Brute-Force via PuTTY: SSH-Server unter Beschuss
Die gewählten Methoden für Brute-Force Angriffe sind vielfältig. Doch eines haben alle gemeinsam: Die meisten werden von Antiviren-Lösungen nicht erkannt. So ist es auch in einem aktuellen Fall in unserem SOC geschehen: Bei einem unserer angeschlossenen Kunden wurden insgesamt 4.325 Angriffsversuche erfasst, ohne von der Antiviren-Software erkannt zu werden. Von diesem Fall möchten wir Ihnen heute berichten:
Es begann damit, dass unser Blue-Team über die Anomalie Machine Learning Erkennung vermehrte Events „SSH (Secure Shell) from the Internet“ feststellten. Eine Analyse im SIEM (Security Information and Event Management) ergab, dass der SSH Server des Kunden durch mehrere Systeme mit unterschiedlichen IP’s unter massiven SSH Login Attacken stand. Nach einer Überprüfung der PCAP-Dateien (Packet Capture) in Wireshark wurde deutlich, dass Angreifer versucht hatten, sich unter Verwendung des Tools “ssh-putty-brute.ps1“ in Verbindung mit „PuTTY“ unerlaubten Zugriff zu den Kundensystemen zu verschaffen. Und zwar indem permanent versucht wurde, unter Verwendung von Passwort-Listen automatisiert eine Verbindung aufzubauen. Dieses Tool kann den bekannten „SSH Client PuTTY“ (putty.exe oder plink.exe) in ein „SSH-Login Brute-Force Tool“ umwandeln, welches von Antiviren-Software und Endpunktschutz-Lösungen unerkannt bleibt.
Die beschriebene Brute-Force-Attacke ist eine Angriffsmethode, die zur Ermittlung von Passwörtern und Entschlüsseln von Daten verwendet wird. Hierbei testet der Angreifer automatisch verschiedene Zeichenketten nach dem Zufallsprinzip aus. Je mehr Kombinationen angewendet werden, desto größer ist die Chance auf Erfolg. In diesem Fall war davon auszugehen, dass der SSH-Server des Kunden nicht lange gegen den Angriffsversuch standhält. Unser Kunde wurde aus diesem Grund unverzüglich informiert. Im Anschluss wurde das Geoblocking in der Firewall des Kunden aktiviert und lediglich einzelnen Niederlassungen Zugang gewährt, die für den laufenden Betrieb notwendig waren. Damit konnte der Brute-Force Angriff rechtzeitig abgewehrt werden.
Unsere Handlungsempfehlungen:
– Die Passwortabfrage, die in SSH standardmäßig aktiviert ist, ist nur eine der vielen Möglichkeiten der Authentifizierung. In PuTTY können Sie das Werkzeug PuTTY Key Generator verwenden, um ein sicheres RSA- oder DSA-Schlüsselpaar zu erzeugen. Klicken Sie hierfür einfach auf die Schaltfläche „Erzeugen“. Wenn Sie einen DSA- oder SSH1-RSA-Schlüssel benötigen, markieren Sie bitte den entsprechenden Typ unten im Dialog.
– Untersagen Sie dem Root-Benutzer, sich über SSH anzumelden.
– Erstellen Sie eine Netzwerkschnittstelle für SSH (z. B. eth1), die sich von der Schnittstelle unterscheidet, von der Sie Anfragen bedienen (z. B. eth0).
– Verwenden Sie keine gängigen Benutzernamen.
– Verwenden Sie eine Berechtigungsmatrix und lassen Sie nur Benutzer zu, die einen SSH-Zugriff benötigen.
– Suchen Sie nach einer Möglichkeit, um eine Verbindung ohne Internetzugriff herstellen zu können. Auf diese Weise können Sie den gesamten Internetverkehr für SSH verhindern (Mit AWS können Sie via Direct Connect eine direkte Verbindung erhalten, die das Internet umgeht).
– Wenn Sie einen Internetzugriff benötigen, beschränken Sie den Zugriff auf einen endlichen Satz von IP‘s. Eine statische IP ist ideal, aber das Sperren auf xx0.0/16 ist besser als 0.0.0.0/0.
– Stellen Sie sicher, dass das Betriebssystem immer auf dem neuesten Stand ist und insbesondere Sicherheits- und SSH-Pakete eingespielt worden sind.
Weitere Informationen unter:
https://www.infosecmatter.com/ssh-brute-force-attack-tool-using-putty-plink-ssh-putty-brute-ps1/