Asteriskをクラックされた (前編)

By mac
前編
被害の実態
解析手法 - awkで統計処理
なぜAsteriskは狙われるのか?
再発防止策
後編
弁護士との相談 – 100万円以下の損害は…
警察への届け出
NTT-Eとの交渉
不正アクセスしたIPと回数
回数
IP Address
28417 50.97.230.2
16922 195.154.243.37
12800 203.235.34.85
7639 124.137.10.221
1681 119.81.69.142
37 85.25.201.241
23 37.8.41.86
11 82.205.11.147
3 62.114.75.238
3 31.223.191.5
2 188.161.13.94
1 37.8.69.80
1 37.8.51.214
組織名
Hadara Technologies
国名
us
fr
kr
kr
cn
de
ps
ps
African Internet Numbers Registry
Mauritius
citynet service
ps
ps
ps
ps
SoftLayer Technologies Inc.
Iliad Entreprises Customers
Korea Network Information Cente
SK Networks co., Ltd
Serverology LLC
intergenia AG
Hadara Gaza BSA
Palestine Telecommunications Company
Hadara Gaza BSA 2nd subnet
Hadara Gaza BSA
37
23
1681
不正アクセス
3
11
3
7639
1
2
1
28417
12800
16922
50.97.230.2
195.154.243.37
203.235.34.85
124.137.10.221
119.81.69.142
85.25.201.241
37.8.41.86
82.205.11.147
62.114.75.238
31.223.191.5
188.161.13.94
37.8.69.80
37.8.51.214
最初に攻撃があった日時
月
日
時刻(GMT)
Port
IP
[Feb
13 18:07:21]
'"18419424"<sip:[email protected]>'
'124.137.10.221'
No
matching
peer
found
[Feb
14 19:30:01]
'"29413987"<sip:[email protected]>'
'195.154.243.37'
No
matching
peer
found
[Feb
14 20:46:46]
'<sip:[email protected]>'
'37.8.41.86'
Wrong
password
[Feb
14 21:17:16]
'79.108.192.54<sip:[email protected]>'
'31.223.191.5'
Wrong
password
[Feb
15 03:56:42]
'<sip:[email protected]>'
'82.205.11.147'
No
matching
peer
found
[Feb
15 21:48:18]
'<sip:[email protected]>'
'37.8.51.214'
No
matching
peer
found
[Feb
16 00:15:28]
'"1961358347"<sip:[email protected]>'
'119.81.69.142'
No
matching
peer
found
[Feb
16 06:36:00]
'<sip:[email protected]>'
'62.114.75.238'
Wrong
password
[Feb
16 08:54:00]
'"1011088972"<sip:[email protected]>'
'50.97.230.2'
No
matching
peer
found
[Feb
16 17:55:44]
'"440530775"<sip:[email protected]>'
'203.235.34.85'
No
matching
peer
found
[Feb
16 22:56:48]
'<sip:[email protected]>'
'188.161.13.94'
No
matching
peer
found
[Feb
17 00:16:41]
'"3406295859"<sip:[email protected]>'
'85.25.201.241'
No
matching
peer
found
[Feb
17 08:15:02]
'<sip:[email protected]>'
'37.8.69.80'
No
matching
peer
found
[Feb
18 22:48:11]
'Hawk.811<sip:[email protected]>'
'31.223.189.40'
No
matching
peer
found
[Feb
18 22:49:33]
'"1022526037"<sip:[email protected]>'
'94.75.229.227'
No
matching
peer
found
[Feb
18 23:31:32]
'"1309162037"<sip:[email protected]>'
'173.224.126.196'
No
matching
peer
found
[Feb
19 06:45:34]
'<sip:[email protected]>'
'37.8.51.149'
No
matching
peer
found
[Feb
19 06:51:10]
'Hawk.811<sip:[email protected]>'
'31.223.186.211'
No
matching
peer
found
[Feb
19 07:01:44]
'Hawk.811<sip:[email protected]>'
'31.223.188.214'
No
matching
peer
found
[Feb
19 20:02:33]
'<sip:[email protected]>'
'31.223.188.175:10040'
Wrong
password
[Feb
20 10:29:34]
'tomcic<sip:[email protected]>'
