Construye tu propio mapa para ataques en tiempo real
Jul06

Construye tu propio mapa para ataques en tiempo real

Los que os consideréis un poco mas “viejos” os acordaréis de aquella época en la que conectábamos un Windows XP sin parchear a la red y este era infectado al cabo de 5-10 minutos.   Todos sabemos que hoy existen botnets o simplemente máquinas por Internet que están todo el día escaneando en busca de servicios vulnerables o con passwords por defecto para propagar malware. Una de las prácticas que se llevan a  cabo para saber como funciona la mente de un atacante es publicar servicios aparentemente vulnerables para que sean atacados y nosotros registraremos las acciones que se lleven a a cabo. Normalmente esto se conoce como un HoneyPot o Tarro de Miel, que se puede volver mas chulo si no solo registrar esos ataques sino que los montamos en un mapa y ver como ocurren en tiempo real al rededor del globo. La idea de este poste es montar nuestro propio servicio de mapeo de ataques en tiempo real utilizando el proyecto Modern HoneyPot https://github.com/threatstream/mhn Para instalarlo es recomendable usar una distribución de Ubuntu LTS. En mi caso Ubuntu 12.04 LTS, tambien necesitaremos GIT, python 2.7 y conexión a Internet. Es recomendable tener instalado GCC, automake etc.. La suerte, es que el deploy es automático y eso gustará a mas de uno/a! Seguiremos las siguientes instrucciones: $ cd /opt/ $ git clone https://github.com/threatstream/mhn.git $ cd mhn/scripts/ $ sudo ./install_hpfeeds.sh $ sudo ./install_mnemosyne.sh $ sudo ./install_honeymap.sh Cuando ya hemos acabado todo, nos pedirá de configurar el servidor: =========================================================== MHN Configuration =========================================================== Do you wish to run in Debug mode?: y/n n Superuser email: YOUR_EMAIL @ YOURSITE.COM Superuser password: Server base url ["http://1.2.3.4"]: Honeymap url ["http://1.2.3.4:3000"]: Mail server address ["localhost"]: Mail server port [25]: Use TLS for email?: y/n n Use SSL for email?: y/n n Mail server username [""]: Mail server password [""]: Mail default sender [""]: Path for log file ["mhn.log"]: Una vez que lo tenemos instalado, lo primero que tendremos que hacer es desplegar un sensor. Lo que haremos simplemente haciendo un wget es hacer construir un sensor que volcará los logs en nuestro panel de control central El script que hay por debajo es el siguiente: #!/bin/bash set -e set -x if [ $# -ne 2 ] then echo "Wrong number of arguments supplied." echo "Usage: $0 <server_url> <deploy_key>." exit 1 fi server_url=$1 deploy_key=$2 wget $server_url/static/registration.txt -O registration.sh chmod 755 registration.sh # Note: this will export the HPF_* variables . ./registration.sh $server_url $deploy_key "dionaea" # Add ppa to apt sources (Needed for Dionaea). apt-get update apt-get install -y python-software-properties add-apt-repository -y ppa:honeynet/nightly apt-get update # Installing Dionaea. apt-get install -y dionaea supervisor patch cp /etc/dionaea/dionaea.conf.dist...

Leer Más
Conpot (ICS/SCADA Honeypot)
Dic07

Conpot (ICS/SCADA Honeypot)

