SIP honeypot
Specializovaný honeypot simulující VoIP zařízení připojené na internet a podporující SIP protokol. Slouží k poznávání SIP útoků (zdrojových IP adres, vlastností SIP signálů, scénářů napadení, ...). Umožňuje sestavovat black list útočících IP adres, vzory podvržených SIP signálů nebo seznamy cílů podvodných hovorů. Slouží ke studiu postupů, které používají VoIP hackeři. Skupina programů SIP honeypot pak může tvořit SIP honeynet. Informace získané sítí honeypotů mohou být dále zpracovány v navazujícím SW[1][2][3][4] a veřejně publikovány na webu nebo využívané v SIP antifraudu.
SIP honeypot bývá k dispozici jako software, např.: VoIP Honey, Artemisa, Dionaea, Frafos Archivováno 20. 7. 2020 na Wayback Machine a HoneySIP.
Pasivní SIP honeypot
Pouze přijímá a eviduje SIP signály. Nereaguje na SIP žádosti, neodpovídá OK ani žádným odmítnutím. Útočník se tak může pouze dohadovat, že na UDP portu jeho podvodné SIP žádosti přijímá VoIP služba. Pozná pouze, že je UDP port aktivní, protože nedostane žádnou ICMP odpověď typu Destination Port Unreachable. I tento jednoduchý režim umožňuje zjistit IP adresy útočníků, napadané UDP porty, vlastnosti úvodních SIP signálů atd.
Dále uvedené zkušenosti pocházejí z ročního experimentování s programem HoneySIP V1.12. Postupně byl umístěn na 3 skupinách čtyř IP adres (v pražském a brněnském telehausu) a provozován vždy po několika měsíců. Na přijímané SIP žádosti reagoval jen velmi omezeně. Celkem byl instalován na desítkách kombinací IP adresy a UDP portů.
Zahájení SIP útoku
SIP honeypot fungující na veřejné IP adrese a standardním UDP portu 5060 detekuje první podvodnou SIP žádost do několika minut. Je-li VoIP provozován na okolních UDP portech, pak je první neoprávněný SIP signál přijat v řádu hodin až dnů. Průzkumné SIP žádosti jsou pozorovány i na vzdálenějších UDP portech (např. 5100 až 6000). SIP útoky přicházejí na sudé i liché UDP porty. Výsledky jednorázového experimentu ukazující začátky útoků (časy od zprovoznění SIP honeypotu do příjmu 1. podvodné SIP žádosti):
| UDP port | začátek útoku | SIP žádost | display-name | User-Agent | IP zdroje | UDP zdroje | Abuse | SIP žádostí za 120 dnů |
|---|---|---|---|---|---|---|---|---|
| 5010 | 2 dny | OPTIONS | sipvicious | friendly-scanner | 185.53.88.10 | 5127 | cloudstar.is | 4 |
| 5020 | 2 dny | OPTIONS | sipvicious | friendly-scanner | 185.53.88.10 | 5114 | cloudstar.is | 3 |
| 5030 | 85 dnů | OPTIONS | sipvicious | friendly-scanner | 63.143.52.86 | 6314 | limestonenetworks.com | 2 |
| 5040 | 6 dnů | OPTIONS | sipvicious | friendly-scanner | 147.135.9.201 | 6786 | ovh.us | 4 |
| 5045 | 85 dnů | OPTIONS | sipvicious | friendly-scanner | 63.143.52.86 | 6314 | limestonenetworks.com | 1 |
| 5050 | 15 hod | OPTIONS | sipvicious | friendly-scanner | 185.53.88.26 | 55522 | cloudstar.is | 15 |
| 5055 | 79 dnů | OPTIONS | sipvicious | friendly-scanner | 77.247.109.151 | 5226 | cloudstar.is | 3 |
| 5060 | 13 min | OPTIONS | sipvicious | friendly-scanner | 185.53.91.41 | 5091 | cloudstar.is | > 10.000 |
