Instalación de Honeypots y su uso
Short Description
2012 HONEYPOT Félix María Samaniego, Las moscas (fragmento): A un panal de rica miel, dos mil moscas acudieron, que po...
Description
2012
HONEYPOT
Félix María Samaniego, Las moscas (fragmento): A un panal de rica miel, dos mil moscas acudieron, que por golosas murieron, presas de patas en él.
Javier García Cambronel SEGUNDO DE ASIR 07/03/2012
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
HONEYPOTS, QUE SON Y TIPOS HONEYBOT PREPARACION PRÁCTICA ATACANTE 1 ANFITRION WINDOWS 7 ATACANTE 2 BACKTRACK5 R1 VALHALA HONEYPOT CONFIGURACION ATACANTE 2 BACKTRACK5 R1
SEGUNDO DE ASIR
Página 1
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
HONEYPOTS, QUE SON Y TIPOS Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot . Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción. Un tipo especial de honeypot de baja interacción son los sticky honeypots (honeypots pegajosos) cuya misión fundamental es la de reducir la velocidad de los ataques automatizados y los rastreos. En el grupo de los honeypot de alta interacción nos encontramos también con los honeynet . También se llama honeypot a un website o sala de chat, que se ha creado para descubrir a otro tipo de usuarios con intenciones criminales, (e.j., pedofilia).
HISTORIA Y ORÍGENES Lance Spitzner, consultor y analista informático experto en seguridad, s eguridad, construyó a comienzos del año 2000 una red de seis ordenadores en su propia casa. Esta red la diseñó para estudiar el comportamiento y formas de actuación de los atacantes. Fue de los primeros investigadores en adoptar la idea, y hoy es uno de los mayores expertos en honeypots, precursor del proyecto honeynet (www.honeynet.org), en marcha desde 19 99, y autor del libro "Honeypots: Tracking Hackers”.
Su sistema estuvo durante casi un año de prueba, desde abril del 2000 a febrero de 2001, guardando toda la información que se generaba. Los resultados hablaban por sí solos: s olos: en los momentos de mayor intensidad de los ataques, comprobaba que las vías de acceso más comunes a los equipos de su casa eran escaneadas, desde el exterior de su red, hasta 14 veces al día, utilizando herramientas de ataque at aque automatizadas. Desde entonces, se ha creado toda una comunidad de desarrolladores aglutinados alrededor de honeynet.org que ofrecen todo tipo de herramientas y consejos para utilizar estas herramientas.
SEGUNDO DE ASIR
Página 2
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
MAS INFORMACION SOBRE HONEY-POTS Para más información sobre los honey-pots leer, este artículo, que es de lo mejor que se encuentra en internet, para hacerse una idea general y bien estructurada, sobre lo que son, s on, los tipos y cuales son sus funciones. http://www.inteco.es/Seguridad/Observatorio/Articulos/honeypots_monitorizando_ http://www.inteco.es/Seguridad/Observatorio/Articulos/hon eypots_monitorizando_atacan atacan tes
HoneyBOT
¿CÓMO FUNCIONA? HoneyBOT imita y escucha servicios servicios vulnerables. Cuando un atacante se conecta a estos servicios es engañado, haciéndole creer que está atacando a un servidor real. El honeypot capta todas las comunicaciones con el atacante y registra los resultados para el análisis futuro. En caso de que un atacante intentara explotar o subir un rootkit, o un troyano en el servidor, “honeypot” puede almacenar estos archivos en su equipo para la recolección de
malware y el propósito del análisis. COLOCACIÓN DEL HONEYPOT Una organización puede colocar un “honeypot” dentro de su red interna, asegurada por su defensa de perímetro en la que nunca debería de ser atacado. Cualquier tráfico capturado en el honeypot en esta situación indicaría que otro equipo dentro de la red ya está infectado con un virus o un gusano, o incluso que un empleado de la compañía está tratando de entrar en el equipo. Otro método consiste en conectar el honeypot directamente a Internet, que suele desembocar en el tráfico de red r ed malicioso capturado en cuestión de minutos. Una conexión directa es la configuración más básica para los usuarios “honeypot” y en este escenario el
equipo honeypot se coloca externo a sus sistemas de producción y se le asigna una dirección IP pública. La opción más popular de la colocación de Honey Pot para los usuarios de Internet es colocar el equipo trampa en tu red DMZ (Anfitriones bastión), donde todos los sondeos de Internet no solicitados son enviados al ordenador honeypot SEGUNDO DE ASIR
Página 3
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
PREPARACION PRÁCTICA PREPARAMOS NUESTRA MAQUINA: ASEGURAR HONEYPOT Un honeypot es intencionalmente poner en peligro por lo que es fundamental llevar a cabo algunas medidas de seguridad en el equipo “honeypot” antes del despliegue en cualquier
red. Esto incluye la actualización de su sistema operativo con todas las actualizaciones y parches de seguridad y el uso de un producto antivirus actualizado. 1-Lo primero que comprobamos es nuestra IP de la máquina donde vamos a instalar el 1-Lo honeypot, para obtenerla, con el comando ipconfig si si no la sabíamos, como vemos la ip que que tenemos es la 192.168.1.37
2-Lo 2Lo segundo que tenemos que hacer es actualizar nuestro sistema operativo
3-Instalar 3Instalar un antivirus de calidad. (NOD 32 5.0.95)
SEGUNDO DE ASIR
Página 4
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
4-Configurarlo 4Configurarlo para que permita las conexiones salientes y entrantes
5-Actualizar 5Actualizar dicho antivirus.
