SIP honeypot

Specializovaný honeypot simulující VoIP zařízení připojené na internet a podporující SIP protokol. Slouží k poznávání SIP útoků (zdrojových IP adres, vlastností SIP signálů, scénářů napadení, ...). Umožňuje sestavovat black list útočících IP adres, vzory podvržených SIP signálů nebo seznamy cílů podvodných hovorů. Slouží ke studiu postupů, které používají VoIP hackeři. Skupina programů SIP honeypot pak může tvořit SIP honeynet. Informace získané sítí honeypotů mohou být dále zpracovány v navazujícím SW[1][2][3][4] a veřejně publikovány na webu nebo využívané v SIP antifraudu.

SIP honeypot bývá k dispozici jako software, např.: VoIP Honey, Artemisa Archivováno 25. 1. 2019 na Wayback Machine., Dionaea, Frafos Archivováno 20. 7. 2020 na Wayback Machine. a HoneySIP.

Pasivní SIP honeypot

Pouze přijímá a eviduje SIP signály. Nereaguje na SIP žádosti, neodpovídá OK ani žádným odmítnutím. Útočník se tak může pouze dohadovat, že na UDP portu jeho podvodné SIP žádosti přijímá VoIP služba. Pozná pouze, že je UDP port aktivní, protože nedostane žádnou ICMP odpověď typu Destination Port Unreachable. I tento jednoduchý režim umožňuje zjistit IP adresy útočníků, napadané UDP porty, vlastnosti úvodních SIP signálů atd.

Dále uvedené zkušenosti pocházejí z ročního experimentování s programem HoneySIP V1.12. Postupně byl umístěn na 3 skupinách čtyř IP adres (v pražském a brněnském telehausu) a provozován vždy po několika měsíců. Na přijímané SIP žádosti reagoval jen velmi omezeně. Celkem byl instalován na desítkách kombinací IP adresy a UDP portů.

Zahájení SIP útoku

SIP honeypot fungující na veřejné IP adrese a standardním UDP portu 5060 detekuje první podvodnou SIP žádost do několika minut. Je-li VoIP provozován na okolních UDP portech, pak je první neoprávněný SIP signál přijat v řádu hodin až dnů. Průzkumné SIP žádosti jsou pozorovány i na vzdálenějších UDP portech (např. 5100 až 6000). SIP útoky přicházejí na sudé i liché UDP porty. Výsledky jednorázového experimentu ukazující začátky útoků (časy od zprovoznění SIP honeypotu do příjmu 1. podvodné SIP žádosti):

UDP portzačátek útokuSIP žádostdisplay-nameUser-AgentIP zdrojeUDP zdrojeAbuseSIP žádostí za 120 dnů
50102 dnyOPTIONSsipviciousfriendly-scanner185.53.88.105127cloudstar.is4
50202 dnyOPTIONSsipviciousfriendly-scanner185.53.88.105114cloudstar.is3
503085 dnůOPTIONSsipviciousfriendly-scanner63.143.52.866314limestonenetworks.com2
50406 dnůOPTIONSsipviciousfriendly-scanner147.135.9.2016786ovh.us4
504585 dnůOPTIONSsipviciousfriendly-scanner63.143.52.866314limestonenetworks.com1
505015 hodOPTIONSsipviciousfriendly-scanner185.53.88.2655522cloudstar.is15
505579 dnůOPTIONSsipviciousfriendly-scanner77.247.109.1515226cloudstar.is3
506013 minOPTIONSsipviciousfriendly-scanner185.53.91.415091cloudstar.is> 10.000
506512 hodOPTIONSsipviciousfriendly-scanner185.53.88.615060cloudstar.is50
50701 hodOPTIONSsipviciousfriendly-scanner94.177.241.1705364aruba.it184
50752 dnyOPTIONSsipviciousfriendly-scanner51.158.24.185530online.net28
50807 hodOPTIONSsipviciousfriendly-scanner207.180.241.905190ripe.net129
509021 hodOPTIONSsipviciousfriendly-scanner195.154.181.1826239online.net73
510030 dnůOPTIONSsipviciousfriendly-scanner80.82.70.1895591ipvolume.net5

Dominují SIP žádosti OPTIONS, jen zcela výjimečně byly detekovány SIP žádosti REGISTER, INVITE nebo CANCEL. Příklad neoprávněné SIP žádosti OPTIONS přijaté na adrese 195.47.235.3:5080:

OPTIONS sip:100@195.47.235.3:5080 SIP/2.0
Via: SIP/2.0/UDP 127.0.0.1:5127;branch=z9hG4bK-1853953302;rport
Content-Length: 0
From: "sipvicious"<sip:100@1.1.1.1>;tag=7531596266393665313339320133373
Accept: application/sdp
User-Agent: friendly-scanner
To: "sipvicious"<sip:100@1.1.1.1>
Contact: sip:100@127.0.0.1:5127
CSeq: 1 OPTIONS
Call-ID: 1131234710387705485967315468
Max-Forwards: 70