| 5065 | 12 hod | OPTIONS | sipvicious | friendly-scanner | 185.53.88.61 | 5060 | cloudstar.is | 50 |
| 5070 | 1 hod | OPTIONS | sipvicious | friendly-scanner | 94.177.241.170 | 5364 | aruba.it | 184 |
| 5075 | 2 dny | OPTIONS | sipvicious | friendly-scanner | 51.158.24.18 | 5530 | online.net | 28 |
| 5080 | 7 hod | OPTIONS | sipvicious | friendly-scanner | 207.180.241.90 | 5190 | ripe.net | 129 |
| 5090 | 21 hod | OPTIONS | sipvicious | friendly-scanner | 195.154.181.182 | 6239 | online.net | 73 |
| 5100 | 30 dnů | OPTIONS | sipvicious | friendly-scanner | 80.82.70.189 | 5591 | ipvolume.net | 5 |
Dominují SIP žádosti OPTIONS, jen zcela výjimečně byly detekovány SIP žádosti REGISTER, INVITE nebo CANCEL. Příklad neoprávněné SIP žádosti OPTIONS přijaté na adrese 195.47.235.3:5080:
OPTIONS sip:[email protected]:5080 SIP/2.0 Via: SIP/2.0/UDP 127.0.0.1:5127;branch=z9hG4bK-1853953302;rport Content-Length: 0 From: "sipvicious"<sip:[email protected]>;tag=7531596266393665313339320133373 Accept: application/sdp User-Agent: friendly-scanner To: "sipvicious"<sip:[email protected]> Contact: sip:[email protected]:5127 CSeq: 1 OPTIONS Call-ID: 1131234710387705485967315468 Max-Forwards: 70
Útočící IP adresy
Podvodné SIP žádosti přicházejí z IP adres evidovaných ve všech 5 registrech. Ze 3 čtvrtin ale převažují evropské IP adresy (73 %). Ojediněle byla přijata SIP žádost i z české IP adresy. SIP honeypot za 90 dnů na UDP portu 5060 zjistil tuto strukturu útočících IP adres:
| registr | SIP žádostí | IP adres | země |
|---|---|---|---|
| RIPE | 12906 | 302 | DE, DK, EE, FR, GB, IS, IT, KZ, LT, NL, PL, PS, PT, RU, SC, TR, US, |
| ARIN | 4415 | 70 | AU, CA, NL, US |
| AFRINIC | 319 | 17 | US, ZA |
| APNIC | 138 | 26 | AU, CN, ID, KR, VN |
| LACNIC | 2 | 1 | CO |
Na UDP portu 5060 bývají do 3 dnů přijaty SIP žádosti z více než 50 různých IP adres. Po 30 dnech překročil počet 200 a po 90 dnech jich bylo přes 400. Pasivní SIP honeypot provozovaný 90 dnů na UDP portu 5060, který žádosti OPTIONS potvrzoval OK (na ostatní SIP žádosti neodpovídal) identifikoval jako nejčastěji útočící IP adresy:
| útočící IP adresa | SIP žádostí | podíl | registr | země | Abuse |
|---|---|---|---|---|---|
| 85.114.107.238 | 1634 | 9 % | RIPE | Palestine | fusion.ps |
| 216.244.84.218 | 1369 | 8 % | ARIN | USA | wowrack.com |
| 74.121.190.250 | 1290 | 7 % | ARIN | USA | wowrack.com |
| 185.107.83.44 | 1248 | 7 % | RIPE | Netherlands | nforce.com |
| 37.49.231.142 | 1010 | 6 % | RIPE | Netherlands | cloudstar.is |
| 37.49.231.142 | 690 | 4 % | RIPE | Netherlands | cloudstar.is |
| 46.166.151.80 | 609 | 3 % | RIPE | Netherlands | nforce.com |
| 216.244.83.90 | 542 | 3 % | ARIN | USA | wowrack.com |
| 62.210.88.58 | 511 | 3 % | RIPE | France | online.net |
| 185.40.4.48 | 468 | 3 % | RIPE | Russian | ntx.ru |
| 216.244.81.234 | 352 | 2 % | ARIN | USA | wowrack.com |
| 185.53.91.57 | 324 | 2 % | RIPE | Iceland | cloudstar.is |
| další | 7733 | 43 % | * | * | * |
Zjištěné IP adresy logicky nepatří útočníkům ale poskytovatelům služeb Cloud, VPN apod.
