HoneyDocs

¿Te gustaría saber desde donde se ha abierto un documento? HoneyDocs es tu solución!

El uso de los honeypots se ha convertido en la herramienta favorita por parte de los investigadores que quieren llegar a saber quien hay detrás de un ataque, o poder llegar a investigar nuevos vectores de ataque  etc..

Existen Honeypots de todo tipo, de echo hemos investigado algunos de ellos aquí en DragonJAR.

El artículo de hoy trata sobre un “honeypot” de documentos.

El proyecto se llama HoneyDocs, para empezar con el servicio nos tenemos que registrar:

registro

Una vez que nos hemos registrado lo que vamos ha hacer es crear un documento “honey”.

sting_new

Le damos  a nuevo sting. Con esto crearemos nuestro nuevo documento Honey.

new_name_sting

El nombre que le deis es el que identificará dicha “campaña”

Una vez creada la campaña, se quedará en tu dashboard!

dashboard_sting

Ahora lo que haremos será descargar el documento que usaremos en la campaña.

honey_file

Dependiendo de donde vaya dirigido escogemos uno u otro.

Bajamos el fichero y lo descomprimimos.


[email protected]:~/Downloads$ unzip passwords.zip
Archive: passwords.zip
 inflating: passwords.doc
 inflating: passwords.xls
 inflating: passwords.html
 inflating: passwords.odt
 inflating: template.odt

Abrimos cualquiera de los ficheros y comprobamos como en nuestro Dashboard de honeydocs aparece la localización de quien lo ha abierto.

localización_

Aquí tenemos la localización de quien ha abierto el archivo. 😀

¿Porque funciona esto realmente?

Si miramos en detalle el fichero:


[email protected]:~/Downloads$ strings passwords.xls | grep -i honey
<img src="https://honeydocs.herokuapp.com/img/xls/62878108528221ab017e9f52a288e4d288394b3140bc2a8e30b3c52c999d6786.gif">

Realmente hacemos una petición al servidor de HoneyDocs.

Para los mas astutos, aplicamos iptables a HoneyDocs y listo.

Web del proyecto:

[+]https://www.honeydocs.com


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • Alejandro

    No permite incrustar esa imagen en redes sociales.

    https://dl.dropboxusercontent.com/u/1257129/doc/index.html

  • Alejandro

    Puede ser un problema de seguridad, hay muchos sitios que permiten incrustar imágenes en los comentarios y ese gif al ser casi invisible pasa desapercibido, por lo que uno puede capturar las direcciones y geolocalización (aproximada) de los que visitan el post.

  • Bl4ck_D4wn

    si, es muy interesante los usos que se pueden derivar.. yo lo estoy usando para un proyecto.. pero honey docs como cualquier otro baasado en gif es un sistema basico de gif 1×1 implementado por inicialmente por http://www.openwebanalytics.com/ que cuando cualquier documento carga el gif localizas el gif

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES