Instalación de Honeypots y su uso
-
Upload
javierasir2012 -
Category
Documents
-
view
258 -
download
0
description
Transcript of Instalación de Honeypots y su uso
HONEYPOT
2012
Javier García Cambronel SEGUNDO DE ASIR
07/03/2012
Félix María Samaniego, Las moscas (fragmento):
A un panal de rica miel,
dos mil moscas acudieron,
que por golosas murieron,
presas de patas en él.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 1
HONEYPOTS, QUE SON Y TIPOS
HONEYBOT
PREPARACION PRÁCTICA
ATACANTE 1 ANFITRION WINDOWS 7
ATACANTE 2 BACKTRACK5 R1
VALHALA HONEYPOT
CONFIGURACION
ATACANTE 2 BACKTRACK5 R1
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 2
HONEYPOTS, QUE SON Y TIPOS
Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a
atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta
de seguridad informática utilizada para recoger información sobre los atacantes y sus
técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes
del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de
permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.
Algunos honeypots son programas que se limitan a simular sistemas operativos no
existentes en la realidad y se les conoce como honeypots de baja interacción y son usados
fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas
operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de
investigación y se los conoce como honeypots de alta interacción.
Un tipo especial de honeypot de baja interacción son los sticky honeypots (honeypots
pegajosos) cuya misión fundamental es la de reducir la velocidad de los ataques
automatizados y los rastreos.
En el grupo de los honeypot de alta interacción nos encontramos también con los honeynet.
También se llama honeypot a un website o sala de chat, que se ha creado para descubrir a
otro tipo de usuarios con intenciones criminales, (e.j., pedofilia).
HISTORIA Y ORÍGENES
Lance Spitzner, consultor y analista informático experto en seguridad, construyó a comienzos
del año 2000 una red de seis ordenadores en su propia casa. Esta red la diseñó para estudiar
el comportamiento y formas de actuación de los atacantes. Fue de los primeros
investigadores en adoptar la idea, y hoy es uno de los mayores expertos en honeypots,
precursor del proyecto honeynet (www.honeynet.org), en marcha desde 1999, y autor del
libro "Honeypots: Tracking Hackers”.
Su sistema estuvo durante casi un año de prueba, desde abril del 2000 a febrero de 2001,
guardando toda la información que se generaba. Los resultados hablaban por sí solos: en los
momentos de mayor intensidad de los ataques, comprobaba que las vías de acceso más
comunes a los equipos de su casa eran escaneadas, desde el exterior de su red, hasta 14
veces al día, utilizando herramientas de ataque automatizadas.
Desde entonces, se ha creado toda una comunidad de desarrolladores aglutinados alrededor
de honeynet.org que ofrecen todo tipo de herramientas y consejos para utilizar estas
herramientas.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 3
MAS INFORMACION SOBRE HONEY-POTS
Para más información sobre los honey-pots leer, este artículo, que es de lo mejor que se
encuentra en internet, para hacerse una idea general y bien estructurada, sobre lo que son,
los tipos y cuales son sus funciones.
http://www.inteco.es/Seguridad/Observatorio/Articulos/honeypots_monitorizando_atacan
tes
HoneyBOT
¿CÓMO FUNCIONA?
HoneyBOT imita y escucha servicios vulnerables. Cuando un atacante se conecta a estos
servicios es engañado, haciéndole creer que está atacando a un servidor real. El honeypot
capta todas las comunicaciones con el atacante y registra los resultados para el análisis
futuro. En caso de que un atacante intentara explotar o subir un rootkit, o un troyano en el
servidor, “honeypot” puede almacenar estos archivos en su equipo para la recolección de
malware y el propósito del análisis.
COLOCACIÓN DEL HONEYPOT
Una organización puede colocar un “honeypot” dentro de su red interna, asegurada por su
defensa de perímetro en la que nunca debería de ser atacado. Cualquier tráfico capturado en
el honeypot en esta situación indicaría que otro equipo dentro de la red ya está infectado
con un virus o un gusano, o incluso que un empleado de la compañía está tratando de entrar
en el equipo.
Otro método consiste en conectar el honeypot directamente a Internet, que suele
desembocar en el tráfico de red malicioso capturado en cuestión de minutos. Una conexión
directa es la configuración más básica para los usuarios “honeypot” y en este escenario el
equipo honeypot se coloca externo a sus sistemas de producción y se le asigna una dirección
IP pública.