SEGUNDO DE ASIR
Página 5
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
DESCARGANDO E INSTALANDO HONEYBOT Nos lo descargamos de la siguiente página Web http://www.atomicsoftwaresolutions.com/download.php
Una vez que estamos dentro de la página web, nos descargamos la última versión del programa.
Guardamos el archivo
Y procedemos con la ejecución ej ecución del programa, para que se lleve a cabo la instalación
SEGUNDO DE ASIR
Página 6
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
Nos pedirá la ruta donde lo queremos instalar y pulsaremos en siguiente
Una vez hecho esto, nos indicara la ruta, y los componentes que se van a instalar, lo que tendremos que hacer, es pulsar en install, para que se lleve a cabo la instalación.
SEGUNDO DE ASIR
Página 7
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
NOS FAMILIARIZAMOS CON LA ESTRUCTURA Una vez que lo hemos instalado, si nos vamos a la ruta donde hemos instalado el programa, tendremos varias carpetas:
CAPTURES: donde se guardaran los troyanos y demás archivos que yegen a nuestro servidor, no se permitirá su ejecución ej ecución y se hará un análisis a nálisis exhaustivo de ellos.
EXPORTS: serán los logs en formato .csv
HTML: la carpeta donde configuraremos, el mensaje a mostrar de la web, modificaremos los errores famosos como el 404…
SEGUNDO DE ASIR
Página 8
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
LOGS: donde se guardaran los logs.
CONFIG: el archivo de configuración, el cuál es mejor no toca rlo ya que todos estos parámetros les podremos configurar en la intergaz gráfica. gráfica .
SERVICE: donde indicaremos los programas que corren en cada purto, o desactivaremos los que queramos.
SEGUNDO DE ASIR
Página 9
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
WHITELIST: la lista blanca.
SEGUNDO DE ASIR
Página 10
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
LO EJECUTAMOS Y CONFIGURAMOS GRAFICAMENTE Una vez hecho esto procederemos a la ejecución de Honey-Bot y le diremos que si a la configuración.
En la pestaña general: -Diremos que si queremos que se inicie al cargarlo automáticamente. - Si queremos que por cada captura, nos alerte con un sonido, mejor desactivar esta opción porque es muy molesta. -Si deseamos capturar binarios, esto capturara todos los troyanos y demás que se nos lancen, para ser analizados. -También pondremos el nombre de nuestro servidor.
SEGUNDO DE ASIR
Página 11
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
En la pestaña Email Alert Podremos configurarlo, para que nos envíe las alertas mediante m ediante mensajes de correo electrónico.
En la pestaña Exports -La forma de exportar los logs. -Y si queremos subirlo al servidor, y formar f ormar parte de la comunidad, para elaborar las estadísticas sobre ataques, que se suelen producir, cuales son los más comunes….
SEGUNDO DE ASIR
Página 12
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
En la pestaña Updates -Marcaremos si queremos recibir o no, actualizaciones del producto, cuando se publiquen, es recomendable tenerla activada.
Al trabajar sobre más de una ip,(la nuestra, más la IP que tiene virtualbox) tendremos que poner la nuestra, la que va a hacer de honeypot
SEGUNDO DE ASIR
Página 13
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
ATACANTE 1 ANFITRION WINDOWS 7 COMPROBAMOS LA IP DEL ATACANTE Vemos que tenemos en el ordenador la ip 192.168.1.34
ACCEDIENDO AL SERVIDOR WEB Accedemos al servicio web simulado
Veremos los accesos, que se están teniendo, desde que IP, los Bytes que se transmiten, la hora…
SEGUNDO DE ASIR
Página 14
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
INFORMACION QUE NOS CAPTURA EL HONEYPOT También podríamos pulsar sobre el botón derecho y pulsar en dos opciones fundamentales. View details y Reverse DNS.
