DeceptionPI - Estudiando a los atacantes mediante sistemas señuelo

Buenos días hackers!!

En el anterior post sobre Introducción a los sistemas señuelo - Honeypots , vimos una pequeña introducción sobre el tema y os prometimos esta entrada, una prueba de concepto en la que aprenderemos un poquito más sobre el apasionante mundo de los sistemas señuelos (Honeypots).

Antes de empezar con la prueba de concepto, queremos explicar en que partes de la red podemos montar estos sistemas, así como las ventajas e inconvenientes que conlleva cada una.



Ubicación de los Honeypots

La ubicación de los Honeypots, es una parte fundamental y que deberemos tener en cuenta, con el fin de maximizar la efectividad y el número de ataques que recibimos. Una mala implementación, hará que los atacantes abandonen el sistema tras conseguir el acceso, o simplemente no atacarán.


Antes del Firewall (Front of Firewall): 
Al implementar nuestro Honeypot antes del firewall, evitaremos que nuestra red local (LAN) sea vulnerada, ya que el Honeypot se encontrará fuera de la zona protegida por el firewall.
Es la ubicación donde menos riesgo se suministra a la red.
Esta es la principal ventaja que nos ofrece esta ubicación, pero también tiene algunas desventajas como por ejemplo: evitamos la detección de atacantes internos (en caso de haberlos), generamos grandes volúmenes de tráfico, por la facilidad que ofrecemos para ser comprometidos.

Después del Firewall (Behind the Firewall): 
En esta ubicación, el Honeypot se ve afectado por las reglas de filtrado del firewall, lo que conlleva una configuración previa para permitir el tráfico entrante.
Esto permite la identificación de atacantes tanto externa como interna, sin embargo, ponemos en riesgo todo nuestro sistema, ya que el atacante tendrá vía libre a toda nuestra red, si logra comprometer el Honeypot.
Para minimizar este riesgo, podremos incluir un firewall extra en el Honeypot, que limite el tráfico de salida (reverse firewall).

En la DMZ (Zona Desmilitarizada): 
Personalmente, este es la ubicación que más me convence, ya que permite situar en el mismo segmento de red a nuestro Honeypot con nuestros servidores de producción, controlando el peligro ya que existe un firewall que lo aisla del resto de nuestra red.
Es la arquitectura ideal para organizaciones o empresas y permite detectar ataques tanto externos como internos, con una simple reconfiguración del firewall, ya que el Honeypot se encuentra en una zona de acceso público.

Con los conceptos claros, ahora pasamos a mostraros la prueba de concepto. Este proyecto ha sido creado por Juan Velasco y Diego Jurado, y presentado al reto de jovenes profesionales de ISACA, el cual se celebrará el día 27 en el evento de MundoHackerDay (Madrid).



DeceptionPI

Vamos a realizar un breve resumen sobre el proyecto realizado. Quien quiera, puede descargar nuestro trabajo en formato PDF en el siguiente enlace: https://lnkd.in/ddKGe5y

DeceptionPI se centra en el análisis de las tendencias de ataques y malware en sistemas señuelos para informática forense. Nace de la necesidad de obtener y analizar los diferentes tipos de amenazas informáticas mediante la emulación de vulnerabilidades, concretamente ataques Secure Shell (SSH).

Implementamos y configuramos una pequeña red de sensores, integrados en plataformas de pequeñas dimensiones (Raspberrys) y situados tanto en Madrid como Granada y mediante los cuales recogeremos y clasificaremos datos, malware y otra información de interés.

Este es el esquema de red que implementamos:

Para la configuración de nuestros sistemas en las raspberrys, utilizamos el sistema operativo "Raspbian", junto con la integración de Honeypots Cowrie, basados en la detección de ataques SSH.
Durante este proceso, tuvimos que configurar a conciencia nuestros sistemas, emulando una apariencia completamente real, para que los atacantes no detectaran que se encontraban en un Honeypot, y abandonasen sus ataques.

Una vez configurados los sistemas, estuvimos recogiendo ataques de todas partes del mundo durante una semana y decidimos crear una página web en la cual pudiésemos mostrar los resultados de forma visual.
Esta es la web: http://deceptionpi2016.tk/

Entre los ataques recibidos, podemos mostrar (entre otros) cuales son los diez países más atacantes, las combinaciones de usuarios y contraseñas más utilizadas, o incluso la geolocalización ip de los atacantes.

Pero sin duda, una de las partes más interesantes del proyecto fue el análisis de los resultados.

Pudimos recoger muestras de malware de todo tipo, las cuales fueron estudiadas para determinar el impacto y el tipo de malware recibido. 

Utilizamos listas de reputación conocidas como virustotal para saber si los hashes ya habían sido detectados anteriormente o por el contrario, se trataba de nuevas tendencias de malware.

También podemos determinar si la IP atacante pertenece a una botnet, consultando en listas de reputación de bots. 

Para esto, hemos utilizado un script implementado por @rbelane el cual nos permite determinar de una lista de IP's, cuales de ellas forman parte de una botnet.

Recomendaciones

Hemos detectado hasta 3200 ataques por día en nuestros sensores, lo cual nos muestra que todos nos encontramos expuestos, y que todos somos vulnerables si no configuramos nuestros servicios de manera correcta.

Hemos sido capaces de detectar nuevas tendencias de ataque, nuevos patrones, detecciones de malware y por eso os recomendamos:

1. Cambiar el puerto SSH por defecto.
2. No permitir la autenticación por defecto (root o 1234)
3. Implementar medidas contra ataques por fuerza bruta.
4. Uso de contraseñas más fuertes.
5. Hacer uso de las opciones host.allow y host.deny , o configuración de reglas mediante iptables para especificar desde que dirección se va a permitir el acceso y desde cuáles no.

Espero que les haya gustado esta entrada. Esto es tan solo una mínima parte de nuestro proyecto, pero como ya he dicho anteriormente, podéis descargar nuestro trabajo, con el fin de conocer todos estos datos de manera más detallada.
Nuestro proyecto fue seleccionado, y expondremos mañana en mundohackerday
Os esperamos.

"To make a good defense, you have to know how they attack."

Introducción a los sistemas señuelo - Honeypots

Autor: Diego Jurado

Buenos días hackers!

En el día de hoy os traemos un tema muy interesante y que está muy de moda y no es otro que el de los sistemas señuelos, conocidos comúnmente como honeypots. Trataremos de dar una introducción clara y concisa para más adelante poder exponer un análisis más exhaustivo.


¿Que es un Honeypot?

Un honeypot (en inglés "tarro de miel") es un sistema muy flexible dentro de la seguridad informática, que se encarga de atraer y analizar el comportamiento de los atacantes en internet, y que provee al informático forense de una información extremadamente valiosa.

Y os preguntareis, ¿para que puede querer una persona atraer atacantes a sus propio sistema? , esto puede resultar muy contradictorio, pero lo que se busca con esta implementación es capturar todo el tráfico de red entrante y conocer todos los detalles acerca de las tendencias y metodologías de ataque de los atacantes así como los fallos de seguridad en nuestra red con el fin de subsanarlos.

Los honeypots pueden ejecutarse bajo cualquier sistema operativo y bajo cualquier servicio. Los servicios configurados determinan los vectores de ataque disponibles para que el intruso comprometa y ponga a prueba el sistema.



Finalidad de los Honeypots

Estas son algunas de las posibilidades que nos ofrecen los honeypots:

• Desviar y distraer la atención del atacante.
• Detectar y aprender nuevas vulnerabilidades.
• Obtener información sobre el atacante (geolocalización, ip,puertos,etc).
• Obtener tendencias de ataque y paises más atacados.
• Detectar nuevas muestras de malware que aún no se conozcan.
• Recopilar y estudiar tendencias de ataque

Clasificación de Honeypots

Los honeypots se clasifican según su implementación (virtuales o físicas) y su nivel de interacción (baja, media, alta).


SEGÚN SU IMPLEMENTACIÓN: 

• Para producción: Al implementar un honeypot en una red de producción, el objetivo principal es la obtención de información sobre técnicas empleadas para tratar de vulnerar los sistemas que componen dicha infraestructura.

• Para investigación: Por otro lado, en este caso los honeypots constituyen recursos educativos de naturaleza demostrativa cuyo fin es recopilar la mayor cantidad de información que permita al investigador poder analizar las nuevas tendencias y métodos de ataque así como los distintos objetivos atacados y orígenes de los ataques.

SEGÚN SU INTERACCIÓN: 

• Alta interacción: Este tipo de honeypots se trata de un sistema convencional,construidos con máquinas reales como el que podría utilizar cualquier usuario. Se sitúan generalmente en la red interna en producción y no tiene más utilidad que la de ser atacados, lo cual significaría que el sistema está mal configurado.
  
  Cada interacción con este honeypot se considera sospechosa por definición, y  todo el tráfico debe ser monitorizado y almacenado en una zona segura de la red a la que un potencial atacante no tenga acceso.

• Baja interacción: Este tipo suele ser creado y gestionado por organizaciones dedicadas a la investigación de acciones fraudulentas en la red, con la cual se investiga acerca de nuevas amenazas en la red. Son más fáciles de utilizar y mantener, con un riesgo prácticamente nulo.
  
  Esta implementación se basa por lo general en una instalación de software de emulación de sistema operativo, utilizando herramientas conocidas como VMware o Virtual Box.

Tipos de Honeypots

Estos son algunos de los honeypots más conocidos: 

• Kippo: Baja interacción, emula servicios de Secure Shell (SSH).

• Glastopf: Baja interacción para aplicaciones web.

• Dionaea; Baja interacción, sucesor de "Nepenthes" para la recogida de malware.

• Honeyd: Baja interacción , demonio que crea host virtuales en la red para servicios arbitrarios.

• Sebek: Alta interacción , funciona como HIDS (Host-Based Intrusion Detection System).

• Otros: KFSensor, Specter, HoneyBOT, HiHat

Espero que les haya gustado esta breve introducción, en la próxima entrega mostraremos en que partes de la red podemos montar estos sistemas señuelos y realizaremos una prueba de concepto (PoC) montando un honeypot de baja interacción en un sistema windows, linux o en una simple raspberry.

Para aprender más sobre el tema, os recomendamos la charla de Francisco Rodríguez (@0fjrm0), experto en ciberseguridad en INCIBE y creador de HoneyStation.

“conociendo como te atacan puedes defenderte mejor”   

The Deep Web

En los últimos años, y sobretodo gracias al crecimiento exponencial de acceso a Internet, se dice que vivimos en la "Era de la Información". Pero nada más lejos de la realidad. La gente corriente está "conectada a Matrix", eres tú quien debe elegir si quiere tomar la pastilla roja o la pastilla azul, si quieres seguir al conejo blanco.

Pero, ¿realmente te interesa lo que puedes encontrar en este oscuro mundo real?

El Internet superficial que nosotros conocemos (indexada por los motores de búsqueda como son Google o Yahoo) representa tan solo el 10% del contenido total de Internet. El 90% restante, se suele dividir en niveles de profundidad, llegando a ser el último nivel un mito surgido de la página 4chan: "Marianas Web", donde se alojarían las páginas menos accesibles, y se compartirían los vídeos más macabros.

Es muy común al buscar información sobre la Deep Web la presentación de la siguiente imagen:

Para acceder a la Deep Web es necesario usar una red anónima, siendo las más demandadas Tor, Freenet y I2P; pero ojo, esto no quiere decir que si te conectas con cualquiera de estas redes lo hagas de manera totalmente anónima. El uso del correo electrónico o de redes sociales puede desenmascararte, CUIDADO dónde os metéis. En este caso, elegiremos Tor.

