br

http://www.cgi.br/

• CERT.br – Centro de Estudos, Resposta e Tratamento de

Incidentes de Segurança no Brasil
http://www.cert.br/

• Honeypots for Threats and Abuse passive

Reconnaissance and information Gathering
http://www.honeytarg.cert.br/

• Anatomy of SIP Attacks – Dezembro 2012 Usenix ;login:

Magazine
https://www.usenix.org/publications/login/
december-2012-volume-37-number-6/anatomy-sip-attacks

GTS-20, São Paulo, Brasil – 08 de dezembro de 2012 – p. 24/24