Jugando con nuevos HoneyPots

Publicado por Pedro C. el 10-09-2012

Si os gustó la presentación de algunos honeypots que se presentaron en la I Conferencia de Navaja Negra, comentaros que los tarros de miel tienen mucha utilidad para conocer al enemigo antes de que ataque "de verdad".

Podéis repasar los conceptos básicos que se vieron y en concreto, hasta ahora, ha ido muy bien el usado para la entrada en WordPress. Teneis los señuelos empleados en http://www.madesyp.com/docs/poc-honeypot4.tgz. Como consejo, desistir del panel de control en ruso y no lo traduzcáis a chino tradicional u otros derivados ya que tendréis muchas y "curiosas" visitas… ;-D

Debido a ese feedback que nos reportan, es necesario avanzar y que sean más completos, ya que hay veces que es necesario engañar a herramientas como el querido y reconocido Golismero del compañero Cr0hn cuando se usa para realizar pruebas de vulnerabilidades o descubrimiento de sitios. Y sobre todo, mucho más ahora desde que fue incluida en BackTrack 5!!!

En este caso, os presento a WordPot de Gianluca Brindisi licenciado bajo ISC que es un honeypot que simula un Wordpress para detectar pruebas para ver si se encuentran instalados plugins, temas, la reciente vulnerabilidad de Agosto de timthumb y otra serie de ficheros empleados para obtener el fingerprint de una instalación de Wordpress con la versión que queramos, vulnerabilidades de módulos, etc. Básicamente, tan sólo es necesario seguir los pasos que el Autor nos ofrece en su web. En 2 minutos tendremos un señuelo perfectamente configurado y funcionando para investigar la información que les gusta buscar a los "enanitos" con herramientas como la referenciada. Os vais a sorprender!!!

El siguiente que os presento, me sorprendió por su "genial idea" ya que hace algún tiempo, hubiera sido un excelente compañero funcionando 24x7x365!!! Se trata de BluePot y como su nombre indica, es un honeypot que simula un dispositivo bluetooth como un móvil, etc. Desarrollado por Andrew Smith como Proyecto Universitario y licenciado bajo GNU GPLv3. Se encuentra en Java y sólo se puede ejecutar bajo GNU/Linux. Bajo Debian, es necesario instalar libbluetoth-dev ya que necesita modificar algunas cosas. También es obligatorio ejecutarlo bajo los permisos de "root", pues tiene que lidiar con hardware a bajo nivel.

Admite uno o varios dispositivos bluetooth y para instalarlo, es tan sencillo como:

miel#apt-get install libbluetooth-dev 
miel#wget http://bluepot.googlecode.com/files/bluepot-0.1.tar.gz
miel#tar xfz bluepot-0.1.tar.gz
miel#java -jar Bluepot-0.1.jar &
					

A partir de ahora, desde su interface gráfica, lo podreis configurar. Como recomendación, lo suyo es simular en un "garito petao" un Nokia "de los viejos de toa la vida" con un nombre "sensual" que incite a ver lo que tiene. Automáticamente la herramienta lo pondrá en modo visible aceptando cualquier conexión entrante o transferencia. Comenzará a monitorizar el protocolo OBEX (OBject EXchange), el RFCOMM y el L2CAP. Os lo pasareis bien… sobre todo si hay mucha gente a vuestro alrededor...

Por último y no menos importante, presentaros al tercero de la saga llamado Ghost. No se trata de ningún fantasma, no… Es un honeypot USB para capturar el malware que espera pacientemente a que se conecte un pendrive. Si señor!!! Licenciado bajo GNU GPLv3 por Sebastián Poeplau.

Funciona simulando ser una unidad de almacenamiento USB y dejando que el malware haga el resto. Se encuentra integrado en el Honeypot Project

Podeis descargarlo desde su página oficial en http://code.google.com/p/ghost-usb-honeypot/ y aunque se hace un poco "tedioso" instalarlo en un Windows XP, teneis el wiki oficial donde se encuentra detallado perfectamente para Win7 y XP.

Genera imágenes de los dispositivos simulados para que luego puedan ser analizadas tranquilamente, y por supuesto, desde una máquina "no Windows".

Lo único malo es que de momento, sólo se ejecuta bajo Micro$oft Windows 7 y Windows XP... También, es necesario "formatear" la unidad una vez que ha sido montada, o bien, usar una imagen en blanco que se puede descargar desde el propio proyecto. Has detectado algo nuevo en tu equipo superactualizado?

Simplemente como colofón a estos tres interesantes proyectos, comentaros que hasta que no los probeis, no os podeis hacer una idea de lo que os estais perdiendo... Y recordaros que en Academia MADESYP nos encontramos impartiendo Cursos especializados en Seguridad Informática donde realizamos y establecemos las contramedidas para las pruebas de concepto con todo ésto y mucho más...

Feliz pesca!!!