Podvrhované SIP signály
Zcela pasivní SIP honeypot po 10 dnech zaregistroval na UDP portu 5060 tyto druhy SIP žádostí:
| SIP žádost | počet | User-Agent |
|---|---|---|
| OPTIONS | 1034 | friendly-scanner, PBX, eyeBeam, Asterisk-PBX, AVM FRITZ_Box, Vicidal, PolycomSound, ... |
| REGISTER | 33 | friendly-scanner, PBX, Cisco-SIPGateway, SmartSwitch, Awaya, ... |
| INVITE | 39 | friendly-scanner, PBX, StarTrinity, ... |
| jiné UDP pakety | 2 | |
Příklad neoprávněné SIP žádosti REGISTER přijaté na adrese 195.47.235.3:5060:
REGISTER sip:195.47.235.3 SIP/2.0 Via: SIP/2.0/UDP 37.49.231.171:17586;branch=z9hG4bK-339953588;rport Content-Length: 0 From: "AmooT"<sip:[email protected]>;tag=64393062663936653133633401343536303531383539 Accept: application/sdp User-Agent: PBX To: "AmooT"<sip:[email protected]> Contact: None CSeq: 1 REGISTER Call-ID: 318021611912846176272765 Max-Forwards: 70
Příklad neoprávněné SIP žádosti INVITE přijaté na adrese 195.47.235.3:5060:
INVITE sip:[email protected] SIP/2.0 Via: SIP/2.0/UDP 62.210.88.58:59117;branch=z9hG4bK1357933556 Max-Forwards: 70 From: <sip:[email protected]>;tag=2132184247 To: <sip:[email protected]> Call-ID: 504040875-1500941435-1890018837 CSeq: 1 INVITE Contact: <sip:[email protected]:59117> Content-Type: application/sdp Content-Length: 207 Allow: ACK, BYE, CANCEL, INFO, INVITE, MESSAGE, NOTIFY, OPTIONS, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE, PUBLISH v=0 o=100 16264 18299 IN IP4 192.168.1.83 s=call c=IN IP4 192.168.1.83 t=0 0 m=audio 25282 RTP/AVP 0 101 a=rtpmap:0 pcmu/8000 a=rtpmap:8 pcma/8000 a=rtpmap:101 telephone-event/8000 a=fmtp:101 0-11
Aktivní SIP honeypot
Simuluje chování reálného VoIP zařízení. Definovaným způsobem reaguje na SIP žádosti OPTIONS, REGISTER nebo INVITE. Případně určeným postupem simuluje obsluhu SIP volání či dokonce kontrolovaně realizuje skutečné podvodné hovory. Útočník se pak domnívá, že na UDP portu funguje VoIP zařízení a pokouší se zjistit čísla obsluhovaná ústřednou, heslo SIP registrace, prefix pro zahraniční hovory a dostupnost cílů podvodných hovorů.
Obsluha OPTIONS
Reakce honeypotu na podvodné SIP žádosti (potvrzení 200 OK nebo SIP odmítnutí) jsou pro útočníka informací, že na daném portu skutečně funguje VoIP zařízení podporující protokol SIP. To má význam zejména na nestandardních UDP portech (jiných než 5060). Útočník někdy může z obsahu a struktury SIP odpovědi rozpoznat i otisk napadeného SIP zařízení. Aktivní SIP honeypot proto může napodobovat odpověď konkrétního zařízení (např. Asterisku). Z hlediska SIP honeypotu je možné ze žádostí OPTIONS zjišťovat charakteristické znaky (fingerprints) podvodných SIP žádostí. Např.:
- IP adresy zdrojů SIP žádostí
- typické skladby a pořadí položek SIP žádostí
- typické délky i obsah položky Call-ID
- typické délky i obsah parametrů tag a branch
- typické obsahy položek User-Agent (friendly-scanner, ...)