Útočící IP adresy

Podvodné SIP žádosti přicházejí z IP adres evidovaných ve všech 5 registrech. Ze 3 čtvrtin ale převažují evropské IP adresy (73 %). Ojediněle byla přijata SIP žádost i z české IP adresy. SIP honeypot za 90 dnů na UDP portu 5060 zjistil tuto strukturu útočících IP adres:

registrSIP žádostíIP adreszemě
RIPE12906302DE, DK, EE, FR, GB, IS, IT, KZ, LT, NL, PL, PS, PT, RU, SC, TR, US,
ARIN441570AU, CA, NL, US
AFRINIC31917US, ZA
APNIC13826AU, CN, ID, KR, VN
LACNIC21CO

Na UDP portu 5060 bývají do 3 dnů přijaty SIP žádosti z více než 50 různých IP adres. Po 30 dnech překročil počet 200 a po 90 dnech jich bylo přes 400. Pasivní SIP honeypot provozovaný 90 dnů na UDP portu 5060, který žádosti OPTIONS potvrzoval OK (na ostatní SIP žádosti neodpovídal) identifikoval jako nejčastěji útočící IP adresy:

útočící IP adresaSIP žádostípodílregistrzeměAbuse
85.114.107.23816349 %RIPEPalestinefusion.ps
216.244.84.21813698 %ARINUSAwowrack.com
74.121.190.25012907 %ARINUSAwowrack.com
185.107.83.4412487 %RIPENetherlandsnforce.com
37.49.231.14210106 %RIPENetherlandscloudstar.is
37.49.231.1426904 %RIPENetherlandscloudstar.is
46.166.151.806093 %RIPENetherlandsnforce.com
216.244.83.905423 %ARINUSAwowrack.com
62.210.88.585113 %RIPEFranceonline.net
185.40.4.484683 %RIPERussianntx.ru
216.244.81.2343522 %ARINUSAwowrack.com
185.53.91.573242 %RIPEIcelandcloudstar.is
další773343 %***

Zjištěné IP adresy logicky nepatří útočníkům ale poskytovatelům služeb Cloud, VPN apod.

Podvrhované SIP signály

Zcela pasivní SIP honeypot po 10 dnech zaregistroval na UDP portu 5060 tyto druhy SIP žádostí:

SIP žádostpočetUser-Agent
OPTIONS1034friendly-scanner, PBX, eyeBeam, Asterisk-PBX, AVM FRITZ_Box, Vicidal, PolycomSound, ...
REGISTER33friendly-scanner, PBX, Cisco-SIPGateway, SmartSwitch, Awaya, ...
INVITE39friendly-scanner, PBX, StarTrinity, ...
jiné UDP pakety2

Příklad neoprávněné SIP žádosti REGISTER přijaté na adrese 195.47.235.3:5060:

REGISTER sip:195.47.235.3 SIP/2.0
Via: SIP/2.0/UDP 37.49.231.171:17586;branch=z9hG4bK-339953588;rport
Content-Length: 0
From: "AmooT"<sip:100@1.1.1.1>;tag=64393062663936653133633401343536303531383539
Accept: application/sdp
User-Agent: PBX
To: "AmooT"<sip:100@1.1.1.1>
Contact: None
CSeq: 1 REGISTER
Call-ID: 318021611912846176272765
Max-Forwards: 70

Příklad neoprávněné SIP žádosti INVITE přijaté na adrese 195.47.235.3:5060:

INVITE sip:0012673612980@195.47.235.3 SIP/2.0
Via: SIP/2.0/UDP 62.210.88.58:59117;branch=z9hG4bK1357933556
Max-Forwards: 70
From: <sip:100@195.47.235.3>;tag=2132184247
To: <sip:0012673612980@217.11.249.110>
Call-ID: 504040875-1500941435-1890018837
CSeq: 1 INVITE
Contact: <sip:100@62.210.88.58:59117>
Content-Type: application/sdp
Content-Length: 207
Allow: ACK, BYE, CANCEL, INFO, INVITE, MESSAGE, NOTIFY, OPTIONS, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE, PUBLISH

v=0
o=100 16264 18299 IN IP4 192.168.1.83
s=call
c=IN IP4 192.168.1.83
t=0 0
m=audio 25282 RTP/AVP 0 101
a=rtpmap:0 pcmu/8000
a=rtpmap:8 pcma/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-11

Aktivní SIP honeypot

Simuluje chování reálného VoIP zařízení. Definovaným způsobem reaguje na SIP žádosti OPTIONS, REGISTER nebo INVITE. Případně určeným postupem simuluje obsluhu SIP volání či dokonce kontrolovaně realizuje skutečné podvodné hovory. Útočník se pak domnívá, že na UDP portu funguje VoIP zařízení a pokouší se zjistit čísla obsluhovaná ústřednou, heslo SIP registrace, prefix pro zahraniční hovory a dostupnost cílů podvodných hovorů.