La opción más popular de la colocación de Honey Pot para los usuarios de Internet es colocar
el equipo trampa en tu red DMZ (Anfitriones bastión), donde todos los sondeos de Internet
no solicitados son enviados al ordenador honeypot
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 4
PREPARACION PRÁCTICA
PREPARAMOS NUESTRA MAQUINA: ASEGURAR HONEYPOT
Un honeypot es intencionalmente poner en peligro por lo que es fundamental llevar a cabo
algunas medidas de seguridad en el equipo “honeypot” antes del despliegue en cualquier
red. Esto incluye la actualización de su sistema operativo con todas las actualizaciones y
parches de seguridad y el uso de un producto antivirus actualizado.
1-Lo primero que comprobamos es nuestra IP de la máquina donde vamos a instalar el
honeypot, para obtenerla, con el comando ipconfig si no la sabíamos, como vemos la ip que
tenemos es la 192.168.1.37
2-Lo segundo que tenemos que hacer es actualizar nuestro sistema operativo
3-Instalar un antivirus de calidad. (NOD 32 5.0.95)
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 5
4-Configurarlo para que permita las conexiones salientes y entrantes
5-Actualizar dicho antivirus.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 6
DESCARGANDO E INSTALANDO HONEYBOT
Nos lo descargamos de la siguiente página Web
http://www.atomicsoftwaresolutions.com/download.php
Una vez que estamos dentro de la página web, nos descargamos la última versión del
programa.
Guardamos el archivo
Y procedemos con la ejecución del programa, para que se lleve a cabo la instalación
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 7
Nos pedirá la ruta donde lo queremos instalar y pulsaremos en siguiente
Una vez hecho esto, nos indicara la ruta, y los componentes que se van a instalar, lo que
tendremos que hacer, es pulsar en install, para que se lleve a cabo la instalación.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 8
NOS FAMILIARIZAMOS CON LA ESTRUCTURA
Una vez que lo hemos instalado, si nos vamos a la ruta donde hemos instalado el programa,
tendremos varias carpetas:
CAPTURES: donde se guardaran los troyanos y demás archivos que yegen a nuestro servidor,
no se permitirá su ejecución y se hará un análisis exhaustivo de ellos.
EXPORTS: serán los logs en formato .csv
HTML: la carpeta donde configuraremos, el mensaje a mostrar de la web, modificaremos los
errores famosos como el 404…
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 9
LOGS: donde se guardaran los logs.
CONFIG: el archivo de configuración, el cuál es mejor no tocarlo ya que todos estos
parámetros les podremos configurar en la intergaz gráfica.
SERVICE: donde indicaremos los programas que corren en cada purto, o desactivaremos los
que queramos.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 10
WHITELIST: la lista blanca.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 11
LO EJECUTAMOS Y CONFIGURAMOS GRAFICAMENTE
Una vez hecho esto procederemos a la ejecución de Honey-Bot y le diremos que si a la
configuración.
En la pestaña general:
-Diremos que si queremos que se inicie al cargarlo automáticamente.
- Si queremos que por cada captura, nos alerte con un sonido, mejor desactivar esta opción
porque es muy molesta.
-Si deseamos capturar binarios, esto capturara todos los troyanos y demás que se nos
lancen, para ser analizados.
-También pondremos el nombre de nuestro servidor.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 12
En la pestaña Email Alert
Podremos configurarlo, para que nos envíe las alertas mediante mensajes de correo
electrónico.
En la pestaña Exports
-La forma de exportar los logs.
-Y si queremos subirlo al servidor, y formar parte de la comunidad, para elaborar las
estadísticas sobre ataques, que se suelen producir, cuales son los más comunes….
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 13
En la pestaña Updates
-Marcaremos si queremos recibir o no, actualizaciones del producto, cuando se publiquen, es
recomendable tenerla activada.
Al trabajar sobre más de una ip,(la nuestra, más la IP que tiene virtualbox) tendremos que
poner la nuestra, la que va a hacer de honeypot
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 14
ATACANTE 1 ANFITRION WINDOWS 7
COMPROBAMOS LA IP DEL ATACANTE
Vemos que tenemos en el ordenador la ip 192.168.1.34
ACCEDIENDO AL SERVIDOR WEB
Accedemos al servicio web simulado
Veremos los accesos, que se están teniendo, desde que IP, los Bytes que se transmiten, la
hora…
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 15
INFORMACION QUE NOS CAPTURA EL HONEYPOT
También podríamos pulsar sobre el botón derecho y pulsar en dos opciones fundamentales.
View details y Reverse DNS.
