2012

HONEYPOT

Flix Mara Samaniego, Las moscas (fragmento): A un panal de rica miel, dos mil moscas acudieron, que por golosas murieron, presas de patas en l.

Javier Garca Cambronel SEGUNDO DE ASIR 07/03/2012

[HONEYPOT] 7 de marzo de 2012

HONEYPOTS, QUE SON Y TIPOS

HONEYBOT
PREPARACION PRCTICA ATACANTE 1 ANFITRION WINDOWS 7 ATACANTE 2 BACKTRACK5 R1

VALHALA HONEYPOT CONFIGURACION ATACANTE 2 BACKTRACK5 R1

SEGUNDO DE ASIR

Pgina 1

[HONEYPOT] 7 de marzo de 2012

HONEYPOTS, QUE SON Y TIPOS

Se denomina honeypot al software o conjunto de computadores cuya intencin es atraer a atacantes, simulando ser sistemas vulnerables o dbiles a los ataques. Es una herramienta de seguridad informtica utilizada para recoger informacin sobre los atacantes y sus tcnicas. Los honeypots pueden distraer a los atacantes de las mquinas ms importantes del sistema, y advertir rpidamente al administrador del sistema de un ataque, adems de permitir un examen en profundidad del atacante, durante y despus del ataque al honeypot. Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interaccin y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha ms informacin; sus fines suelen ser de investigacin y se los conoce como honeypots de alta interaccin. Un tipo especial de honeypot de baja interaccin son los sticky honeypots (honeypots pegajosos) cuya misin fundamental es la de reducir la velocidad de los ataques automatizados y los rastreos. En el grupo de los honeypot de alta interaccin nos encontramos tambin con los honeynet. Tambin se llama honeypot a un website o sala de chat, que se ha creado para descubrir a otro tipo de usuarios con intenciones criminales, (e.j., pedofilia).

HISTORIA Y ORGENES
Lance Spitzner, consultor y analista informtico experto en seguridad, construy a comienzos del ao 2000 una red de seis ordenadores en su propia casa. Esta red la dise para estudiar el comportamiento y formas de actuacin de los atacantes. Fue de los primeros investigadores en adoptar la idea, y hoy es uno de los mayores expertos en honeypots, precursor del proyecto honeynet (www.honeynet.org), en marcha desde 1999, y autor del libro "Honeypots: Tracking Hackers. Su sistema estuvo durante casi un ao de prueba, desde abril del 2000 a febrero de 2001, guardando toda la informacin que se generaba. Los resultados hablaban por s solos: en los momentos de mayor intensidad de los ataques, comprobaba que las vas de acceso ms comunes a los equipos de su casa eran escaneadas, desde el exterior de su red, hasta 14 veces al da, utilizando herramientas de ataque automatizadas. Desde entonces, se ha creado toda una comunidad de desarrolladores aglutinados alrededor de honeynet.org que ofrecen todo tipo de herramientas y consejos para utilizar estas herramientas.

SEGUNDO DE ASIR

Pgina 2

[HONEYPOT] 7 de marzo de 2012

MAS INFORMACION SOBRE HONEY-POTS

Para ms informacin sobre los honey-pots leer, este artculo, que es de lo mejor que se encuentra en internet, para hacerse una idea general y bien estructurada, sobre lo que son, los tipos y cuales son sus funciones. http://www.inteco.es/Seguridad/Observatorio/Articulos/honeypots_monitorizando_atacan tes

HoneyBOT

CMO FUNCIONA? HoneyBOT imita y escucha servicios vulnerables. Cuando un atacante se conecta a estos servicios es engaado, hacindole creer que est atacando a un servidor real. El honeypot capta todas las comunicaciones con el atacante y registra los resultados para el anlisis futuro. En caso de que un atacante intentara explotar o subir un rootkit, o un troyano en el servidor, honeypot puede almacenar estos archivos en su equipo para la recoleccin de malware y el propsito del anlisis. COLOCACIN DEL HONEYPOT Una organizacin puede colocar un honeypot dentro de su red interna, asegurada por su defensa de permetro en la que nunca debera de ser atacado. Cualquier trfico capturado en el honeypot en esta situacin indicara que otro equipo dentro de la red ya est infectado con un virus o un gusano, o incluso que un empleado de la compaa est tratando de entrar en el equipo. Otro mtodo consiste en conectar el honeypot directamente a Internet, que suele desembocar en el trfico de red malicioso capturado en cuestin de minutos. Una conexin directa es la configuracin ms bsica para los usuarios honeypot y en este escenario el equipo honeypot se coloca externo a sus sistemas de produccin y se le asigna una direccin IP pblica. La opcin ms popular de la colocacin de Honey Pot para los usuarios de Internet es colocar el equipo trampa en tu red DMZ (Anfitriones bastin), donde todos los sondeos de Internet no solicitados son enviados al ordenador honeypot SEGUNDO DE ASIR Pgina 3

