4. SCAN SSH BruteForce Tool with fake PUTTY version

1. Nhận diện

a. Trên giao diện giám sát SOC

b. Trên giao diện Kibana

2. Mô tả

Cảnh báo mô tả việc một công cụ giả mạo phần mềm PUTTY với việc sử dụng trường thông tin software_version là “PUTTY” trong khi trường thông tin software_version của phần mềm PUTTY thật là “PuTTY-Local”. Công cụ giả mạo này thực hiện tấn công bruteforce SSH của máy chủ mục tiêu

3. Các thông tin cần thu thập

• Xác định IP nguồn và IP đích của cảnh báo

• Xác định nội dung payload được gửi đi trên giao diện Kibana bằng cú pháp lệnh

  agent.name: [tên sensor] AND srcip: [IP nguồn] AND dstip: [IP đích] AND ips.msg: "ET SCAN SSH BruteForce Tool with fake PUTTY version"

Ví dụ

agent.name: sensor-xxx AND srcip: xxx.xxx.xxx.xxx AND dstip: 115.146.126.146 AND ips.msg: "ET SCAN SSH BruteForce Tool with fake PUTTY version"

• Lấy nội dung trường payload (ips.payload) trong thông tin cảnh báo

• Giải mã nội dung mã hóa bằng decode base64 thông qua việc sử dụng website decode online (https://www.base64decode.org) hoặc tool decode base64

4. Kiểm tra và xử lý

a. Kiểm tra

• Tiến hành kiểm tra thông tin về IP nguồn thực hiện bruteforce

b. Xử lý

Sau khi phát hiện IP nguồn và các thông tin liên quan đến IP nguồn thực hiện bruteforce, tiến hành xử lý theo các bước như sau:

• Bước 1: Thực hiện việc cảnh báo tới quản trị viên hệ thống

• Bước 2: Yêu cầu thực hiện cấu hình Firewall chặn IP nguồn vừa được xác định

• Bước 3: Yêu cầu quản trị máy chủ IP đích kiểm tra (có thể thay đổi) để nâng cao độ khó của mật khẩu SSH tới máy chủ

Lưu ý: để giảm thiểu và hạn chế hiệu quả các hoạt động scan SSH vào các máy chủ, yêu cầu quản trị viên lên phương án để hệ thống toàn bộ danh sách các IP được phép truy cập SSH từ xa đến máy chủ quản trị. Sau đó, lập whitelist các IP được phép và cấu hình trên hệ thống Firewall

5. Sơ đồ xử lý