Execução e Detecção de Ataques com MnSec e Suricata

Força Bruta

Existem várias técnicas de autenticação que podem ser usadas em ataques de força bruta:

• SSH: LOGIN (padrão), PLAIN, CRAM-MD5, DIGEST-MD5, NTLM
• Além disso, a criptografia TLS via STARTTLS pode ser aplicada com a opção TLS. Exemplo: smtp://alvo/TLS:PLAIN; Referência.
• IMAP: CLEAR ou APOP (padrão), LOGIN, PLAIN, CRAM-MD5, CRAM-SHA1, CRAM-SHA256, DIGEST-MD5, NTLM. Também suporta TLS como: imap://alvo/TLS:PLAIN; Referência.
• POP3: CLEAR (padrão), LOGIN, PLAIN, CRAM-MD5, CRAM-SHA1, CRAM-SHA256, DIGEST-MD5, NTLM. Também suporta TLS como: pop3://alvo/TLS:PLAIN; Referência.

No uso documentado do Mininet-sec, a principal técnica de autenticação usada foi LOGIN. O pacote Python Honeypots, que está sendo usado no projeto Mininet-sec, suporta apenas a técnica de autenticação PLAIN e retorna uma mensagem de execução bem-sucedida, o que pode ser problemático, pois um dos objetivos de usar honeypots é enganar o invasor e mantê-lo executando comandos para melhor analisar o processo de ataque. Algumas soluções para esse problema, como modificar o pacote Honeypots, podem ser aplicadas em versões futuras do Mininet-sec.

IMAP

Comando executado no diretório contendo a lista de senhas e logins:

sudo mnsecx o1 hydra -L top-usernames-shortlist.txt -P top-usernames-shortlist.txt imap://192.168.1.103/LOGIN -V -I -F

Regras que geraram alertas:

alert tcp $EXTERNAL_NET any -> $HOME_NET 143 (msg:”ET SCAN Rapid IMAP Connections - Possible Brute Force Attack”; flow:to_server; flags: S,12; threshold: type both, track by_src, count 30, seconds 60; classtype:misc-activity; sid:2002994; rev:7; metadata:created_at 2010_07_30, updated_at 2019_07_26;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 143 (msg: “Possible IMAP Brute Force attack”; flags:S; flow: to_server; threshold: type limit, track by_src, count 20, seconds 40; tcp.mss:1460; dsize:0; window:42340; classtype: credential-theft; sid: 100000137; rev:1;) (self-authored)

SSH

Comando executado no diretório contendo a lista de senhas e logins:

sudo mnsecx o1 hydra -L top-usernames-shortlist.txt -P top-usernames-shortlist.txt ssh://192.168.1.103/LOGIN -V -I -F

Regra que gerou alertas:

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:”ET SCAN Potential SSH Scan”; flow:to_server; flags:S,12; threshold: type both, track by_src, count 5, seconds 120; reference:url,en.wikipedia.org/wiki/Brute_force_attack; classtype:attempted-recon; sid:2001219; rev:20; metadata:created_at 2010_07_30, updated_at 2019_07_26;)

POP3

Comando executado no diretório contendo a lista de senhas e logins:

sudo mnsecx o1 hydra -L top-usernames-shortlist.txt -P top-usernames-shortlist.txt pop3://192.168.1.103/LOGIN -V -I -F

Regra que gerou alertas:

alert tcp $EXTERNAL_NET any -> $HOME_NET 110 (msg: “Possible POP3 Brute Force attack”; flags:S; flow: to_server; threshold: type threshold, track by_src, count 5, seconds 20; classtype: credential-theft; sid: 100000138; rev:1;) (self-authored)

TCP, UDP e ICMP Flood

--rand-source é um parâmetro de ataque do Hping3 que promove o uso de múltiplos endereços IP para executar floods. Nesse sentido, todos os ataques de flood ICMP, UDP e TCP acionaram regras ET DROP. Essas regras são baseadas na detecção de atividades relacionadas a endereços IP conhecidos por sua associação com ataques de flood.

Conclusão

No geral, o Suricata teve um bom desempenho na detecção dos ataques promovidos, e também foi possível criar novas regras para casos em que a detecção não estava acontecendo. Regras personalizadas também se mostraram eficazes.