Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Honeypots SSH omiten ataques post-login al centrarse en shells interactivas


Una investigación reciente de la Universidad Técnica Checa, titulada “Ghost Without Shell”, revela que los honeypots de SSH podrían estar ignorando la mayor parte de la actividad real de los atacantes tras el inicio de sesión. El estudio desafía las suposiciones actuales sobre la tecnología de engaño, señalando que la mayoría de los atacantes no interactúan con los sistemas SSH de la manera prevista.







Los honeypots de SSH, ampliamente utilizados en la ciberdefensa, podrían estar pasando por alto la mayor parte de la actividad real de los atacantes tras el inicio de sesión, según una nueva investigación que desafía suposiciones largamente establecidas en la tecnología de engaño.

Un estudio reciente titulado “Ghost Without Shell: Measuring Non-Interactive SSH Attacks on Honeypots” realizado por investigadores de la Universidad Técnica Checa revela que la mayoría de los atacantes no interactúan con los sistemas SSH a través de sesiones de shell tradicionales.

En su lugar, confían en comandos automatizados y no interactivos que se ejecutan instantáneamente y se desconectan, dejando a muchos honeypots ciegos ante comportamientos de ataque críticos.

Los investigadores desplegaron once honeypots de SSH de alta interacción en una infraestructura de nube durante 15 días, capturando 177.622 sesiones autenticadas. Sus hallazgos fueron sorprendentes: el 99,23% de las sesiones fueron no interactivas, mientras que solo el 0,10% implicó un acceso interactivo a la shell. Los intentos de transferencia de archivos representaron solo el 0,67%.

Estos resultados fueron validados independientemente utilizando un gran conjunto de datos de la red de honeypots Cowrie de CZ.NIC, confirmando el mismo patrón a gran escala.

Los honeypots de SSH pasan por alto los ataques post-inicio de sesión

Este descubrimiento contradice una suposición fundamental en el diseño de honeypots de SSH: que los atacantes inician sesión y ejecutan comandos manualmente dentro de una shell interactiva.

Muchos honeypots modernos, incluidos aquellos impulsados por modelos de lenguaje extensos (LLM), están construidos específicamente para simular entornos de shell realistas y medir el éxito basándose en cuánto tiempo permanecen conectados los atacantes o cuántos comandos emiten.

Sin embargo, el estudio demuestra que tales métricas son cada vez más irrelevantes. En la mayoría de los casos, los atacantes se autentican, ejecutan un único comando utilizando el modo exec de SSH y se desconectan en menos de un segundo.

Estos comandos suelen estar automatizados y diseñados para el reconocimiento o la verificación, más que para una interacción prolongada. Entre los comandos comunes observados se encuentran consultas de perfilado del sistema como uname, whoami, uptime y nproc, que los atacantes pueden usar para evaluar rápidamente el entorno objetivo.

Los investigadores identificaron más de 9.000 cadenas de comandos únicas. No obstante, un pequeño subconjunto representó una gran parte de la actividad, lo que indica campañas automatizadas coordinadas.

Más notablemente, el estudio destaca los comandos de sonda de verificación diseñados para determinar si un objetivo es un sistema real o un honeypot.

Por ejemplo, los atacantes utilizaron la decodificación base64 u operaciones aritméticas como echo $((7*6)) para comprobar si el sistema devuelve resultados precisos. Estas pruebas son particularmente efectivas contra los honeypots basados en LLM, que pueden generar respuestas plausibles pero incorrectas.

En total, los investigadores identificaron más de 2.000 de estos intentos de verificación. Algunas sondas también buscaban artefactos conocidos de honeypots, como procesos específicos o archivos de sistema editables, aunque estos eran menos comunes.

Las implicaciones para la investigación y la defensa de la ciberseguridad son significativas. Los honeypots que se centran únicamente en sesiones de shell interactivas pueden capturar solo una fracción del comportamiento real del atacante, lo que conduce a conclusiones sesgadas y estrategias de detección ineficaces.

Del mismo modo, evaluar el rendimiento de un honeypot basándose en la duración de la interacción o la profundidad de la misma podría ya no reflejar las amenazas del mundo real.

Según la Universidad Técnica Checa, los honeypots de SSH deberían admitir la ejecución de comandos no interactivos y ofrecer respuestas de comando precisas.

El éxito debería medirse por si el sistema se comporta como un host real bajo un sondeo automatizado, en lugar de cuán convincentemente simula una interacción humana.

Los hallazgos también indican un cambio más amplio en el comportamiento del atacante hacia la automatización y el escaneo a gran escala. En lugar de explorar manualmente los sistemas comprometidos, los atacantes confían cada vez más en scripts que realizan comprobaciones rápidas en miles de objetivos.

Esta evolución subraya la necesidad de actualizar las estrategias de engaño para que se alineen con los patrones de ataque actuales. Sin adaptarse a las técnicas no interactivas, muchos honeypots corren el riesgo de quedar obsoletos, capturando solo una visión estrecha y anticuada del panorama de amenazas.



Fuentes:
https://cybersecuritynews.com/ssh-honeypots-miss-most-post-login-attacks/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.