VIEW DETAILS
Aquí podremos ver valiosa información sobre el posible atacante
1. En la parte izquierda de la imagen, veremos los detalles del paquete seleccionado.
2. En la parte derecha veremos, tanto la información de lo que ha enviado el atacante, como
la que le hemos enviado nosotros (Microsoft IIS 5.0 Error/404)
3. Y por último en la parte de abajo vemos de nuevo la información que nos ha enviado el
atacante, como he indicado en el punto anterior, pero completa y como podemos ver algo
de información nos da.
-El protocolo utilizado
-El host donde se ha realizado
-La versión de Windows NT 6.1= Windows7 WOW64=Indica que es una versión de 64bits
-Que navegador y que versión corre: Firefox en si versión 10.0.0.2
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 16
REVERSE DNS
El DNS inverso (Reverse DNS) realiza lo contrario de lo que hace el DNS directo; asocia
direcciones IP con nombres de máquinas y como vemos al resolverlo, nos proporciona el
nombre de la máquina atacante, que como podemos ver es JAVI-PC, lo cual nos esta ya
dando un posible nombre del atacante, en este caso.
Comprobamos en el equipo atacante que esta información es cierta y vemos que así es.
Cada vez que recibimos una conexión nueva en nuestro honeypot, a un puerto determinado,
este aparecerá en la ventana izquierda , al igual que cuando se hace una conexión desde otro
equipo aparecerá en remotes, como hasta ahora solo ha recibido una conexon desde el
puerto 80 desde el equipo con Windows 7 obtenemos esta imagen.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 17
ESCANEO COMPLETO CON NMAP
Ahora lo siguiente que vamos a hacer también desde Windows 7 será pasar un Nmap
Nos aparece un mensaje en el equipo victima, de que se está realizando un escaneo de
puertos, gracias al antivirus. Pero no lo bloque, solo nos advierte.
Mientras tanto, nuestro Honey pot ya está haciendo su trabajo
Una vez que Nmap ha terminado el análisis veremos los puertos abiertos, aunque aquí en la
imagen solo vemos unos cuantos y los servicios que emulados que están corriendo en ellos,
al igual que nuestro el nombre de nuestro servidor.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 18
Veremos también la información del sistema operativo que se está emulando, un Windows
server 2003 con service Pack 2.
INFORMACION OBTENIDA CON EL HONEYPOT
-Veremos todos los ataque que hemos recibido y sobre que puertos.
-Se vemos con detalle alguno de estos escaneos veremos el nombre del servidor y la
información del sistema operativo, la saca, porque es lo que está enviando nuestro
honeypot.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 19
ACCEDIENDO AL SERVICIO FTP
Ahora probaremos otro servicio, el servicio FTP, para ello volvemos al navegador e
intentamos acceder.
Veremos como se nos pide que introduzcamos nombre de usuario y la contraseña,
escribimos Javier como nombre de usuario y contraseña… la archiconocida durante todo el
año, asir2012.
Al pulsar en aceptar, veremos que se nos deniega el acceso.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 20
INFORMACION OBTENIDA CON NUESTRO HONEYPOT
Si vamos al equipo de nuestro honeypot, veremos que el ataque de intento de acceso ha
sido detectado.
Pero nosotros queremos ver los detalles asique como hemos dicho anteriormente en esta
práctica y ya lo sabemos, pulsamos el botón derecho y detalles.
Podemos ver, tanto el usuario con el que nos hemos querido loguear, como la contraseña
utilizada para el intento.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 21
ANALISIS CON ACCUNETIX
Ejecutamos acunnetix y hacemos un análisis a la “web”.
Vemos como nos dice que el sistema operativo es Windows, pero no nos dice que versión, y
vemos como también nos dice que el servidor web es II5.0
Configuraremos en las opciones, dándole un método extensivo, pero quitando el escaneo de
puertos, porque para ello ya hemos utilizado Nmap.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 22
QUE VEREMOS EN NUESTRO HONEYPOT DURANTE EL ATAQUE
Podremos ver, todos los que se está realizando y a qué hora, la dirección de origen y la
dirección que de destino que no es ni más ni menos que la máquina donde tenemos nuestro
honeypot, también veremos el protocolo utilizado, y el puerto por el que se está llevando
dicho ataque.
Si pulsamos en detalle sobre cualquiera de ellos, vemos detalles del ataque.
-Se está utilizando el método POST.
-Veríamos también la ruta, en la que se está haciendo el ataque /admin/index.php
-Por ultimo podemos observar también, el tipo de ataque, el cual es un ataque XSS.