- typické display-name v adresních položkách (sipvicious, ...)
- typická tel. čísla v adresních položkách (100, ...)
- typické IP v adresních položkách (1.1.1.1, ...)
- ... apod.
Charakteristické znaky (fingerprints) získané provozem sítě SIP honeypotů později slouží jako parametry kontroly prováděné SBC systémem.
Obsluha REGISTER
Útočník se pomocí podvodných žádostí REGISTER může snažit zjistit:
- existenci VoIP zařízení podporujícího protokol SIP (stejně jako pomocí OPTIONS),
- existenci telefonního čísla obsluhovaného napadenou SIP ústřednou,
- existenci telefonního čísla trestuhodně nezabezpečeného SIP heslem nebo
- jednoduché SIP heslo sloužící k registraci SIP telefonu k SIP ústředně.
Aktivní SIP honeypot může zmapovat škálu telefonních čísel, která se útočníci pokoušejí napadnout (vracením SIP odpovědi 404 Not Found). Navíc může na žádost REGISTER reagovat potvrzením 200 OK a vyvolat dojem tel. čísla nezabezpečeného pomocí SIP hesla. Podobně může potvrzením některého triviálního SIP hesla (123, ...), které útočník jistě vyzkouší, vyvolat dojem prolomení SIP registrace. Stejně jako u podvržených žádostí OPTIONS lze i ze žádostí REGISTER zjišťovat a následně využívat charakteristické znaky (fingerprints) typické pro podvodné SIP žádosti.
Na místě registrovaného tel. čísla se vyskytují řetězce číslic i různá jména nebo řetězce znaků. Příklady telefonních čísel zjištěných z podvodných SIP žádostí:
0 až 9, 00 až 99, 000 až 999, 0000 až 9999, ... atd., test, Test, test1, admin, admin1, Admin, abc, abc100, abc123, abc1001, abcd, user, user1, User, Bavaria, Bloger, biology, cracking, demo, demo1, highway, joker, Malta, St.Lucia, secret, ...
Obsluha INVITE
Pomocí žádosti INVITE může útočník zjistit totéž jako ze žádostí OPTIONS (existenci obsluhy SIP protokolu) nebo REGISTER (existenci tel. čísla a způsob jeho zabezpečení). Navíc může útočník pomocí podvodných žádostí INVITE:
- zjistit prefix potřebný pro zahraniční hovory,
- zjistit dostupnost cílů podvodných hovorů a
- realizovat drahé hovory na podvodné cíle.
Aktivní SIP honeypot může zjistit škálu útočníkem testovaných prefixů a seznam cílů podvodných hovorů. Ze žádostí INVITE může (stejně jako ze žádostí OPTIONS a REGISTER) zjišťovat a následně využívat znaky (fingerprints) typické pro podvodné SIP žádosti (včetně typické skladby a obsahu atributů v SDP části signálu INVITE).
Prefix před číslem volaného se může skládat až ze 3 částí: ochranného PIN nebo čísla zakázky (cokoli) a prefixu pro přechod do veřejné sítě (typicky 0) a prefixu zahraničního hovoru (typicky 00). Příklad různých prefixů volby zjištěných z podvodných SIP žádostí:
00, 000, 900, 800, 700, 8, 88, 88 až 8888888888, 7, 77, 7777 až 7777777777, 9, 99, 999 až 9999999999, 00000 až 0000000000, *0, *00, *000, *0000, *00000, *0*0, *9011, 7*00, 7*000, *9011*, *9011**, 00*00, 000*000, +, +00, +000, ++00, +++00, +0+, +00+, 00+00, .9011, ..9011, ...9011, 00.00, #, #0, #00, #000, #9, #99, ~0, ~00,~000, $0, $0, $9, 00/00, 00-00, x00, */0, */*, *9011/, ./*9011, *9011//, *9011///, *9011////, #+0, ..., etc.