[HONEYPOT] 7 de marzo de 2012

PREPARACION PRCTICA
PREPARAMOS NUESTRA MAQUINA: ASEGURAR HONEYPOT
Un honeypot es intencionalmente poner en peligro por lo que es fundamental llevar a cabo algunas medidas de seguridad en el equipo honeypot antes del despliegue en cualquier red. Esto incluye la actualizacin de su sistema operativo con todas las actualizaciones y parches de seguridad y el uso de un producto antivirus actualizado. 1-Lo primero que comprobamos es nuestra IP de la mquina donde vamos a instalar el honeypot, para obtenerla, con el comando ipconfig si no la sabamos, como vemos la ip que tenemos es la 192.168.1.37

2-Lo segundo que tenemos que hacer es actualizar nuestro sistema operativo

3-Instalar un antivirus de calidad. (NOD 32 5.0.95)

SEGUNDO DE ASIR

Pgina 4

[HONEYPOT] 7 de marzo de 2012

4-Configurarlo para que permita las conexiones salientes y entrantes

5-Actualizar dicho antivirus.

SEGUNDO DE ASIR

Pgina 5

[HONEYPOT] 7 de marzo de 2012

DESCARGANDO E INSTALANDO HONEYBOT

Nos lo descargamos de la siguiente pgina Web http://www.atomicsoftwaresolutions.com/download.php

Una vez que estamos dentro de la pgina web, nos descargamos la ltima versin del programa.

Guardamos el archivo

Y procedemos con la ejecucin del programa, para que se lleve a cabo la instalacin

SEGUNDO DE ASIR

Pgina 6

[HONEYPOT] 7 de marzo de 2012

Nos pedir la ruta donde lo queremos instalar y pulsaremos en siguiente

Una vez hecho esto, nos indicara la ruta, y los componentes que se van a instalar, lo que tendremos que hacer, es pulsar en install, para que se lleve a cabo la instalacin.

SEGUNDO DE ASIR

Pgina 7

[HONEYPOT] 7 de marzo de 2012

NOS FAMILIARIZAMOS CON LA ESTRUCTURA

Una vez que lo hemos instalado, si nos vamos a la ruta donde hemos instalado el programa, tendremos varias carpetas:

CAPTURES: donde se guardaran los troyanos y dems archivos que yegen a nuestro servidor, no se permitir su ejecucin y se har un anlisis exhaustivo de ellos.

EXPORTS: sern los logs en formato .csv

HTML: la carpeta donde configuraremos, el mensaje a mostrar de la web, modificaremos los errores famosos como el 404

SEGUNDO DE ASIR

Pgina 8

[HONEYPOT] 7 de marzo de 2012

LOGS: donde se guardaran los logs.

CONFIG: el archivo de configuracin, el cul es mejor no tocarlo ya que todos estos parmetros les podremos configurar en la intergaz grfica.

SERVICE: donde indicaremos los programas que corren en cada purto, o desactivaremos los que queramos.

SEGUNDO DE ASIR

Pgina 9

[HONEYPOT] 7 de marzo de 2012

WHITELIST: la lista blanca.

SEGUNDO DE ASIR

Pgina 10

[HONEYPOT] 7 de marzo de 2012

LO EJECUTAMOS Y CONFIGURAMOS GRAFICAMENTE

Una vez hecho esto procederemos a la ejecucin de Honey-Bot y le diremos que si a la configuracin.

