Instalación de Honeypots y su uso

HONEYPOT

2012

Javier García Cambronel SEGUNDO DE ASIR

07/03/2012

Félix María Samaniego, Las moscas (fragmento):

A un panal de rica miel,

dos mil moscas acudieron,

que por golosas murieron,

presas de patas en él.

[HONEYPOT] 7 de marzo de 2012

SEGUNDO DE ASIR Página 1

HONEYPOTS, QUE SON Y TIPOS

HONEYBOT

PREPARACION PRÁCTICA

ATACANTE 1 ANFITRION WINDOWS 7

ATACANTE 2 BACKTRACK5 R1

VALHALA HONEYPOT

CONFIGURACION




HONEYPOTS, QUE SON Y TIPOS

Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a

atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta

de seguridad informática utilizada para recoger información sobre los atacantes y sus

técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes

del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de

permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no

existentes en la realidad y se les conoce como honeypots de baja interacción y son usados

fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas

operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de

investigación y se los conoce como honeypots de alta interacción.

Un tipo especial de honeypot de baja interacción son los sticky honeypots (honeypots

pegajosos) cuya misión fundamental es la de reducir la velocidad de los ataques

automatizados y los rastreos.

En el grupo de los honeypot de alta interacción nos encontramos también con los honeynet.

También se llama honeypot a un website o sala de chat, que se ha creado para descubrir a

otro tipo de usuarios con intenciones criminales, (e.j., pedofilia).

HISTORIA Y ORÍGENES

Lance Spitzner, consultor y analista informático experto en seguridad, construyó a comienzos

del año 2000 una red de seis ordenadores en su propia casa. Esta red la diseñó para estudiar

el comportamiento y formas de actuación de los atacantes. Fue de los primeros

investigadores en adoptar la idea, y hoy es uno de los mayores expertos en honeypots,

precursor del proyecto honeynet (www.honeynet.org), en marcha desde 1999, y autor del

libro "Honeypots: Tracking Hackers”.

Su sistema estuvo durante casi un año de prueba, desde abril del 2000 a febrero de 2001,

guardando toda la información que se generaba. Los resultados hablaban por sí solos: en los

momentos de mayor intensidad de los ataques, comprobaba que las vías de acceso más

comunes a los equipos de su casa eran escaneadas, desde el exterior de su red, hasta 14

veces al día, utilizando herramientas de ataque automatizadas.

Desde entonces, se ha creado toda una comunidad de desarrolladores aglutinados alrededor

de honeynet.org que ofrecen todo tipo de herramientas y consejos para utilizar estas

herramientas.



MAS INFORMACION SOBRE HONEY-POTS

Para más información sobre los honey-pots leer, este artículo, que es de lo mejor que se

encuentra en internet, para hacerse una idea general y bien estructurada, sobre lo que son,

los tipos y cuales son sus funciones.

http://www.inteco.es/Seguridad/Observatorio/Articulos/honeypots_monitorizando_atacan

tes

HoneyBOT

¿CÓMO FUNCIONA?

HoneyBOT imita y escucha servicios vulnerables. Cuando un atacante se conecta a estos

servicios es engañado, haciéndole creer que está atacando a un servidor real. El honeypot

capta todas las comunicaciones con el atacante y registra los resultados para el análisis

futuro. En caso de que un atacante intentara explotar o subir un rootkit, o un troyano en el

servidor, “honeypot” puede almacenar estos archivos en su equipo para la recolección de

malware y el propósito del análisis.

COLOCACIÓN DEL HONEYPOT

Una organización puede colocar un “honeypot” dentro de su red interna, asegurada por su

defensa de perímetro en la que nunca debería de ser atacado. Cualquier tráfico capturado en

el honeypot en esta situación indicaría que otro equipo dentro de la red ya está infectado

con un virus o un gusano, o incluso que un empleado de la compañía está tratando de entrar

en el equipo.

Otro método consiste en conectar el honeypot directamente a Internet, que suele

desembocar en el tráfico de red malicioso capturado en cuestión de minutos. Una conexión

directa es la configuración más básica para los usuarios “honeypot” y en este escenario el

equipo honeypot se coloca externo a sus sistemas de producción y se le asigna una dirección

IP pública.

