JultikaUniversity of Oulu repository

Secure Shell (SSH) is a commonly used tool by many organizations to establish secure data communication and remote access to systems that store confidential information and resources. Assessing, defending against and studying the different threats the systems using this protocol are subjected to can be done by using a honeypot. This thesis studied malicious SSH traffic directed at Oulu university network by using an SSH honeypot Cowrie. The honeypot was deployed in the panOULU network located at the Oulu University campus. Two other identical honeypots were deployed from different networks to study if there are differences in malicious traffic directed to all three honeypots. Additionally, a passive fingerprinting tool p0f was used for differentiating what operating systems the attacks originated from. The honeypots successfully remained active and collected data for 12 days. Based on gathered data malicious SSH traffic on all three networks was quite similar. Most common interaction on all three honeypots was likely from bots seeking to exploit common vulnerabilities to gain access to resources. Data from p0f revealed that most common successfully fingerprinted operating system used by attackers on all three honeypots was Linux based. The research showed that honeypots can be used to collect data that is valuable to any security researcher or network administrator. The university network and the other two networks that were studied are constantly subjected to multitude of attacks and scans.

Secure Shell (SSH) on monissa organisaatioissa yleisesti käytetty työkalu suojatun tietoliikenteen muodostamiseen ja luotettavaa tietoa sekä resursseja sisältävien järjestelmien etäkäyttöön. Tähän protokollaan kohdistettujen eri uhkien arvioimiseen, niitä vastaan puolustautumiseen ja niiden opiskeluun voidaan käyttää hunajapurkkia. Tämä opinnäytetyö tutki Oulun yliopiston verkkoon kohdistettua haitallista SSH-tietoliikennettä käyttämällä SSH-hunajapurkkia Cowrie. Hunajapurkki asetettiin panOULU-verkkoon, joka sijaitsee Oulun yliopiston kampuksella. Kaksi muuta identtistä hunajapurkkia asetettiin eri verkkoihin haitallisen tietoliikenteen poikkeavuuksien tutkimiseksi. Tämän lisäksi passiiviseen sormenjälkitunnistukseen pohjautuvaa työkalua p0f käytettiin selvittämään, mistä eri käyttöjärjestelmistä hyökkäykset alun perin saapuivat. Hunajapurkit olivat onnistuneesti päällä ja keräsivät tietoja 12 päivää. Kerättyjen tietojen perusteella kaikkiin kolmeen verkkoon kohdistettu haitallinen SSH-tietoliikenne oli hyvin samankaltaista. Yleisin kaikkiin kolmeen hunajapurkkiin kohdistettu kanssakäyminen saapui todennäköisesti botteilta, joiden tavoitteena on saada haltuun resursseja hyväksikäyttämällä yleisiä haavoittuvuuksia. P0f-ohjelmalla kerätty tieto paljasti yleisimmän hyökkääjien käyttämän tunnistetun käyttöjärjestelmän olevan Linux-pohjainen. Tutkimus osoitti, että SSH-hunajapurkkeja voidaan käyttää tiedon keräämiseen, joka on arvokasta kenelle tahansa tietoturva-asiantuntijalle tai verkon ylläpitäjälle. Yliopiston verkko ja kaksi muuta tutkittua verkkoa ovat jatkuvan hyökkäyksien ja tarkkailun alaisena.