En la pestaa general: -Diremos que si queremos que se inicie al cargarlo automticamente. - Si queremos que por cada captura, nos alerte con un sonido, mejor desactivar esta opcin porque es muy molesta. -Si deseamos capturar binarios, esto capturara todos los troyanos y dems que se nos lancen, para ser analizados. -Tambin pondremos el nombre de nuestro servidor.

SEGUNDO DE ASIR

Pgina 11

[HONEYPOT] 7 de marzo de 2012

En la pestaa Email Alert Podremos configurarlo, para que nos enve las alertas mediante mensajes de correo electrnico.

En la pestaa Exports -La forma de exportar los logs. -Y si queremos subirlo al servidor, y formar parte de la comunidad, para elaborar las estadsticas sobre ataques, que se suelen producir, cuales son los ms comunes.

SEGUNDO DE ASIR

Pgina 12

[HONEYPOT] 7 de marzo de 2012

En la pestaa Updates -Marcaremos si queremos recibir o no, actualizaciones del producto, cuando se publiquen, es recomendable tenerla activada.

Al trabajar sobre ms de una ip,(la nuestra, ms la IP que tiene virtualbox) tendremos que poner la nuestra, la que va a hacer de honeypot

SEGUNDO DE ASIR

Pgina 13

[HONEYPOT] 7 de marzo de 2012

ATACANTE 1 ANFITRION WINDOWS 7

COMPROBAMOS LA IP DEL ATACANTE Vemos que tenemos en el ordenador la ip 192.168.1.34

ACCEDIENDO AL SERVIDOR WEB

Accedemos al servicio web simulado

Veremos los accesos, que se estn teniendo, desde que IP, los Bytes que se transmiten, la hora

SEGUNDO DE ASIR

Pgina 14

[HONEYPOT] 7 de marzo de 2012 INFORMACION QUE NOS CAPTURA EL HONEYPOT

Tambin podramos pulsar sobre el botn derecho y pulsar en dos opciones fundamentales. View details y Reverse DNS.

VIEW DETAILS Aqu podremos ver valiosa informacin sobre el posible atacante 1. En la parte izquierda de la imagen, veremos los detalles del paquete seleccionado. 2. En la parte derecha veremos, tanto la informacin de lo que ha enviado el atacante, como la que le hemos enviado nosotros (Microsoft IIS 5.0 Error/404) 3. Y por ltimo en la parte de abajo vemos de nuevo la informacin que nos ha enviado el atacante, como he indicado en el punto anterior, pero completa y como podemos ver algo de informacin nos da. -El protocolo utilizado -El host donde se ha realizado -La versin de Windows NT 6.1= Windows7 WOW64=Indica que es una versin de 64bits

-Que navegador y que versin corre: Firefox en si versin 10.0.0.2

SEGUNDO DE ASIR

Pgina 15

[HONEYPOT] 7 de marzo de 2012

REVERSE DNS El DNS inverso (Reverse DNS) realiza lo contrario de lo que hace el DNS directo; asocia direcciones IP con nombres de mquinas y como vemos al resolverlo, nos proporciona el nombre de la mquina atacante, que como podemos ver es JAVI-PC, lo cual nos esta ya dando un posible nombre del atacante, en este caso.

Comprobamos en el equipo atacante que esta informacin es cierta y vemos que as es.

Cada vez que recibimos una conexin nueva en nuestro honeypot, a un puerto determinado, este aparecer en la ventana izquierda , al igual que cuando se hace una conexin desde otro equipo aparecer en remotes, como hasta ahora solo ha recibido una conexon desde el puerto 80 desde el equipo con Windows 7 obtenemos esta imagen.

SEGUNDO DE ASIR

Pgina 16

[HONEYPOT] 7 de marzo de 2012

ESCANEO COMPLETO CON NMAP

Ahora lo siguiente que vamos a hacer tambin desde Windows 7 ser pasar un Nmap

Nos aparece un mensaje en el equipo victima, de que se est realizando un escaneo de puertos, gracias al antivirus. Pero no lo bloque, solo nos advierte. Mientras tanto, nuestro Honey pot ya est haciendo su trabajo

Una vez que Nmap ha terminado el anlisis veremos los puertos abiertos, aunque aqu en la imagen solo vemos unos cuantos y los servicios que emulados que estn corriendo en ellos, al igual que nuestro el nombre de nuestro servidor.