'31.223.183.78:18377'
Wrong
password
不正に掛けられた国際電話
日付 時刻(GMT)
電話番号
不正に掛けられた番号と回数
秒数
2014/2/14 11:53 0106703302473
20
2014/2/14 11:57 01037744046011
20
2014/2/14 11:59 01037127698000
20
2014/2/14 12:18 01037127698001
303
2014/2/14 12:23 01037127698004
834
回数
電話番号
142 01037127698004
46 01037178519280
2014/2/14 12:37 01037127698004
804
2014/2/14 12:50 01037127698001
963
2014/2/14 13:06 01037127698001
1379
41 01037127912101
25 01037178912974
9 01037127698005
9
6
7
3
1197
2014/2/14 13:50 01037127698001
2272
2014/2/14 14:28 01037127698004
1099
2014/2/14 14:46 01037127698001
1080
2014/2/14 15:04 01037127698004
1008
2014/2/14 15:21 01037127698004
66
2014/2/14 15:24 01037127698004
1087
2014/2/14 15:43 01037127698004
927
5
1
1
1
1 1 1 11 1 1
25
7 01037127912103
2014/2/14 13:30 01037127698004
電話番号と回数
2
142
41
46
6 01037178519281
5 01037127698001
3 01037178519288
776
2014/2/14 16:12 01037127698004
722
2014/2/14 16:24 01037127698004
905
2014/2/14 16:39 01037127698004
758
2014/2/14 16:52 01037127698004
1390
2014/2/14 17:15 01037127698004
2228
2014/2/14 17:52 01037127698004
1545
2014/2/14 18:18 01037127698004
1349
2014/2/14 18:41 01037127698004
1070
2014/2/14 18:59 01037127698004
1307
2014/2/14 19:21 01037127698004
1340
01037178519280
01037127912101
01037178912974
01037127698005
01037127912103
01037178519281
01037127698001
01037178519288
01037178916300
0106703302473
01037744046011
01037190309801
01037178916366
01037178519290
01037178519282
01037162000640
01037127698000
0102437701854
0102431330144
1 0106703302473
1 01037744046011
2014/2/14 15:59 01037127698004
01037127698004
2 01037178916300
1 01037190309801
1 01037178916366
1 01037178519290
1 01037178519282
1 01037162000640
1 01037127698000
1 0102437701854
1 0102431330144
通話料金明細内訳書
【NTT東日本ご利用分】
* ひかり電話(通話料)合計160円
* ひかり電話(海外への通話料)合計407,641円
【NTT東日本ご利用分】
* ひかり電話(通話料)合計56円
* ひかり電話(海外への通話料)合計90,810円
国際電話を抜き出す
cat Master.csv | awk -F, '
$9 ~ /SIP¥/010/ && $15 ~ /ANSWERED/ {
print $11 "," $9 "," $14;
}' | sed 's/"SIP¥/¥([0-9][0-9]*¥)@rt200ne|60|T"/¥1/'
番号別発信回数
cat Master.csv | awk -F, '
$9 ~ /SIP¥/010/ && $15 ~ /ANSWERED/ {
cnt[$6]++;
}
END {
for (i in cnt) {
print cnt[i], i;
}
}' | sort -nr
usernameに3~4桁の数字を使う傾向
内線番号=userである必要はないが、そうしなけれ
ばダメなIP電話機もある
passwordも数字だけ(全く必要性なし)
make samplesで生成されるお手本がダメすぎ
63個の設定ファイルが生成される
接続に必要なのはそのうち2個
後で実例を示します
Patchが本流にmergeされない
いつまでたってもソースからコンパイル (RT200NE)
独自の日付形式 → fail2banを使うにもpatch
Asteriskの設定
アクセス権を徹底して絞る
LAN内で出来るだけIPを固定する(dhcpd)
passwdがあっている通話は「異常」として扱われな
い(LogにIPが記録されない)
Serverにはntpdを立てる
時刻は極めて重要な証拠。秒単位で合わせておく。
ルーターの設定は手を抜かない
DMZの甘い罠 - 絶対設定してはいけない
UPnP – Crackerにオールを渡すな
iptablesで築く城壁
難解だけど頑張る
大学や企業の複雑な構成から学び始めない
シンプルに手堅く
どんなに零細なサイトでもクラッカーは狙っている
サイトの規模には関係ない
ポートスキャンと総当り法プログラムでクラック
必要のないポートは開けない
iptablesでしっかり固める
DMZ, UPnP, DHCPなど「楽な設定」に気をつける
次回は社会的側面での後始末