¿Te gustaría saber desde donde se ha abierto un documento? HoneyDocs es tu solución!

El uso de los honeypots se ha convertido en la herramienta favorita por parte de los investigadores que quieren llegar a saber quien hay detrás de un ataque, o poder llegar a investigar nuevos vectores de ataque  etc..

Existen Honeypots de todo tipo, de echo hemos investigado algunos de ellos aquí en DragonJAR.

El artículo de hoy trata sobre un “honeypot” de documentos.

El proyecto se llama HoneyDocs, para empezar con el servicio nos tenemos que registrar:

registro

Una vez que nos hemos registrado lo que vamos ha hacer es crear un documento “honey”.

sting_new

Le damos  a nuevo sting. Con esto crearemos nuestro nuevo documento Honey.

new_name_sting

El nombre que le deis es el que identificará dicha “campaña”

Una vez creada la campaña, se quedará en tu dashboard!

dashboard_sting

Ahora lo que haremos será descargar el documento que usaremos en la campaña.

honey_file

Dependiendo de donde vaya dirigido escogemos uno u otro.

Bajamos el fichero y lo descomprimimos.

[email protected]:~/Downloads$ unzip passwords.zip
Archive: passwords.zip
 inflating: passwords.doc
 inflating: passwords.xls
 inflating: passwords.html
 inflating: passwords.odt
 inflating: template.odt

Abrimos cualquiera de los ficheros y comprobamos como en nuestro Dashboard de honeydocs aparece la localización de quien lo ha abierto.

localización_

Aquí tenemos la localización de quien ha abierto el archivo. 😀

¿Porque funciona esto realmente?

Si miramos en detalle el fichero:

[email protected]:~/Downloads$ strings passwords.xls | grep -i honey
<img src="https://honeydocs.herokuapp.com/img/xls/62878108528221ab017e9f52a288e4d288394b3140bc2a8e30b3c52c999d6786.gif">

Realmente hacemos una petición al servidor de HoneyDocs.

Para los mas astutos, aplicamos iptables a HoneyDocs y listo.

Web del proyecto:

[+]https://www.honeydocs.com

Congreso Hacker Colombia