SEGUNDO DE ASIR

Pgina 17

[HONEYPOT] 7 de marzo de 2012

Veremos tambin la informacin del sistema operativo que se est emulando, un Windows server 2003 con service Pack 2.

INFORMACION OBTENIDA CON EL HONEYPOT

-Veremos todos los ataque que hemos recibido y sobre que puertos. -Se vemos con detalle alguno de estos escaneos veremos el nombre del servidor y la informacin del sistema operativo, la saca, porque es lo que est enviando nuestro honeypot.

SEGUNDO DE ASIR

Pgina 18

[HONEYPOT] 7 de marzo de 2012

ACCEDIENDO AL SERVICIO FTP

Ahora probaremos otro servicio, el servicio FTP, para ello volvemos al navegador e intentamos acceder. Veremos como se nos pide que introduzcamos nombre de usuario y la contrasea, escribimos Javier como nombre de usuario y contrasea la archiconocida durante todo el ao, asir2012.

Al pulsar en aceptar, veremos que se nos deniega el acceso.

SEGUNDO DE ASIR

Pgina 19

[HONEYPOT] 7 de marzo de 2012 INFORMACION OBTENIDA CON NUESTRO HONEYPOT

Si vamos al equipo de nuestro honeypot, veremos que el ataque de intento de acceso ha sido detectado.

Pero nosotros queremos ver los detalles asique como hemos dicho anteriormente en esta prctica y ya lo sabemos, pulsamos el botn derecho y detalles. Podemos ver, tanto el usuario con el que nos hemos querido loguear, como la contrasea utilizada para el intento.

SEGUNDO DE ASIR

Pgina 20

[HONEYPOT] 7 de marzo de 2012

ANALISIS CON ACCUNETIX

Ejecutamos acunnetix y hacemos un anlisis a la web.

Vemos como nos dice que el sistema operativo es Windows, pero no nos dice que versin, y vemos como tambin nos dice que el servidor web es II5.0

Configuraremos en las opciones, dndole un mtodo extensivo, pero quitando el escaneo de puertos, porque para ello ya hemos utilizado Nmap.

SEGUNDO DE ASIR

Pgina 21

[HONEYPOT] 7 de marzo de 2012

QUE VEREMOS EN NUESTRO HONEYPOT DURANTE EL ATAQUE

Podremos ver, todos los que se est realizando y a qu hora, la direccin de origen y la direccin que de destino que no es ni ms ni menos que la mquina donde tenemos nuestro honeypot, tambin veremos el protocolo utilizado, y el puerto por el que se est llevando dicho ataque.

Si pulsamos en detalle sobre cualquiera de ellos, vemos detalles del ataque. -Se est utilizando el mtodo POST. -Veramos tambin la ruta, en la que se est haciendo el ataque /admin/index.php -Por ultimo podemos observar tambin, el tipo de ataque, el cual es un ataque XSS.

Como hemos podido observar a Accunetix le cuesta hacer este anlisis y en 30 minutos, solo ha sido capaz de llegar al 50% de este. Y como podemos observar desde nuestro honeypot, cada vez es ms largo el intervalo de tiempo entre un ataque y otro, Asique lo dejamos aqu.

SEGUNDO DE ASIR

Pgina 22

[HONEYPOT] 7 de marzo de 2012

ATACANTE 2 BACKTRACK5 R1
El atacante 2 va a ser una mquina Backtrack 5 con la IP 192.168.1.39

ACCEDIENDO AL SERVICIO TELNET

Vamos a hacer lo mismo que en el ejemplo de FTP o del servicio IIS en windows7(atacante1), pero contra otro servicio, en este caso, contra telnet. Para ello abrimos una consola y escribimos en ella telnet 192.168.1.37 vemos como nos pide el usuario y despus la contrasea, como vemos al ser incorrectas nos echa del sistema.

SEGUNDO DE ASIR

Pgina 23

[HONEYPOT] 7 de marzo de 2012 INFORMACION QUE OBTENEMOS CON NUESTRO HONEYPOT

Nos dirigimos a nuestro Honeypot y vemos que nuestro ataque, ha sido detectado.