La opción más popular de la colocación de Honey Pot para los usuarios de Internet es colocar

el equipo trampa en tu red DMZ (Anfitriones bastión), donde todos los sondeos de Internet

no solicitados son enviados al ordenador honeypot

http://www.inteco.es/Seguridad/Observatorio/Articulos/honeypots_monitorizando_atacantes

http://www.inteco.es/Seguridad/Observatorio/Articulos/honeypots_monitorizando_atacantes



PREPARACION PRÁCTICA

PREPARAMOS NUESTRA MAQUINA: ASEGURAR HONEYPOT

Un honeypot es intencionalmente poner en peligro por lo que es fundamental llevar a cabo

algunas medidas de seguridad en el equipo “honeypot” antes del despliegue en cualquier

red. Esto incluye la actualización de su sistema operativo con todas las actualizaciones y

parches de seguridad y el uso de un producto antivirus actualizado.

1-Lo primero que comprobamos es nuestra IP de la máquina donde vamos a instalar el

honeypot, para obtenerla, con el comando ipconfig si no la sabíamos, como vemos la ip que

tenemos es la 192.168.1.37

2-Lo segundo que tenemos que hacer es actualizar nuestro sistema operativo

3-Instalar un antivirus de calidad. (NOD 32 5.0.95)



4-Configurarlo para que permita las conexiones salientes y entrantes

5-Actualizar dicho antivirus.



DESCARGANDO E INSTALANDO HONEYBOT

Nos lo descargamos de la siguiente página Web

http://www.atomicsoftwaresolutions.com/download.php

Una vez que estamos dentro de la página web, nos descargamos la última versión del

programa.

Guardamos el archivo

Y procedemos con la ejecución del programa, para que se lleve a cabo la instalación

http://www.atomicsoftwaresolutions.com/download.php



Nos pedirá la ruta donde lo queremos instalar y pulsaremos en siguiente

Una vez hecho esto, nos indicara la ruta, y los componentes que se van a instalar, lo que

tendremos que hacer, es pulsar en install, para que se lleve a cabo la instalación.



NOS FAMILIARIZAMOS CON LA ESTRUCTURA

Una vez que lo hemos instalado, si nos vamos a la ruta donde hemos instalado el programa,

tendremos varias carpetas:

CAPTURES: donde se guardaran los troyanos y demás archivos que yegen a nuestro servidor,

no se permitirá su ejecución y se hará un análisis exhaustivo de ellos.

EXPORTS: serán los logs en formato .csv

HTML: la carpeta donde configuraremos, el mensaje a mostrar de la web, modificaremos los

errores famosos como el 404…



LOGS: donde se guardaran los logs.

CONFIG: el archivo de configuración, el cuál es mejor no tocarlo ya que todos estos

parámetros les podremos configurar en la intergaz gráfica.

SERVICE: donde indicaremos los programas que corren en cada purto, o desactivaremos los

que queramos.



WHITELIST: la lista blanca.



LO EJECUTAMOS Y CONFIGURAMOS GRAFICAMENTE

Una vez hecho esto procederemos a la ejecución de Honey-Bot y le diremos que si a la

configuración.

En la pestaña general:

-Diremos que si queremos que se inicie al cargarlo automáticamente.

- Si queremos que por cada captura, nos alerte con un sonido, mejor desactivar esta opción

porque es muy molesta.

-Si deseamos capturar binarios, esto capturara todos los troyanos y demás que se nos

lancen, para ser analizados.

-También pondremos el nombre de nuestro servidor.



En la pestaña Email Alert

Podremos configurarlo, para que nos envíe las alertas mediante mensajes de correo

electrónico.

En la pestaña Exports

-La forma de exportar los logs.

-Y si queremos subirlo al servidor, y formar parte de la comunidad, para elaborar las

estadísticas sobre ataques, que se suelen producir, cuales son los más comunes….



En la pestaña Updates

-Marcaremos si queremos recibir o no, actualizaciones del producto, cuando se publiquen, es

recomendable tenerla activada.

Al trabajar sobre más de una ip,(la nuestra, más la IP que tiene virtualbox) tendremos que

poner la nuestra, la que va a hacer de honeypot



ATACANTE 1 ANFITRION WINDOWS 7

COMPROBAMOS LA IP DEL ATACANTE

Vemos que tenemos en el ordenador la ip 192.168.1.34

ACCEDIENDO AL SERVIDOR WEB

Accedemos al servicio web simulado

Veremos los accesos, que se están teniendo, desde que IP, los Bytes que se transmiten, la

hora…



INFORMACION QUE NOS CAPTURA EL HONEYPOT

También podríamos pulsar sobre el botón derecho y pulsar en dos opciones fundamentales.

View details y Reverse DNS.