• Tor2Web (proxy para conectarte desde cualquier navegador)
• Tor Browser (navegador basado en Firefox)
• Proyecto Freenet
• Comunidad IP2

Los dominios de la Deep Web cambian constantemente, por lo que deberemos usar alguna Wiki para poder acceder al mapa del contenido. La wiki más extenderizada es "The Hidden Wiki", la cual provee de enlaces con dominio .onion.

Como se puede comprobar, la tabla de contenidos es de lo más variopinta:

Destacamos los más interesantes:

• Voluntariado: si quieres ayudar a la comunidad The Hidden Wiki (añadiendo enlances  .onion) este es tu sitio.
  
• Servicios financieros: cuentas robadas de Paypal, duplicados de tarjetas de crédito, carteras de Bitcoins totalmente anónimas, falsificación de billetes, ... .
  
• Servicios comerciales: productos electrónicos (móviles, productos Apple, videoconsolas) caídos del camión, pasaportes, licencias de conducción, drogas y armas.
  
• Anonimato y seguridad: seguridad, privacidad, y anonimato para toda la navegación que se pueda realizar.
  
• Servicios de hosting: alojamiento web (con dominio .onion), creación de tiendas con integración de Bitcoins, almacenaje y venta de imágenes, ... . Si se quiere crear un dominio en la DeepWeb, podemos echar un vistazo a la entrada anterior publicada por Hackbier.
  
• Correo y mensajería: cuentas de correo anónimas tanto de identidad como de ubicación, tanto gratis como de pago.
  
• Activismo político: hacktivismo ético, documentación secreta de compañías y archivos censurados. 
  
  
  
• Denuncia de irregularidades: WikiLeaks, recursos de la Red de Inteligencia Estratégica, ... hasta existe una comunidad para limpiar a la red Tor de pornografía infantil, administrando páginas donde denunciar contenido.
  
• H/P/A/W/V/C (Hack, Phreak, Anarchy (internet), Warez, Virus, Crack): un poco de todo dedicado a este nuestro mundo.
  
• Libros: colecciones de miles de ebooks, tanto con DRM como sin el, así como documentación para crear químicos, drogas, explosivos, armas, ... .
  
• Pornografía: tanto en ámbitos legales como en distintos niveles ilegales (violaciones, snuff, fotos robadas de famosas, zoofilia, pornografía infantil, ...).
  
• Drogas: en este caso, nos hemos metido en la primera página de drogas que se menciona: "AlphaBay Market", y tras unos breves pasos, ya estamos listos para comprar sin la necesidad de introducir correo alguno a la hora de registrarnos: necesitaremos nombre de usuario, contraseña, y un pin de registro. 

Como se puede apreciar, en esta página no sólo se venden drogas, sino también joyas, armas, tarjetas de crédito... llegando incluso a ofrecer la devolución de una parte del dinero si el paquete no llegase a su destinatario.

La moneda de cambios de estos mercados es el famoso Bitcoin, moneda descentralizada y digital que permite el anonimato.

El sistema que se utiliza a la hora de comprar se basa en niveles de confianza, pero deberás tener en cuenta que siempre es posible que algún usuario con buena reputación decida retirarse del mercado y te conviertas en un estafado, o bien se usen multicuentas para sobrevalorar a cierto vendedor.

Ante esta clara oportunidad de estafa, existe la protección del servicio de Escrow, en el cual al realizar una transacción por un artículo, el dinero del comprador se queda depositado en manos de los administradores de la tienda hasta que el producto es enviado. Estas tiendas suelen cobrar un porcentaje muy pequeño, pero te blindan ante cualquier disputa.

En la Deep Web existen multitud de páginas "intervenidas", y muchas otras funcionan como Honeypot del FBI y otros organismos para interceptar a delincuentes.

Tras analizar el contenido de la Deep Web, podemos llegar a la conclusión de que aunque la mayoría del contenido (o al menos el más llamativo) es ilegal y se sirva por y para delincuentes; también hay mucha información sin censura que puede ser usada de manera ética para favorecer a nuestra sociedad, que al fin y al cabo, es la meta de la "Era de la información".