Como hemos podido observar a Accunetix le cuesta hacer este análisis y en 30 minutos, solo
ha sido capaz de llegar al 50% de este. Y como podemos observar desde nuestro honeypot,
cada vez es más largo el intervalo de tiempo entre un ataque y otro, Asique lo dejamos aquí.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 23
ATACANTE 2 BACKTRACK5 R1
El atacante 2 va a ser una máquina Backtrack 5 con la IP 192.168.1.39
ACCEDIENDO AL SERVICIO TELNET
Vamos a hacer lo mismo que en el ejemplo de FTP o del servicio IIS en windows7(atacante1),
pero contra otro servicio, en este caso, contra telnet.
Para ello abrimos una consola y escribimos en ella telnet 192.168.1.37 vemos como nos pide
el usuario y después la contraseña, como vemos al ser “incorrectas” nos echa del sistema.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 24
INFORMACION QUE OBTENEMOS CON NUESTRO HONEYPOT
Nos dirigimos a nuestro Honeypot y vemos que nuestro ataque, ha sido detectado.
Volvemos como en el caso anterior a mirar los detalles y veremos el nombre de usuario
introducido por el atacante y la contraseña.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 25
VALHALA HONEYPOT
Lo primero que hacemos será descargarnos el software de la web oficial, para ello
pincharemos en el siguiente enlace.
http://sourceforge.net/projects/valhalahoneypot/
Una vez que hemos entrado en la página lo que tenemos que hacer, es descargar la última
versión estable de este.
Lo que nos descargamos, es el programa, una de sus características es que no requiere de
instalación, y para empezar a utilizarlo, basta solo con ejecutarlo.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 26
CONFIGURACION DE VALHALA
Una vez que hemos ejecutado el programa, veremos la siguiente ventana, en esta ventana,
nos van a interesar sobretodo dos botones de los presentes, el botón Options y el botón
Server Config.
OPTIONS
Aquí veremos distintas opciones de configuración, entre las que cabe destacar, el envío de
emails, si ese email requiere autenticación, cada cuanto tiempo se envía y también
podremos configurar las actualizaciones habilitar puertos extras y otras opciones como hacer
que se inicie con Windows, ejecutarlo en modo oculto…
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 27
SERVER-CONFIG
Aquí tendremos la siguiente ventana que podemos ver en la imagen que esta a continuación,
en ella podremos configurar cada servicio, por el puerto que va a correr y diferentes
opciones, que el programa nos ofrecerá, dependiendo del servicio a emular, hay que tener
en cuenta, que se pueden activar todos a la vez.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 28
CONFIGURAMOS TELNET
1-En el recuadro uno, podemos especificar el tipo de puerto por el que va a correr el servicio,
que no requiera autenticación o ponerle la que queramos, y el tipo de Windows a imitar.
2-Aquí pondremos la letra, a la que pertenece nuestro disco duro y su número de serie,
también el nombre de este.
3-Aquí diremos la fecha de creación de las carpetas, “carpetas que no existen y que podrán
contener los archivos que marquemos a la derecha, marcaremos el espacio libre que
tendremos en nuestro disco duro virtual emulado, y la fecha de creación de estas carpetas.
4-Aquí es donde tendremos el valor de la Mac,nuestro DNS, y NIC.
Una vez hecho esto, para que tenga efecto, pulsaremos la pestaña de Monitoring.
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 29
ATACANTE 2 BACKTRACK5 R1
Recordemos que la máquina Backtrack 5 tiene la IP 192.168.1.39
Nos dirigimos a ella abriremos una nueva consola y escribiremos en ella telnet seguido de la
ip donde tenemos nuestro honeypot y el puerto por el que esta corriendo, que no es otro
que por el que corre telnet normalmente.
Como podemos ver, el supuesto atacante habría ganado acceso y podría ver el contenido del
“disco duro”
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 30
Podríamos navegar sin problema, entre las carpetas y listar su contenido, que en nuesto caso
no hemos insertado ninguno, pero podríamos haberlo hecho en la configuración añadiendo
de los .txt predeterminados.
Claramente a las que hayamos negado el acceso desde la configuración…no nos dejara
entrar.
Si ejecutamos el comando para ver la versión de Windows…. Saldrá la que nosotros hemos
indicado.
Y si hacemos un ipconfig, veremos que la información, que se proporciona al atacante,
también es la que nosotros hemos indicado: IP, DNS, MAC, NIC…
[HONEYPOT] 7 de marzo de 2012
SEGUNDO DE ASIR Página 31
Si nos vamos a la ventana de Valhala, veremos la IP desde la que se han realizado los
ataques y cada comando utilizado.