Volvemos como en el caso anterior a mirar los detalles y veremos el nombre de usuario introducido por el atacante y la contrasea.

SEGUNDO DE ASIR

Pgina 24

[HONEYPOT] 7 de marzo de 2012

VALHALA HONEYPOT

Lo primero que hacemos ser descargarnos el software de la web oficial, para ello pincharemos en el siguiente enlace. http://sourceforge.net/projects/valhalahoneypot/

Una vez que hemos entrado en la pgina lo que tenemos que hacer, es descargar la ltima versin estable de este.

Lo que nos descargamos, es el programa, una de sus caractersticas es que no requiere de instalacin, y para empezar a utilizarlo, basta solo con ejecutarlo.

SEGUNDO DE ASIR

Pgina 25

[HONEYPOT] 7 de marzo de 2012

CONFIGURACION DE VALHALA
Una vez que hemos ejecutado el programa, veremos la siguiente ventana, en esta ventana, nos van a interesar sobretodo dos botones de los presentes, el botn Options y el botn Server Config.

OPTIONS
Aqu veremos distintas opciones de configuracin, entre las que cabe destacar, el envo de emails, si ese email requiere autenticacin, cada cuanto tiempo se enva y tambin podremos configurar las actualizaciones habilitar puertos extras y otras opciones como hacer que se inicie con Windows, ejecutarlo en modo oculto

SEGUNDO DE ASIR

Pgina 26

[HONEYPOT] 7 de marzo de 2012 SERVER-CONFIG

Aqu tendremos la siguiente ventana que podemos ver en la imagen que esta a continuacin, en ella podremos configurar cada servicio, por el puerto que va a correr y diferentes opciones, que el programa nos ofrecer, dependiendo del servicio a emular, hay que tener en cuenta, que se pueden activar todos a la vez.

SEGUNDO DE ASIR

Pgina 27

[HONEYPOT] 7 de marzo de 2012

CONFIGURAMOS TELNET
1-En el recuadro uno, podemos especificar el tipo de puerto por el que va a correr el servicio, que no requiera autenticacin o ponerle la que queramos, y el tipo de Windows a imitar. 2-Aqu pondremos la letra, a la que pertenece nuestro disco duro y su nmero de serie, tambin el nombre de este. 3-Aqu diremos la fecha de creacin de las carpetas, carpetas que no existen y que podrn contener los archivos que marquemos a la derecha, marcaremos el espacio libre que tendremos en nuestro disco duro virtual emulado, y la fecha de creacin de estas carpetas. 4-Aqu es donde tendremos el valor de la Mac,nuestro DNS, y NIC.

Una vez hecho esto, para que tenga efecto, pulsaremos la pestaa de Monitoring.

SEGUNDO DE ASIR

Pgina 28

[HONEYPOT] 7 de marzo de 2012

ATACANTE 2 BACKTRACK5 R1
Recordemos que la mquina Backtrack 5 tiene la IP 192.168.1.39

Nos dirigimos a ella abriremos una nueva consola y escribiremos en ella telnet seguido de la ip donde tenemos nuestro honeypot y el puerto por el que esta corriendo, que no es otro que por el que corre telnet normalmente.

Como podemos ver, el supuesto atacante habra ganado acceso y podra ver el contenido del disco duro

SEGUNDO DE ASIR

Pgina 29

[HONEYPOT] 7 de marzo de 2012

Podramos navegar sin problema, entre las carpetas y listar su contenido, que en nuesto caso no hemos insertado ninguno, pero podramos haberlo hecho en la configuracin aadiendo de los .txt predeterminados.

Claramente a las que hayamos negado el acceso desde la configuracinno nos dejara entrar.

Si ejecutamos el comando para ver la versin de Windows. Saldr la que nosotros hemos indicado.

Y si hacemos un ipconfig, veremos que la informacin, que se proporciona al atacante, tambin es la que nosotros hemos indicado: IP, DNS, MAC, NIC

SEGUNDO DE ASIR

Pgina 30

[HONEYPOT] 7 de marzo de 2012

Si nos vamos a la ventana de Valhala, veremos la IP desde la que se han realizado los ataques y cada comando utilizado.

SEGUNDO DE ASIR

Pgina 31