VIEW DETAILS

Aquí podremos ver valiosa información sobre el posible atacante

1. En la parte izquierda de la imagen, veremos los detalles del paquete seleccionado.

2. En la parte derecha veremos, tanto la información de lo que ha enviado el atacante, como

la que le hemos enviado nosotros (Microsoft IIS 5.0 Error/404)

3. Y por último en la parte de abajo vemos de nuevo la información que nos ha enviado el

atacante, como he indicado en el punto anterior, pero completa y como podemos ver algo

de información nos da.

-El protocolo utilizado

-El host donde se ha realizado

-La versión de Windows NT 6.1= Windows7 WOW64=Indica que es una versión de 64bits

-Que navegador y que versión corre: Firefox en si versión 10.0.0.2



REVERSE DNS

El DNS inverso (Reverse DNS) realiza lo contrario de lo que hace el DNS directo; asocia

direcciones IP con nombres de máquinas y como vemos al resolverlo, nos proporciona el

nombre de la máquina atacante, que como podemos ver es JAVI-PC, lo cual nos esta ya

dando un posible nombre del atacante, en este caso.

Comprobamos en el equipo atacante que esta información es cierta y vemos que así es.

Cada vez que recibimos una conexión nueva en nuestro honeypot, a un puerto determinado,

este aparecerá en la ventana izquierda , al igual que cuando se hace una conexión desde otro

equipo aparecerá en remotes, como hasta ahora solo ha recibido una conexon desde el

puerto 80 desde el equipo con Windows 7 obtenemos esta imagen.



ESCANEO COMPLETO CON NMAP

Ahora lo siguiente que vamos a hacer también desde Windows 7 será pasar un Nmap

Nos aparece un mensaje en el equipo victima, de que se está realizando un escaneo de

puertos, gracias al antivirus. Pero no lo bloque, solo nos advierte.

Mientras tanto, nuestro Honey pot ya está haciendo su trabajo

Una vez que Nmap ha terminado el análisis veremos los puertos abiertos, aunque aquí en la

imagen solo vemos unos cuantos y los servicios que emulados que están corriendo en ellos,

al igual que nuestro el nombre de nuestro servidor.



Veremos también la información del sistema operativo que se está emulando, un Windows

server 2003 con service Pack 2.

INFORMACION OBTENIDA CON EL HONEYPOT

-Veremos todos los ataque que hemos recibido y sobre que puertos.

-Se vemos con detalle alguno de estos escaneos veremos el nombre del servidor y la

información del sistema operativo, la saca, porque es lo que está enviando nuestro

honeypot.



ACCEDIENDO AL SERVICIO FTP

Ahora probaremos otro servicio, el servicio FTP, para ello volvemos al navegador e

intentamos acceder.

Veremos como se nos pide que introduzcamos nombre de usuario y la contraseña,

escribimos Javier como nombre de usuario y contraseña… la archiconocida durante todo el

año, asir2012.

Al pulsar en aceptar, veremos que se nos deniega el acceso.



INFORMACION OBTENIDA CON NUESTRO HONEYPOT

Si vamos al equipo de nuestro honeypot, veremos que el ataque de intento de acceso ha

sido detectado.

Pero nosotros queremos ver los detalles asique como hemos dicho anteriormente en esta

práctica y ya lo sabemos, pulsamos el botón derecho y detalles.

Podemos ver, tanto el usuario con el que nos hemos querido loguear, como la contraseña

utilizada para el intento.



ANALISIS CON ACCUNETIX

Ejecutamos acunnetix y hacemos un análisis a la “web”.

Vemos como nos dice que el sistema operativo es Windows, pero no nos dice que versión, y

vemos como también nos dice que el servidor web es II5.0

Configuraremos en las opciones, dándole un método extensivo, pero quitando el escaneo de

puertos, porque para ello ya hemos utilizado Nmap.



QUE VEREMOS EN NUESTRO HONEYPOT DURANTE EL ATAQUE

Podremos ver, todos los que se está realizando y a qué hora, la dirección de origen y la

dirección que de destino que no es ni más ni menos que la máquina donde tenemos nuestro

honeypot, también veremos el protocolo utilizado, y el puerto por el que se está llevando

dicho ataque.

Si pulsamos en detalle sobre cualquiera de ellos, vemos detalles del ataque.

-Se está utilizando el método POST.

-Veríamos también la ruta, en la que se está haciendo el ataque /admin/index.php

-Por ultimo podemos observar también, el tipo de ataque, el cual es un ataque XSS.