Příklady tel. čísel podvodných hovorů z experimentu v roce 2011:
Albánie: 0035551181063 Ázerbájdžán: 00994400160002 Bělorusko: 00375333445909, 00375602606857, 00375602606858 Barma: 009595640970, 0095525806531 Bulharsko: 00359878323345, 00359999753237, 00359999726452 Burkina Faso: 0022650770036 Burundi: 0025774855444 Dominikánsko: 0017675033801 Džibutsko: 00253891340 Ellipso (satelitní síť): 00881935211586, 0088213090309, 008823460773 Eritrea: 002913091852 Estonsko: 0037281020072, 0037270077045 Falklandy: 0050057069, 0050090839 Grenada: 0014735077004 Gruzie: 0099572001324, 0099572001306, 0099572001306 Guinea: 0022455200903 Honduras: 0050487370618 Chile: 0056421972315 Irák: 009648210000650 Jamajka: 0018766971080 Keňa: 00254204795035 Kiribati: 0068670516 Kongo: 002431231572 Komory: 002698100209 Kuba: 005359603058, 00535959868 Liberie: 0023190000173 Lichtenštejnsko: 004238701465 Litva: 0037091009419, 0037090310081, 0037052194142 Lotyšsko: 0037181031368, 0037181000461, 0037165779364, 0037127690331, 0037127910458, 0037127910508, 0037127971460, 0037127971461 Madagaskar: 00261200220473 Moldávie: 0037390002180 Niger: 00227170022 Norfolkské ostrovy: 00672372610 Polsko: 0048720914262 Rakousko: 0043810959478, 0043820894110, 0043810104319, 0043820894354 Rumunsko: 0040720331935, 0040903000009 Rusko: 0077851001207 San Marino: 0037866311080, 0037877311444 Severní Korea: 0085099929734 Sierra Leone: 0023222288829, 0023224001218 Slovinsko: 0038643281745, 003864976175 Somálsko: 0025270601063, 002522168319, 0025230221425, 002525237312283, 0025240900306 Středoafrická republika: 0023621750032 Šalomounovy ostrovy: 006777495988 Španělsko: 0034601001394 Tákžikistán: 00992372300032 Togo: 002287270050 Tunisko: 0021670760110 Ukrajina: 00380623431670 Vanuatu: 006787780096 Zimbabwe: 00263732210353, 002639530302, 00263912792694
Typické znaky podvodů
Dalším zpracováním údajů ze SIP honeypotů lze získat znalosti o typických znacích podvodných SIP žádostí (fingerprints). Např. typická skladba i pořadí položek SIP signálů, typická délka i obsah položek SIP signálů, ... apod. Některá údaje jsou jednoznačným znakem VoIP podvodu (např. sip-uri obsahující 1.1.1.1, User-Agent: friendly-scanner, display-name sipvicious). Jiné údaje mohou být jen příznakem možného VoIP podvodu (např. přítomnost nepovinných položek nebo pořadí položek v SIP žádosti INVITE nebo délka či struktura položky Call-ID či parametrů branch a tag nebo řetězec Unknown v rámci SIP-URI položky From).
Znalost fingerprints podvodných SIP žádostí je dobře využitelná v SIP antifraudu. Např. jako black-list nepřípustných IP adres v sip-uri uvnitř SIP žádostí, jako black-list nepřípustného obsahu položek User-Agent i Server, jako black-list nepřípustných hodnot display-name, ... apod.
Reference
- ŠAFAŘÍK, Jakub. Distribuovaný systém klasifikace útoků pro VoIP infrastrukturu využívající protokol SIP. liptel.vsb.cz [online]. 2016. Dostupné online.
- HERYCH, Jan. Vysokointeraktivní VoIP Honeypot. dspace.cvut.cz [online]. 2014. Dostupné online.
- BAJÁKOVÁ, Zuzana. Nasazení IP telefonních Honeypotů v reálné infrastruktuře. dspace.vsb.cz [online]. 2016. Dostupné online.
- FIŠER, Ivo. VoIP podvody - hovory do zahraničí. indico.csnog.eu [online]. Dostupné online.