VIEW DETAILS Aquí podremos ver valiosa información sobre el posible atacante 1. En la parte izquierda de la imagen, veremos los detalles del paquete seleccionado. 2. En la parte derecha veremos, tanto la información de lo que ha enviado el atacante, como la que le hemos enviado nosotros (Microsoft IIS 5.0 Error/404) 3. Y por último en la parte de abajo vemos de nuevo la información que nos ha enviado el atacante, como he indicado en el punto anterior, pero completa y como podemos ver algo de información nos da. -El protocolo utilizado -El host donde se ha realizado -La versión de Windows NT 6.1= Windows7
WOW64=Indica que es una versión de 64bits
-Que navegador y que versión corre: Firefox en si versión 10.0.0.2
SEGUNDO DE ASIR
Página 15
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
REVERSE DNS El DNS inverso (Reverse DNS) realiza lo contrario de lo que hace el DNS directo; asocia direcciones IP con nombres de máquinas y como vemos al resolverlo, nos proporciona el nombre de la máquina atacante, que como podemos ver es JAVI-PC, JAVI-PC , lo cual nos esta ya dando un posible nombre del atacante, en este caso.
Comprobamos en el equipo atacante que esta información es cierta y vemos que así es.
Cada vez que recibimos una conexión c onexión nueva en nuestro honeypot, a un puerto determinado, este aparecerá en la ventana izquierda , al igual que cuando se hace una conexión desde otro equipo aparecerá en remotes, como hasta ahora solo ha recibido una conexon desde el puerto 80 desde el equipo con Windows 7 obtenemos esta imagen.
SEGUNDO DE ASIR
Página 16
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
ESCANEO COMPLETO CON NMAP Ahora lo siguiente que vamos a hacer también desde Windows 7 será pasar un Nmap
Nos aparece un mensaje en el equipo victima, de que se está realizando un escaneo de puertos, gracias al antivirus. Pero no lo bloque, solo nos advierte. Mientras tanto, nuestro Honey pot ya está haciendo su trabajo
Una vez que Nmap ha terminado el análisis veremos los puertos abiertos, aunque aquí en la imagen solo vemos unos cuantos y los servicios que emulados que están corriendo en ellos, al igual que nuestro el nombre de nuestro servidor.
SEGUNDO DE ASIR
Página 17
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
Veremos también la información del sistema sistem a operativo que se está emulando, un Windows server 2003 con service Pack 2.
INFORMACION OBTENIDA CON EL HONEYPOT -Veremos todos los ataque que hemos recibido y sobre que puertos. -Se vemos con detalle alguno de estos escaneos veremos el nombre del servidor y la información del sistema operativo, la saca, porque es lo que está enviando nuestro honeypot.
SEGUNDO DE ASIR
Página 18
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
ACCEDIENDO AL SERVICIO FTP Ahora probaremos otro servicio, el servicio FTP, para ello volvemos al navegador e intentamos acceder. Veremos como se nos pide que introduzcamos nombre de usuario y la contraseña, escribimos Javier como nombre de usuario y contraseña… la archiconocida durante todo el
año, asir2012.
Al pulsar en aceptar, veremos que se nos deniega el acceso.
SEGUNDO DE ASIR
Página 19
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
INFORMACION OBTENIDA CON NUESTRO HONEYPOT Si vamos al equipo de nuestro honeypot, veremos que el ataque de intento de acceso ha sido detectado.
Pero nosotros queremos ver los detalles asique como hemos dicho anteriormente en esta práctica y ya lo sabemos, s abemos, pulsamos el botón derecho y detalles. Podemos ver, tanto el usuario con el e l que nos hemos querido loguear, como la contraseña utilizada para el intento.
SEGUNDO DE ASIR
Página 20
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
ANALISIS CON ACCUNETIX Ejecutamos acunnetix y hacemos un análisis a la “web”.
Vemos como nos dice que el sistema operativo es Windows, pero no nos dice que versión, y vemos como también nos dice que el servidor web es II5.0
Configuraremos en las opciones, dándole un método extensivo, pero quitando el escaneo de puertos, porque para ello ya hemos utilizado Nmap.
SEGUNDO DE ASIR
Página 21
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
QUE VEREMOS EN NUESTRO HONEYPOT DURANTE EL ATAQUE Podremos ver, todos los que se está realizando y a qué hora, la dirección de origen y la dirección que de destino que no es ni más ni menos que la máquina donde tenemos nuestro honeypot, también veremos el protocolo utilizado, y el puerto por el que se está llevando dicho ataque.
Si pulsamos en detalle sobre cualquiera de ellos, vemos detalles del ataque. -Se está utilizando el método POST. -Veríamos también la ruta, en la que se está haciendo el ataque /admin/index.php -Por ultimo podemos observar también, el tipo de ataque, el cual es un ataque XSS. X SS.
Como hemos podido observar a Accunetix le cuesta hacer este análisis y en 30 minutos, solo ha sido capaz de llegar al 50% de este. Y como podemos observar desde nuestro honeypot, cada vez es más largo el intervalo de tiempo entre un ataque y otro, Asique lo dejamos aquí.