Obsluha OPTIONS

Reakce honeypotu na podvodné SIP žádosti (potvrzení 200 OK nebo SIP odmítnutí) jsou pro útočníka informací, že na daném portu skutečně funguje VoIP zařízení podporující protokol SIP. To má význam zejména na nestandardních UDP portech (jiných než 5060). Útočník někdy může z obsahu a struktury SIP odpovědi rozpoznat i otisk napadeného SIP zařízení. Aktivní SIP honeypot proto může napodobovat odpověď konkrétního zařízení (např. Asterisku). Z hlediska SIP honeypotu je možné ze žádostí OPTIONS zjišťovat charakteristické znaky (fingerprints) podvodných SIP žádostí. Např.:

  • IP adresy zdrojů SIP žádostí
  • typické skladby a pořadí položek SIP žádostí
  • typické délky i obsah položky Call-ID
  • typické délky i obsah parametrů tag a branch
  • typické obsahy položek User-Agent (friendly-scanner, ...)
  • typické display-name v adresních položkách (sipvicious, ...)
  • typická tel. čísla v adresních položkách (100, ...)
  • typické IP v adresních položkách (1.1.1.1, ...)
  • ... apod.

Charakteristické znaky (fingerprints) získané provozem sítě SIP honeypotů později slouží jako parametry kontroly prováděné SBC systémem.

Obsluha REGISTER

Útočník se pomocí podvodných žádostí REGISTER může snažit zjistit:

  • existenci VoIP zařízení podporujícího protokol SIP (stejně jako pomocí OPTIONS),
  • existenci telefonního čísla obsluhovaného napadenou SIP ústřednou,
  • existenci telefonního čísla trestuhodně nezabezpečeného SIP heslem nebo
  • jednoduché SIP heslo sloužící k registraci SIP telefonu k SIP ústředně.

Aktivní SIP honeypot může zmapovat škálu telefonních čísel, která se útočníci pokoušejí napadnout (vracením SIP odpovědi 404 Not Found). Navíc může na žádost REGISTER reagovat potvrzením 200 OK a vyvolat dojem tel. čísla nezabezpečeného pomocí SIP hesla. Podobně může potvrzením některého triviálního SIP hesla (123, ...), které útočník jistě vyzkouší, vyvolat dojem prolomení SIP registrace. Stejně jako u podvržených žádostí OPTIONS lze i ze žádostí REGISTER zjišťovat a následně využívat charakteristické znaky (fingerprints) typické pro podvodné SIP žádosti.

Na místě registrovaného tel. čísla se vyskytují řetězce číslic i různá jména nebo řetězce znaků. Příklady telefonních čísel zjištěných z podvodných SIP žádostí:

0 až 9, 00 až 99, 000 až 999, 0000 až 9999, ...  atd., 
test, Test, test1, admin, admin1, Admin, abc, abc100, abc123, abc1001, abcd, user, user1, User,
Bavaria, Bloger, biology, cracking, demo, demo1, highway, joker, Malta, St.Lucia, secret, ...

Obsluha INVITE

Pomocí žádosti INVITE může útočník zjistit totéž jako ze žádostí OPTIONS (existenci obsluhy SIP protokolu) nebo REGISTER (existenci tel. čísla a způsob jeho zabezpečení). Navíc může útočník pomocí podvodných žádostí INVITE:

  • zjistit prefix potřebný pro zahraniční hovory,
  • zjistit dostupnost cílů podvodných hovorů a
  • realizovat drahé hovory na podvodné cíle.

Aktivní SIP honeypot může zjistit škálu útočníkem testovaných prefixů a seznam cílů podvodných hovorů. Ze žádostí INVITE může (stejně jako ze žádostí OPTIONS a REGISTER) zjišťovat a následně využívat znaky (fingerprints) typické pro podvodné SIP žádosti (včetně typické skladby a obsahu atributů v SDP části signálu INVITE).