Como hemos podido observar a Accunetix le cuesta hacer este análisis y en 30 minutos, solo

ha sido capaz de llegar al 50% de este. Y como podemos observar desde nuestro honeypot,

cada vez es más largo el intervalo de tiempo entre un ataque y otro, Asique lo dejamos aquí.




El atacante 2 va a ser una máquina Backtrack 5 con la IP 192.168.1.39

ACCEDIENDO AL SERVICIO TELNET

Vamos a hacer lo mismo que en el ejemplo de FTP o del servicio IIS en windows7(atacante1),

pero contra otro servicio, en este caso, contra telnet.

Para ello abrimos una consola y escribimos en ella telnet 192.168.1.37 vemos como nos pide

el usuario y después la contraseña, como vemos al ser “incorrectas” nos echa del sistema.



INFORMACION QUE OBTENEMOS CON NUESTRO HONEYPOT

Nos dirigimos a nuestro Honeypot y vemos que nuestro ataque, ha sido detectado.

Volvemos como en el caso anterior a mirar los detalles y veremos el nombre de usuario

introducido por el atacante y la contraseña.



VALHALA HONEYPOT

Lo primero que hacemos será descargarnos el software de la web oficial, para ello

pincharemos en el siguiente enlace.

http://sourceforge.net/projects/valhalahoneypot/

Una vez que hemos entrado en la página lo que tenemos que hacer, es descargar la última

versión estable de este.

Lo que nos descargamos, es el programa, una de sus características es que no requiere de

instalación, y para empezar a utilizarlo, basta solo con ejecutarlo.

http://sourceforge.net/projects/valhalahoneypot/



CONFIGURACION DE VALHALA

Una vez que hemos ejecutado el programa, veremos la siguiente ventana, en esta ventana,

nos van a interesar sobretodo dos botones de los presentes, el botón Options y el botón

Server Config.

OPTIONS

Aquí veremos distintas opciones de configuración, entre las que cabe destacar, el envío de

emails, si ese email requiere autenticación, cada cuanto tiempo se envía y también

podremos configurar las actualizaciones habilitar puertos extras y otras opciones como hacer

que se inicie con Windows, ejecutarlo en modo oculto…



SERVER-CONFIG

Aquí tendremos la siguiente ventana que podemos ver en la imagen que esta a continuación,

en ella podremos configurar cada servicio, por el puerto que va a correr y diferentes

opciones, que el programa nos ofrecerá, dependiendo del servicio a emular, hay que tener

en cuenta, que se pueden activar todos a la vez.



CONFIGURAMOS TELNET

1-En el recuadro uno, podemos especificar el tipo de puerto por el que va a correr el servicio,

que no requiera autenticación o ponerle la que queramos, y el tipo de Windows a imitar.

2-Aquí pondremos la letra, a la que pertenece nuestro disco duro y su número de serie,

también el nombre de este.

3-Aquí diremos la fecha de creación de las carpetas, “carpetas que no existen y que podrán

contener los archivos que marquemos a la derecha, marcaremos el espacio libre que

tendremos en nuestro disco duro virtual emulado, y la fecha de creación de estas carpetas.

4-Aquí es donde tendremos el valor de la Mac,nuestro DNS, y NIC.

Una vez hecho esto, para que tenga efecto, pulsaremos la pestaña de Monitoring.




Recordemos que la máquina Backtrack 5 tiene la IP 192.168.1.39

Nos dirigimos a ella abriremos una nueva consola y escribiremos en ella telnet seguido de la

ip donde tenemos nuestro honeypot y el puerto por el que esta corriendo, que no es otro

que por el que corre telnet normalmente.

Como podemos ver, el supuesto atacante habría ganado acceso y podría ver el contenido del

“disco duro”



Podríamos navegar sin problema, entre las carpetas y listar su contenido, que en nuesto caso

no hemos insertado ninguno, pero podríamos haberlo hecho en la configuración añadiendo

de los .txt predeterminados.

Claramente a las que hayamos negado el acceso desde la configuración…no nos dejara

entrar.

Si ejecutamos el comando para ver la versión de Windows…. Saldrá la que nosotros hemos

indicado.

Y si hacemos un ipconfig, veremos que la información, que se proporciona al atacante,

también es la que nosotros hemos indicado: IP, DNS, MAC, NIC…



Si nos vamos a la ventana de Valhala, veremos la IP desde la que se han realizado los

ataques y cada comando utilizado.

Date post:	04-Aug-2015
Category:	Documents
Upload:	javierasir2012
View:	257 times
Download:	0 times

Instalación de Honeypots y su uso

Documents