SEGUNDO DE ASIR
Página 22
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
ATACANTE 2 BACKTRACK5 R1 El atacante 2 va a ser una máquina Backtrack 5 con la IP 192.168.1.39
ACCEDIENDO AL SERVICIO TELNET Vamos a hacer lo mismo que en el ejemplo de FTP o del servicio IIS en windows7(atacante1), pero contra otro servicio, en este caso, contra telnet. Para ello abrimos una consola y escribimos en ella telnet 192.168.1.37 vemos como nos pide el usuario y después la contraseña, como vemos al ser “incorrectas” nos echa del sistema.
SEGUNDO DE ASIR
Página 23
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
INFORMACION QUE OBTENEMOS CON NUESTRO HONEYPOT Nos dirigimos a nuestro Honeypot y vemos que nuestro ataque, ha sido detectado.
Volvemos como en el caso anterior a mirar los detalles y veremos el nombre de usuario introducido por el atacante y la contraseña. c ontraseña.
SEGUNDO DE ASIR
Página 24
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
VALHALA HONEYPOT
Lo primero que hacemos será descargarnos el software de la web oficial, para ello pincharemos en el siguiente enlace. http://sourceforge.net/projects/valhalahoneypot/
Una vez que hemos entrado en la página lo que tenemos que hacer, es descargar la última versión estable de este.
Lo que nos descargamos, es el programa, una de sus características es que no requiere de instalación, y para empezar a utilizarlo, basta solo con ejecutarlo.
SEGUNDO DE ASIR
Página 25
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
CONFIGURACION DE VALHALA Una vez que hemos ejecutado el programa, veremos la siguiente ventana, en esta ventana, nos van a interesar sobretodo dos botones de los presentes, el botón Options y el botón Server Config.
OPTIONS Aquí veremos distintas opciones de configuración, entre las que cabe destacar, el envío de emails, si ese email requiere autenticación, cada cuanto tiempo se envía y también podremos configurar las actualizaciones habilitar puertos extras y otras opciones como hacer que se inicie con Windows, ejecutarlo en modo oculto…
SEGUNDO DE ASIR
Página 26
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
SERVER-CONFIG Aquí tendremos la siguiente ventana que podemos ver en la imagen que esta a continuación, en ella podremos configurar cada servicio, por el puerto que va a correr y diferentes opciones, que el programa nos ofrecerá, dependiendo del servicio a emular, hay que tener en cuenta, que se pueden activar todos a la vez.
SEGUNDO DE ASIR
Página 27
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
CONFIGURAMOS TELNET 1-En el recuadro uno, podemos especificar el tipo de puerto por el que va a correr el servicio, 1-En que no requiera autenticación o ponerle la que queramos, y el tipo de Windows a imitar. 2-Aquí pondremos la letra, a la que pertenece nuestro disco duro y su número de serie, 2-Aquí también el nombre de este. 3-Aquí diremos la fecha de creación de las carpetas, “carpetas que no existen y que podrán 3-Aquí contener los archivos que marquemos a la derecha, marcaremos el espacio libre que tendremos en nuestro disco duro virtual emulado, y la fecha f echa de creación de estas carpetas. 4-Aquí 4Aquí es donde tendremos el valor valor de la Mac,nuestro DNS, y NIC.
Una vez hecho esto, para que tenga efecto, pulsaremos la pestaña de Monitoring.
SEGUNDO DE ASIR
Página 28
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
ATACANTE 2 BACKTRACK5 R1 Recordemos que la máquina Backtrack 5 tiene la IP 192.168.1.39
Nos dirigimos a ella abriremos una nueva consola y escribiremos en ella telnet seguido de la ip donde tenemos nuestro honeypot y el puerto por el que esta corriendo, que no es otro que por el que corre telnet normalmente.
Como podemos ver, el supuesto atacante habría ganado acceso y podría ver el contenido del “disco duro”
SEGUNDO DE ASIR
Página 29
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
Podríamos navegar sin problema, entre las carpetas y listar su contenido, que en nuesto caso cas o no hemos insertado ninguno, pero podríamos haberlo hecho en la configuración añadiendo de los .txt predeterminados.
Claramente a las que hayamos negado el acceso desde la configuración…no configuración…no nos dejara
entrar.
Si ejecutamos el comando para ver la versión de Windows…. Saldrá la que nosotros hemos
indicado.
Y si hacemos un ipconfig, veremos que la información, que se proporciona al atacante, también es la que nosotros hemos indicado: IP, DNS, MAC, NIC…
SEGUNDO DE ASIR
Página 30
[HONEYPOT] HONEYPOT]
7 de marzo de 2012
Si nos vamos a la ventana de Valhala, veremos la IP desde la que se han realizado los ataques y cada comando utilizado.
SEGUNDO DE ASIR
Página 31
View more...
Comments
