Dansker bag privat honeypot-netværk: 1.162 scanninger efter Bluekeep-sårbarhed på et døgn

Der bliver scannet aktivt efter alvorlig Windows-sårbarhed, der har Wannacry-potentiale, fortæller dansker bag større honeypot-netværk.

Nogen banker på Mikael Vingaards netværk af honeypots for at finde ud af, om den såkaldte Bluekeep-sårbarhed i Windows er til stede.

I løbet af bare et døgn har sikkerhedsmanden, der til dagligt arbejder ved den statslige energi- og forsyningsvirksomhed Energinet, således registreret mere end tusinde scanninger efter sårbarheden - det er vel at mærke fra kilder, hvor scannings-tjenester som Shodan, er sorteret fra.

»Der er ikke evidens til at sige, om det er mange eller få. Vi må bare tage tallet i sig selv,« siger Mikael Vingaard med henvisning til, at Bluekeep-sårbarheden er relativ ny, og at sammenligningsgrundlaget i forhold til, hvad der er meget og lidt, derfor er sparsomt.

Sårbarheden eksisterer i flere udgaver af Windows og er af Microsoft blevet sammenlignet med det hul, der tilbage i 2017 muliggjorde det omfattende Wannacry-angreb. Dengang blev blandt andet den britiske hospitalssektor hårdt ramt.

Ved siden af arbejdet hos Energinet har Mikael Vingaard de seneste fem år drevet, hvad han selv vurderer til at være et af verdens største privatejede netværk af honeypots.

En honeypot er kort fortalt et system, der har til formål at monitorere og analysere hackere og malwares forsøg på indtrængen i systemet.

120+ sensor-enheder

Mikael Vingaards netværk består af mere end 120 sensor-enheder, hvor han simulerer en række industrielle systemer. Eksempelvis udstyr som benyttes i vand-, transport og energiforsyningen.

Bluekeep-sårbarheden ligger i flere ældre versioner af Windows. Blandt andet Windows Server 2003, Windows 7 og Windows XP. Men altså ikke Windows 10 og 8.

Mikael Vingaard arbejder til dagligt som beredskabskoordinator hos Energinet. Ved siden af driver han et stort netværk af honeypots. Illustration: Carsten Borup Andersen

Sårbarheden, som muliggør fjerneksekvering af vilkårlig kode, ligger i remote desktop service, som kommunikerer via remote desktop protocol (RDP).

Bluekeep blev patched af Microsoft i maj, men blot fordi en patch er frigivet, er det - som flere vil vide - ikke ikke ensbetydende med, at sårbare systemer faktisk får patchen installeret.

Det kan der være flere grunde til. Mikael Vingaard fremhæver en af dem.

»I visse industrielle miljøer, benyttes der stadig ældre operativsystemer - så derfor udviklede jeg en Bluekeep-honeypot, som kunne simulere f.eks et Windows XP system med RDP,« skriver Mikael Vingaard i en mail til Version2.

Han kalder Bluekeep-honeypotten for en high interaction honeypot. Det vil sige, at honeypotten opfører sig som en rigtig installation af eksempelvis Windows XP eller Windows 2003. Og det bevirker ifølge Mikael Vingaard, at automatiserede scanningsværktøjer og hackere opfatter det som ægte systemer.

»Derved kommer der så realistiske data fra honeypotten hvorefter at alle data indsamles, til efterfølgende analyse og indsamling af trends og statistik,« forklarer Vingaard videre.

Honeypot-varianten skræddersyet til Bluekeep har han rullet ud på 54 sensor-enheder på globalt plan, herunder 4 i Danmark. En sensorenhed vil i øvrigt sige en ip-adresse med bagvedliggende hardware, der omdirigerer trafikken til den reelle server, der simulerer eksempelvis en sårbar Windows XP.

Bortfiltrering af støj

Gennem de seneste fem år har Mikael Vingaard opbygget et datasæt, hvor han blandt andet kan identificere besøg fra kendte sårbarheds-scanningsmaskiner som Shodan, der blandt andet bliver brugt af sikkerhedsfolk.

Den form for trafik betragter Vingaard ikke som direkte ondsindet, og han har derfor fratrukket besøgene fra eksempelvis Shodan i kortlægningen af Bluekeep-aktiviteterne.

»Tilbage har jeg registreret indenfor de sidste 24 timer, i alt unikke 1.162 BlueKeep scanninger fordelt over de nævnte 54 honeypots,« skriver han i mailen til Version2, der er sendt onsdag i indeværende uge.

Mikael Vingaard forklarer, at der er tale om scanninger efter, hvorvidt sårbarheden er til stede og ikke deciderede forsøg på angreb. Endnu i hvert fald.

Sikkerhedsvirksomheden GreyNoise har forleden også fortalt om scanninger efter sårbarheden. Og i den forbindelse oplyste GreyNoise-grundlægger Andrew Morris i et tweet, at mange af scanningerne kom fra exit-noder i anonymiseringstjenesten Tor.

Læs også: Scanninger efter alvorlig Windows-sårbarhed er begyndt

Særligt Ukraine

Mikael Vingaard har via honeypot-netværket også registeret mange scanninger fra Tor-netværket. Men han har også set mange scanninger fra, hvad Vingaard formoder er kompromitterede servere.

»Særligt interessant er det, at der er en overvægt af scanninger imod særlige områder [og] lande, f.eks RDP-honeypots placeret i Ukraine, men heller ikke de skandinaviske lande går fri,« forklarer Vingaard og tilføjer:

I forhold til honeypots med danske ip-adresser, så har Mikael Vingaards netværk registeret 17 scanninger efter BlueKeep.

»Baseret på tidligere angreb, tænker jeg blot, at det er et spørgsmål om tid, før at honeypots begynder at opfange reelle angreb for at udnytte Bluekeep-sårbarheden fremfor blot scanninger,« lyder det fra Mikael Vingaard.

Til de teknisk interesserede, så registrerer Mikael Vingaard i øvrigt BlueKeep-scanninger via Wireshark-filteret: rdp.channelDef and rdp.​name == "MS_T120"

Som kilde til dette filter henviser Mikael Vingaard til svenske Erik Hjelmvik fra Netresec.

»Uanset hvad, så bør alle berørte systemer patches (såfremt det er muligt), alternativt begrænses mest muligt, og i øvrigt slet ikke være tilgængelige via internettet - den er ganske banalt, men stadig skræmmende, at så mange systemer stadig står upatchede på internettet,« lyder opfordringen fra Vingaard.

Center for Cybersikkerhed har ligeledes været ude med en opfordring om at få patched i forhold til Bluekeep.

Flere sikkerhedsfirmaer har meddelt, at de har udviklet fungerende exploits, som demonstrerer, hvordan Bluekeep-sårbarheden kan udnyttes.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonas Iversen

Det siger jo ikke så meget, hvor mange scanninger man registrerer.
Det der betyder noget er fra hvor mange forskellige servere, disse scanningen kommer fra!
Én server kan jo sagten lave tusinde scanninger på få minutter/timer, så det siger jo ingenting om udbredelsen.

Log ind eller Opret konto for at kommentere