Hack Alerta

Honeypots SSH falham em detectar ataques pós-login focados em shells interativos

Pesquisa revela que honeypots SSH falham em detectar ataques pós-login não interativos. 99% das sessões são automatizadas, exigindo atualização nas estratégias de defesa.

Descoberta e escopo da pesquisa

Uma nova pesquisa conduzida pela Universidade Técnica da República Tcheca revela que honeypots SSH amplamente utilizados na defesa cibernética podem falhar em detectar a maioria das atividades de ataque pós-login. O estudo, intitulado "Ghost Without Shell: Measuring Non-Interactive SSH Attacks on Honeypots", desafia suposições de longa data sobre a tecnologia de decepção.

A descoberta central é que a maioria dos atacantes não interage com sistemas SSH através de sessões de shell interativas tradicionais. Em vez disso, eles dependem de comandos automatizados e não interativos que são executados instantaneamente e desconectam, deixando muitos honeypots cegos para comportamentos críticos de ataque.

Evidências e limites dos honeypots

Os pesquisadores implantaram onze honeypots SSH de alta interação em infraestrutura de nuvem por 15 dias, capturando 177.622 sessões autenticadas. Os resultados foram impressionantes: 99,23% das sessões foram não interativas, enquanto apenas 0,10% envolveram acesso a shell interativo. Tentativas de transferência de arquivos representaram apenas 0,67%.

Esses resultados foram validados independentemente usando um grande conjunto de dados da rede honeypot CZ.NIC Cowrie, confirmando o mesmo padrão em escala. Isso indica que a métrica de tempo de conexão ou profundidade de interação não reflete mais as ameaças reais.

Impacto e alcance

A implicação para a pesquisa de segurança cibernética e defesa é significativa. Honeypots que focam exclusivamente em sessões de shell interativas podem capturar apenas uma fração do comportamento real do atacante, levando a insights distorcidos e estratégias de detecção ineficazes.

Além disso, avaliar o desempenho do honeypot com base na duração do engajamento pode não refletir as ameaças reais. A maioria dos comandos observados são automatizados e projetados para reconhecimento ou verificação, não para interação prolongada.

Medidas de mitigação recomendadas

De acordo com a Universidade Técnica da República Tcheca, honeypots SSH devem suportar a execução de comandos não interativos e fornecer respostas de comando precisas. O sucesso deve ser medido pelo comportamento do sistema como um host real sob sondagem automatizada, em vez de quão convincentemente ele simula interação humana.

As equipes de SOC devem revisar suas estratégias de decepção para se alinharem com os padrões atuais de ataque. Sem adaptar-se às técnicas não interativas, muitos honeypots correm o risco de se tornar obsoletos, capturando apenas uma visão estreita e desatualizada da paisagem de ameaças.

Análise técnica detalhada

Os pesquisadores identificaram mais de 9.000 strings de comando únicas. No entanto, um pequeno subconjunto representou uma grande parte da atividade, indicando campanhas automatizadas coordenadas. Comandos comuns observados incluem consultas de perfil de sistema como uname, whoami, uptime e nproc.

Mais notavelmente, o estudo destaca comandos de sonda de verificação projetados para determinar se um alvo é um sistema real ou um honeypot. Por exemplo, atacantes usaram decodificação base64 ou operações aritméticas como echo $((7*6)) para verificar se o sistema retorna resultados precisos.

Perguntas frequentes

  • Por que os honeypots falham em detectar esses ataques? Porque eles são projetados para capturar interações humanas, enquanto os atacantes usam scripts automatizados que executam comandos rápidos e desconectam.
  • Isso afeta a segurança da minha rede? Sim, se você depende de honeypots para detecção de ameaças, pode estar perdendo atividades de ataque críticas que não geram interação de shell.
  • Como atualizar a estratégia de defesa? Implemente honeypots que suportem execução não interativa e foque em métricas de comportamento de host real, não em tempo de sessão.

Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.