Prefix před číslem volaného se může skládat až ze 3 částí: ochranného PIN nebo čísla zakázky (cokoli) a prefixu pro přechod do veřejné sítě (typicky 0) a prefixu zahraničního hovoru (typicky 00). Příklad různých prefixů volby zjištěných z podvodných SIP žádostí:

00, 000, 900, 800, 700, 8, 88, 88 až 8888888888, 7, 77, 7777 až 7777777777, 9, 99, 999 až 9999999999, 00000 až 0000000000,
*0, *00, *000, *0000, *00000, *0*0, *9011, 7*00, 7*000, *9011*, *9011**, 00*00, 000*000,
+, +00, +000, ++00, +++00, +0+, +00+, 00+00,
.9011, ..9011, ...9011, 00.00,
#, #0, #00, #000, #9, #99,
~0, ~00,~000,
$0, $$0, $9,
00/00, 00-00, x00, */0, */*, *9011/, ./*9011, *9011//, *9011///, *9011////, #+0,
..., etc.

Příklady tel. čísel podvodných hovorů z experimentu v roce 2011:

Albánie: 0035551181063
Ázerbájdžán: 00994400160002
Bělorusko: 00375333445909, 00375602606857, 00375602606858
Barma: 009595640970, 0095525806531
Bulharsko: 00359878323345, 00359999753237, 00359999726452
Burkina Faso: 0022650770036
Burundi: 0025774855444
Dominikánsko: 0017675033801
Džibutsko: 00253891340
Ellipso (satelitní síť): 00881935211586, 0088213090309, 008823460773
Eritrea: 002913091852
Estonsko: 0037281020072, 0037270077045
Falklandy: 0050057069, 0050090839
Grenada: 0014735077004
Gruzie: 0099572001324, 0099572001306, 0099572001306
Guinea: 0022455200903
Honduras: 0050487370618
Chile: 0056421972315
Irák: 009648210000650
Jamajka: 0018766971080
Keňa: 00254204795035
Kiribati: 0068670516
Kongo: 002431231572
Komory: 002698100209
Kuba: 005359603058, 00535959868
Liberie: 0023190000173
Lichtenštejnsko: 004238701465
Litva: 0037091009419, 0037090310081, 0037052194142
Lotyšsko: 0037181031368, 0037181000461, 0037165779364, 0037127690331, 0037127910458, 0037127910508, 0037127971460, 0037127971461
Madagaskar: 00261200220473
Moldávie: 0037390002180
Niger: 00227170022
Norfolkské ostrovy: 00672372610
Polsko: 0048720914262
Rakousko: 0043810959478, 0043820894110, 0043810104319, 0043820894354
Rumunsko: 0040720331935, 0040903000009
Rusko: 0077851001207
San Marino: 0037866311080, 0037877311444
Severní Korea: 0085099929734
Sierra Leone: 0023222288829, 0023224001218
Slovinsko: 0038643281745, 003864976175
Somálsko: 0025270601063, 002522168319, 0025230221425, 002525237312283, 0025240900306
Středoafrická republika: 0023621750032
Šalomounovy ostrovy: 006777495988
Španělsko: 0034601001394
Tákžikistán: 00992372300032
Togo: 002287270050
Tunisko: 0021670760110
Ukrajina: 00380623431670
Vanuatu: 006787780096
Zimbabwe: 00263732210353, 002639530302, 00263912792694

Typické znaky podvodů

Dalším zpracováním údajů ze SIP honeypotů lze získat znalosti o typických znacích podvodných SIP žádostí (fingerprints). Např. typická skladba i pořadí položek SIP signálů, typická délka i obsah položek SIP signálů, ... apod. Některá údaje jsou jednoznačným znakem VoIP podvodu (např. sip-uri obsahující 1.1.1.1, User-Agent: friendly-scanner, display-name sipvicious). Jiné údaje mohou být jen příznakem možného VoIP podvodu (např. přítomnost nepovinných položek nebo pořadí položek v SIP žádosti INVITE nebo délka či struktura položky Call-ID či parametrů branch a tag nebo řetězec Unknown v rámci SIP-URI položky From).

Znalost fingerprints podvodných SIP žádostí je dobře využitelná v SIP antifraudu. Např. jako black-list nepřípustných IP adres v sip-uri uvnitř SIP žádostí, jako black-list nepřípustného obsahu položek User-Agent i Server, jako black-list nepřípustných hodnot display-name, ... apod.

Reference

  1. ŠAFAŘÍK, Jakub. Distribuovaný systém klasifikace útoků pro VoIP infrastrukturu využívající protokol SIP. liptel.vsb.cz [online]. 2016. Dostupné v archivu pořízeném z originálu dne 2019-01-27. 
  2. HERYCH, Jan. Vysokointeraktivní VoIP Honeypot. dspace.cvut.cz [online]. 2014. Dostupné online. 
  3. BAJÁKOVÁ, Zuzana. Nasazení IP telefonních Honeypotů v reálné infrastruktuře. dspace.vsb.cz [online]. 2016. Dostupné online. 
  4. FIŠER, Ivo. VoIP podvody - hovory do zahraničí. indico.csnog.eu [online]. Dostupné online. 

Související články