5. SCAN Sipvicious User-Agent Detected (friendly-scanner)

1. Nhận diện

a. Trên giao diện giám sát SOC

b. Trên giao diện Kibana

2. Mô tả

SIP (Session Initiation Protocol) là một giao thức báo hiệu được dùng để bắt đầu, duy trì và chấm dứt một phiên theo thời gian thực các ứng dụng thoại, video và tin nhắn. Sipvicious là một công cụ dò quét, có chắc năng thu thập thông tin từ hệ thống IP phone, VoIP phone và PBX bằng cách thực hiện các scan INVITE một cách âm thầm. Lợi dụng tính năng, kẻ tấn công có thể thực hiện các scan INVITE kết hợp với lệnh “call” để xác định các mật khẩu yếu kết nối tới một điện thoại cụ thể. Nếu dò được mật khẩu và khai thác thành công, kể tấn công có thể thực hiện được các cuộc gọi miễn phí. Việc thực hiện scan với lượng lớn cũng có thể gây ngưng trệ dịch vụ của máy chủ bị thực hiện scan

3. Các thông tin cần thu thập

Xác định IP nguồn và IP đích của cảnh báo

Xác định nội dung payload được gửi đi trên giao diện Kibana bằng cú pháp lệnh
agent.name: [tên sensor] AND srcip: [IP nguồn] AND dstip: [IP đích] AND ips.msg: "ET SCAN Sipvicious User-Agent Detected (friendly-scanner)"

Ví dụ

agent.name: sensor-xxx AND srcip: xxx.xxx.xxx.xxx AND dstip: 115.146.126.146 AND ips.msg: "ET SCAN Sipvicious User-Agent Detected (friendly-scanner)"

Lấy nội dung trường payload (ips.payload) trong thông tin cảnh báo

Giải mã nội dung mã hóa bằng decode base64 thông qua việc sử dụng website decode online (https://www.base64decode.org) hoặc tool decode base64

4. Kiểm tra và xử lý

a. Kiểm tra

Tiến hành kiểm tra thông tin về IP nguồn thực hiện việc scan

b. Xử lý

Sau khi phát hiện IP nguồn và các thông tin liên quan đến IP nguồn thực hiện scan, tiến hành xử lý theo các bước như sau:

Bước 1: Thực hiện việc cảnh báo tới quản trị viên hệ thống
Bước 2: Kiểm tra các port dịch vụ của IP đích liên quan đến việc scan (liên quan đến SIP thường là port 5060). Có thể block port 5060 khi không sử dụng
Bước 3: Đề xuất quản trị viên hệ thống cấu hình firewall để các thiết bị chỉ có thể kết nối với nhà cung cấp dịch vụ hoặc thiết lập rule của bảng iptable như hướng dẫn sau:

apt-get install -y iptables-persistent

#####  IPv4 rules #####
iptables -N dos-filter-sip-external

iptables -A INPUT -p udp -m udp --dport 5060 \
-j dos-filter-sip-external

iptables -A INPUT -p tcp -m tcp --dport 5060 \
-j dos-filter-sip-external

iptables -A INPUT -p udp -m udp --dport 5080 \
-j dos-filter-sip-external

iptables -A dos-filter-sip-external \
-m hashlimit --hashlimit 5/sec \
--hashlimit-burst 30 --hashlimit-mode srcip \
--hashlimit-name SIPMSG --hashlimit-htable-size 24593 \
--hashlimit-htable-expire 90000 -j RETURN

iptables -A dos-filter-sip-external -j \
REJECT --reject-with icmp-admin-prohibited

iptables-save > /etc/iptables/rules.v4

#####  IPv6 rules #####

ip6tables -N dos-filter-sip-external

ip6tables -A INPUT -p udp -m udp --dport 5060 \
-j dos-filter-sip-external

ip6tables -A INPUT -p tcp -m tcp --dport 5060 \
-j dos-filter-sip-external

ip6tables -A INPUT -p udp -m udp --dport 5080 \
-j dos-filter-sip-external

ip6tables -A dos-filter-sip-external \
-m hashlimit --hashlimit 5/sec \
--hashlimit-burst 30 --hashlimit-mode srcip \
--hashlimit-name SIPMSG --hashlimit-htable-size 24593 \
--hashlimit-htable-expire 90000 -j RETURN

ip6tables -A dos-filter-ssh -j DROP

ip6tables-save > /etc/iptables/rules.v6

Bước 4: Cập nhật các phiên bản, các bản vá phù hợp với phần mềm của hệ thống PBX

5. Sơ đồ xử lý

Previous4. SCAN SSH BruteForce Tool with fake PUTTY version Next6. SCAN MS Terminal Server Traffic on Non-standard Port

Last updated 7 years ago