El estudio realizado por los investigadores en seguridad en una de sus facetas se base en el basarse en los resultados arrojados por un HoneyPot. Existen HomeyPots para diferentes escenarios, simulando SSH, SNMP, un servicio HTTP vulnerable etc.. El de hoy es algo especial, ya que se trata de un HoneyPot que simula ser un servicio ICS/SCADA. Ha habido varios incidentes relacionados con los Scada, por no decir que hay algunos de los que se encuentran expuestos en Internet. ¿Incidentes relacionados con Scada? Pues por ejemplo: “En junio de 2010, Irán sufrió un severo ataque a parte de infraestructura crítica, principalmente a sus reactores nucleares, a través de un virus denominado Stuxnet, que contaminó el software denominado SCADA  (Supervisores de Control y de Adquisición de Datos) utilizada por aquel país, vía un USB que fue introducido a las computadoras por uno de los trabajadores.” Igual que para los servicios SNMP o servicios con passwords vulnerables hay infraestructuras maliciosas que se encargan de ir escaneando nodos de red enteros, en busca de servicios de este tipo, identificándolos por ejemplo por e banner de la aplicación o por ciertas respuestas en llamadas a ciertos puertos. Haremos la instalación de Conpot bajo Debian, así que primero instalamos las dependencias: aptitude install git libsmi2ldbl smistrip libxslt1-dev python-dev libevent-dev python-pip Ahora bajamos Conpot con el cliente de GIT: git clone https://github.com/glastopf/conpot Para instalar todas las dependencias y poder usarlo, ya que tenemos Python Pip instalado hacemos: pip install -r requeriments.txt Esto irá instalando todas las dependencias, una detrás de la otra. Lo único que nos falta es ir al fichero de configuración y adaptarlo a nuestras necesidades. (15:25 [email protected] conpot) > cat conpot.cfg [modbus] enabled = True host = 0.0.0.0 port = 502 &nbsp; [s7] enabled = True host = 0.0.0.0 port = 102 &nbsp; [snmp] enabled = True host = 0.0.0.0 port = 161 &nbsp; [http] enabled = True host = 0.0.0.0 port = 80 &nbsp; [sqlite] enabled = False &nbsp; [syslog] enabled = False device = /dev/log host = localhost port = 514 facility = local0 socket = dev        ; udp (sends to host:port), dev (sends to device) &nbsp; [hpfriends] enabled = False host = hpfriends.honeycloud.net port = 20000 ident = 3Ykf9Znv secret = 4nFRhpm44QkG9cvD channels = ["conpot.events", ] &nbsp; [fetch_public_ip] enabled = True url = http://api-sth01.exip.org/?call=ip Después de configurarlo, solo nos queda arrancar Conpot <pre>2013-04-12 16:09:25,620 Added slave with id 1. 2013-04-12 16:09:25,621 Added block a to slave 1. (type=1, start=1, size=128) 2013-04-12 16:09:25,622 Setting value at addr 1 to [random.randint(0,1) for b in range(0,128)]. 2013-04-12 16:09:25,623 Added block d to slave 2. (type=3, start=40001, size=8) 2013-04-12 16:09:25,623 Conpot initialized using the...

Leer Más

HoneyDocs

¿Te gustaría saber desde donde se ha abierto un documento? HoneyDocs es tu solución! El uso de los honeypots se ha convertido en la herramienta favorita por parte de los investigadores que quieren llegar a saber quien hay detrás de un ataque, o poder llegar a investigar nuevos vectores de ataque  etc.. Existen Honeypots de todo tipo, de echo hemos investigado algunos de ellos aquí en DragonJAR. El artículo de hoy trata sobre un “honeypot” de documentos. El proyecto se llama HoneyDocs, para empezar con el servicio nos tenemos que registrar: Una vez que nos hemos registrado lo que vamos ha hacer es crear un documento “honey”. Le damos  a nuevo sting. Con esto crearemos nuestro nuevo documento Honey. El nombre que le deis es el que identificará dicha “campaña” Una vez creada la campaña, se quedará en tu dashboard! Ahora lo que haremos será descargar el documento que usaremos en la campaña. Dependiendo de donde vaya dirigido escogemos uno u otro. Bajamos el fichero y lo descomprimimos. [email protected]:~/Downloads$ unzip passwords.zip Archive: passwords.zip inflating: passwords.doc inflating: passwords.xls inflating: passwords.html inflating: passwords.odt inflating: template.odt Abrimos cualquiera de los ficheros y comprobamos como en nuestro Dashboard de honeydocs aparece la localización de quien lo ha abierto. Aquí tenemos la localización de quien ha abierto el archivo. 😀 ¿Porque funciona esto realmente? Si miramos en detalle el fichero: [email protected]:~/Downloads$ strings passwords.xls | grep -i honey <img src="https://honeydocs.herokuapp.com/img/xls/62878108528221ab017e9f52a288e4d288394b3140bc2a8e30b3c52c999d6786.gif"> Realmente hacemos una petición al servidor de HoneyDocs. Para los mas astutos, aplicamos iptables a HoneyDocs y listo. Web del proyecto:...

Leer Más

Vídeo Tutorial Honeypot

En el trascurso de esta semana empezare a postear una serie de vídeo tutoriales creados por Dinosaurio sobre diversas herramientas y técnicas utilizadas en el campo de la seguridad informática, en esta ocasión les traigo un vídeo donde aprenderemos a instalar, configurar y poner en marcha un Honeypot. Honeypot (en español tarro de miel) es una herramienta de seguridad utilizada para recoger información sobre los atacantes y sus técnicas. Los Honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot. Descargar Vídeo Tutorial de Honeypot Mas Información sobre Honeypot: Pagina Oficial del Proyecto Honeypot en México Referencia en la...

Leer Más

Hardening, Conceptos básicos

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES