Il y a quelques semaines, la communauté de la cybersécurité s’inquiétait d’un supposé botnet qui exploiterait des brosses à dents intelligentes vulnérables pour lancer des attaques DDoS contre une entreprise suisse. Si l’information a fait grand bruit avec des gros titres sensationnels, le manque de détails techniques et le caractère improbable de l’attaque – notamment compte tenu de l’infection à grande échelle d’appareils Bluetooth Low Energy (BLE) non directement connectés à Internet – ont finalement révélé qu’il s’agissait d’une fausse attaque.
Cependant, ce type de scénario, dans lequel un malware infecte un très grand nombre d'appareils intelligents vulnérables et forme un botnet, n'est pas nouveau. En 2016, le malware Mirai s'est fait connaître pour son impact dévastateur sur les appareils IoT. Mirai fonctionnait en analysant Internet à la recherche d'appareils IoT vulnérables, notamment des routeurs et des caméras, qui utilisaient toujours des noms d'utilisateur et des mots de passe par défaut. Une fois identifiés, Mirai infectait ces appareils, les transformant en bots pouvant être contrôlés à distance par les opérateurs du malware.
Les conséquences de Mirai ont été graves et généralisées. Le botnet massif créé par Mirai a été utilisé pour lancer de puissantes attaques par déni de service distribué (DDoS) contre diverses cibles, y compris des fournisseurs d'infrastructures Internet de premier plan comme OVH (fournisseur de cloud computing français) avec des pics d'attaque à plus de 1 To/s ! Ces attaques ont perturbé les services, provoqué des temps d'arrêt importants et entraîné des pertes financières substantielles pour les organisations touchées.
L’impact généralisé de Mirai a servi de signal d’alarme tant pour les consommateurs que pour les fabricants, soulignant le besoin urgent d’améliorer les pratiques de sécurité dans la conception, le déploiement et la gestion des appareils IoT.
Depuis 2016, beaucoup de choses ont changé, la technologie évolue à une vitesse fulgurante, offrant à la fois de nouvelles opportunités et de nouveaux défis. De plus, la publication du code source de Mirai dans le domaine public peu de temps après sa première vague d'attaques a ouvert la voie à une prolifération de versions modifiées. Les acteurs malveillants ont utilisé la disponibilité du code source pour créer des variantes personnalisées du malware, par exemple en utilisant le réseau Tor pour dissimuler les serveurs de commande et de contrôle (C2), en élargissant la portée au-delà des attaques DDoS traditionnelles pour inclure les ransomwares (cryptolockers) et le minage de cryptomonnaies (cryptominers).
Quels sont les derniers objectifs et tactiques des cybercriminels ? Comment étudier ces nouvelles menaces numériques et malwares, afin de mieux renforcer la sécurité de nos appareils IoT ? La réponse tient en un mot : Honeypot .
Chez Red Alert Labs, Paul L, notre évaluateur de sécurité IoT, dirigé par Natael, a enquêté sur les nouveaux malwares et menaces IoT. Aujourd'hui, cet article est le premier de notre série relatant cette enquête approfondie. Notre tutoriel étape par étape fournit un guide pratique pour vous aider à configurer un honeypot (IoT) et à surveiller les dernières menaces émergentes.
I. Comprendre les pots de miel
Un honeypot, loin d'être un récipient en verre contenant cette substance sucrée, est un concept de cybersécurité très astucieux. Le principe est de mettre en place un serveur, un service réseau ou un appareil IoT et de le rendre vulnérable. De cette façon, les pirates sont amenés à croire qu'il s'agit d'une véritable machine et à l'attaquer. On distingue deux types de honeypots, ceux qui visent à faire perdre du temps et des ressources aux attaquants, et ceux qui visent à récolter des informations sur les TTP (Tactiques, Techniques & Procédures) des pirates. Ce deuxième type de honeypot est utilisé dans un domaine spécifique de la cybersécurité appelé CTI, abréviation de Cyber Threat Intelligence.
La collecte de données telles que les journaux d'attaques, les échantillons de logiciels malveillants et les métadonnées, puis l'analyse et la rétro-ingénierie de ces journaux et échantillons nous permettent de mieux comprendre la manière dont les pirates informatiques s'introduisent dans nos systèmes et nos objets IoT. Ce type d'informations est crucial car il nous permet d'améliorer la sécurité de notre système en mettant en œuvre des contre-mesures et des correctifs directement dans l'étape de conception du produit ou du logiciel : la sécurité dès la conception .
Aujourd'hui, rejoignez-nous pour vous guider dans l'installation de T-POTCE. T-pot se présente comme une plateforme honeypot tout-en-un, open source et multi-architecture (amd64, arm64). Elle prend en charge plus de 20 honeypots et offre une gamme d'options de visualisation utilisant la pile Elastic. T-pot comprend des cartes d'attaque animées en direct et intègre de nombreux outils de sécurité qui le rendent très convivial.
II. Mise en place du TPOT
De quoi aurez-vous besoin pour commencer à utiliser TPOT ? Plusieurs options s'offrent à vous pour installer ce honeypot, soit une VM sur un serveur de votre choix, soit un serveur dédié ou notre solution préférée, un VPS. L'hébergement cloud offre une facilité de configuration / suppression / redimensionnement et de mise à l'échelle. Quelle que soit l'option que vous choisirez, votre VM / VPS / Serveur devra répondre à ces exigences :
● Au moins 8 à 16 Go de RAM
● Au moins 128 Go d'espace disque libre
● Une connexion Internet fonctionnelle (sortante non filtrée)
Ensuite, l'étape suivante consiste à installer Debian sur votre serveur et à noter la version de Debian (mantic, focal, etc.) car cela peut s'avérer utile pour résoudre les problèmes du processus d'installation.
Une fois cela fait, vous devez sélectionner une méthode d'authentification pour administrer votre serveur via SSH. Nous vous recommandons fortement d'utiliser des clés SSH pour vous authentifier sur votre serveur au lieu d'un simple mot de passe. D'autant plus que nous l'utilisons comme un pot de miel, ce serait tout simplement génial si un acteur malveillant pouvait avoir le contrôle total de notre serveur.
Pour ce faire, vous devez d'abord générer une paire de clés SSH. Sur un terminal Linux, la commande suivante générera une paire de clés pour vous, copiez-collez simplement la clé publique sur le site Web de Digitalocean et elle l'ajoutera automatiquement à votre serveur :
ssh-keygen -t rsa -b 2048 -f ~/.ssh/id_rsa
Cette commande génère une paire de clés RSA de 2048 bits et l'enregistre dans l'emplacement par défaut ~/.ssh/id_rsa . Vous pouvez personnaliser les options selon vos préférences.
À partir de là, il vous est demandé de créer une phrase de passe afin d'accéder à la clé à chaque fois que vous souhaitez vous connecter quelque part avec votre clé publique. Assurez-vous de vous souvenir de cette phrase de passe ou vous risquez de perdre le contrôle de votre VPS. Une bonne pratique serait de l'ajouter à un gestionnaire de mots de passe comme keepass pour vous assurer de ne pas l'oublier.
Une fois cela fait, vous pouvez allumer votre VPS, vous y connecter via SSH et exécuter les commandes suivantes :
sudo apt update && sudo apt upgrade -y
Assurez-vous que le VPS est à jour et que vous disposez des référentiels les plus récents.
sudo apt install git
S'il n'est pas déjà installé, assurez-vous que l'utilitaire git est installé car nous en aurons besoin pour cloner dans le projet Tpot.
Clonez dans le référentiel tpotce pour télécharger tous les fichiers et logiciels nécessaires, cela peut prendre un certain temps, laissez-le s'exécuter.
chmod +x tpotce/iso/installer/install.sh
Assurez-vous de pouvoir exécuter le script d'installation
sudo tpotce/iso/installer/install.sh --type=utilisateur
Exécutez le script avec cet argument et il configurera automatiquement tout pour vous.
Si vous rencontrez des erreurs lors du processus d'installation, vous pouvez vous référer au site officiel une documentation où ils passent en revue de nombreuses erreurs.
Une fois le script terminé de s'exécuter, voici le résultat. Vous devriez obtenir une liste de tous les différents services et de leurs ports d'écoute respectifs : appuyer sur y les activera tous.
Vous avez maintenant accès à ce menu où il vous est demandé de choisir l'édition de tpot que vous souhaitez utiliser, nous choisirons l'édition standard :

Et enfin, vous devez configurer un nom d'utilisateur et un mot de passe pour vous connecter à la page d'administration Web : https://IP_OF_YOUR_VPS:64297/
Donnez-lui quelques minutes pour l’installer et vous devriez pouvoir vous connecter à la page d’administration Web de votre pot de miel !
III. Présentation de l'interface TPOT
Lors de votre connexion, vous disposez d'une interface Web très conviviale et d'un menu avec les différents services :

Quelques minutes après la première installation, vous devriez recevoir quelques attaques et à mesure que votre IP commence à être indexée dans des services d'analyse de masse tels que Shodan, les attaques augmentent de façon exponentielle !

En moins de 24 heures, notre honeypot a reçu plus de 30 000 requêtes malveillantes !
Lors de l'utilisation de Tpot, les deux principaux services intéressants pour nous seront la carte des attaques et les tableaux de bord Kibana . Les logs générés à partir des différents honeypots sont envoyés vers une pile ELK (Elasticsearch, Logstash, Kibana). ELK fournit une plate-forme robuste pour l'agrégation, l'analyse et la visualisation des logs.
Elasticsearch d'ELK permet de puissantes capacités de recherche et d'analyse, ce qui facilite grandement l'identification de modèles, de tendances ou d'événements spécifiques dans les données du pot de miel.
Kibana propose des tableaux de bord et des visualisations personnalisables, facilitant l'interprétation des données du honeypot
Aperçu de la carte d'attaque :

La carte d'attaque permet une visualisation en temps réel de toutes les requêtes malveillantes adressées au honeypot. Les requêtes sont caractérisées par un protocole / port (principalement -> FTP / SSH / TELNET / SMB / MQTT /SIP / HTTP / RDP) et une adresse IP (--> aide à analyser les requêtes : s'agit-il d'un botnet ? d'une attaque ciblée ? de quel pays provient l'attaque ?). La carte d'attaque informe également sur quel honeypot est ciblée -> pour aller en profondeur dans les logs et le type d'attaque. Enfin un timestamp est présent sur chaque requête permettant une meilleure corrélation des logs.
Présentation des tableaux de bord Kibana :

Utilisation de T-POT pour la sécurité de l'IoT
Depuis la page d'accueil de T-Pot, cliquez simplement sur Kibana pour accéder à une multitude de tableaux de bord et de visualisations spécialement conçus pour les honeypots pris en charge par T-Pot. Dans le contexte de la sécurité de l'IoT, nous nous concentrerons principalement sur trois honeypots clés :
- Cowrie : Cowrie prend en charge SSH et Telnet. L'administration à distance des objets IoT se fait principalement via ces protocoles et la plupart du temps avec des identifiants médiocres/par défaut. Les malwares tels que Mirai ciblent ces protocoles spécifiques, il est donc particulièrement intéressant de les surveiller.
2. Dionaea : Ce honeypot prend en charge des protocoles comme HTTP et MQTT, tous deux largement utilisés dans l'IoT > mal implémentés la plupart du temps (pas/mauvaises informations d'identification et pas de SSL/TLS).
3. Conpot : Spécialisé dans l'IoT industriel, Conpot surveille les attaques du protocole Modbus.
Les tableaux de bord Kibana fournissent des informations détaillées sur les journaux, ce qui permet de rechercher des entrées à l'aide de filtres basés sur la date, le protocole et le pays. En outre, les tableaux de bord offrent des statistiques sur divers aspects des attaques, notamment les charges utiles, les identifiants tentés et les binaires téléchargés. Ainsi que des graphiques visuels et des statistiques pertinentes.
Grâce à ce honeypot, nous avons mis au point un outil puissant capable de recueillir une multitude d'informations sur les menaces réelles et les derniers échantillons de malwares ciblant les appareils IoT. En surveillant et en analysant les données collectées à partir du honeypot, nous sommes en mesure de rester informés des menaces émergentes et de l'évolution des techniques d'attaque.
Dans les prochains articles, nous approfondirons les résultats de notre enquête. Nous fournirons des analyses détaillées des journaux collectés et des échantillons de logiciels malveillants, à la fois d'un point de vue statique et dynamique, mettant en lumière le processus d'infection et les objectifs des attaquants. De plus, nous explorerons des contre-mesures efficaces pour améliorer la sécurité de vos appareils IoT.
