ARTCULOS SOBE HONEYPOTS.

LVARO PAZ.

Tarros de miel.
En este post no voy hablar de apicultura, aunque el titulo se acerque mucho a este mundo, voy hacer una pequea introduccin de los Honeypots, y recomendar algn software Honeypots y documentacin para iniciarse en este tema. Los Honeypots como su traduccin al castellano indica son tarros de miel para atraer abe!as", pero en el terreno de la seguridad inform#tica, son servidores $tarros de miel% que emulan tener muchas vulnerabilidades para atraer ataques inform#ticos $abe!as% y registrarlos para su posterior estudio. Los Honeypots se usan sobre todo para estudiar ataques en una red. Los tarros de miel son tambi&n muy usados para la deteccin temprana de ataques. 'ero hay que tener bien claro que un Honeypot no se puede usar como elemento de proteccin contra ataques. Los tarros de miel se deben usar con mucha precaucin en redes empresariales debido a que sus caracter(sticas $atraer atacantes% pueden poner en peligro la red, cuando el Honeypot es tomado por el atacante, puede ser usado para comprometer la seguridad de otros elementos de la red o para atacar otros sistemas fuera de la red, como por e!emplo) envi masivo de spam, ataques de denegacin de servicio... 'ara iniciarse en este tema recomiendo dos Honeypots gratuitos para *indows muy f#ciles de usar) +ultipot y Honeyboot. 'ara los que quieran profundi,ar en el tema, les de!o documentacin muy interesante $en ingles% y una recomendacin el honeypot -epenthes para Linu.. +ultipot para *indows) http)//labs.idefense.com/software/malcode.php0more1multipot Honeybot para *indows) http)//www.atomicsoftwaresolutions.com/honeybot.php -epenthes para Linu.) http)//nepenthes.mwcollect.org/ 2oftware Honeypot de honeypots.net") http)//www.honeypots.net/honeypots/products 3mplia documentacin sobre Honeypots de honeypots.net") http)//www.honeypots.net/honeypots/lin4s 5nfocus) 6efeating Honeypots) 2ystem 5ssues, 'art 7 http)//www.securityfocus.com/infocus/789: 5nfocus) 6efeating Honeypots) 2ystem 5ssues, 'art 9 http)//www.securityfocus.com/infocus/7898

Enmascarar sis ema !ara e"i ar OS #in$er!rin in$.

El ;2 <ingerprinting es una t&cnica que cosiste en anali,ar las huellas que de!a un sistema operativo en sus cone.iones de red. Est# basada en los tiempos de respuesta a los diferentes paquetes, al establecer una cone.in en el protocolo =>'/5', que utili,an los diferentes sistemas operativos. Lo m#s habitual para evitar esta t&cnica es implementar 562 $sistema de deteccin de intrusos%. 'ero algunas veces un 562 no detecta esta t&cnica y aunque la detecte si no es un 562 reactivo $que responde a la actividad sospechosa reprogramando los cortafuegos para que bloquee tr#fico que proviene de la red del atacante% nos sirve para evitarla. E.iste otra forma de evitar est&s ataques que consiste en enmascarar nuestro sistema, o bien modificando los valores =>'/5' o utili,ar sistemas operativos virtuales con una filosof(a parecida a los honeypots. Modificar valores TCP/IP en Windows: =ime =o Live $==L%. En sistemas *indows tiene un valor de 798. 'ara modificarlo se usa el regedit y en H?L+@2ystem@>urrent>ontrol2et@2ervices@=cpip@'arameters@" se crea o se modifica una nueva variable 6*;A6 con el nombre 6efault==L y se introduce el valor deseado. 'or e!emplo) :B el usado para sistemas Linu.. +odificar el tamao de la ventana. Csando el regedit en H?L+@2ystem@>urrent>ontrol2et@2ervices@=cpip@'arameters@5nterfaces" se crea o se modifica una nueva variable 6*;A6 con el nombre =cp*indow2i,e y se introduce el valor deseado. 6esactivar paquetes 5>+' Aedirects.>on el regedit en H?L+@2ystem@>urrent>ontrol2et@2ervices@=cpip@'arameters@" se crea o se modifica una nueva variable 6*;A6 con el nombre Enable5>+'Aedirects y se introduce el valor D $por defecto est# a 7%. Es recomendable antes de hacer estas modificaciones hacer una copia de seguridad del registro de *indows, debido a que estas modificaciones pueden afectar a la conectividad del sistema a los diferentes servicios. Modificar valores TCP/IP en sistemas Linux: =ime =o Live $==L%. En sistemas Linu. tiene un valor de :B. 'ara modificarlo usamos el comando echo 798 E /proc/sys/net/ipvB/ip1default1ttl", introducimos 798 porque es el valor por defecto de *indows. 6esactivacin de =>' =5+E2=3+'. Ctili,amos el comando echo D E /proc/sys/net/ipvB/tcp1timestamps". 6esactivacin del tamao de la ventana. Ctili,amos el comando echo D E /proc/sys/net/ipvB/tpc1window1scaling". 3ctivar 5>+' AE65AE>=2. Ctili,amos los comandos) echo D E /proc/sys/net/ipvB/conf/all/accept1redirects" para aceptar est&s paquetes y echo D E

/proc/sys/net/ipvB/conf/all/send1redirects" para enviarlos. =ambi&n se recomienda hacer copias de seguridad ya que modificar estos par#metros puede afectar a la conectividad del sistema. Utilizar sistemas operativos virtuales. La siguiente t&cnica no nos permite ocultar o cambiar completamente nuestro 2;, pero nos va permitir ocultarlo en aspectos concretos de cone.iones. Esta idea est# siendo aplicada en el tema de los honeypots y consiste en hacer creer a los atacantes que hay m#quinas de un 2; espec(fico $el virtual% y ocultar tu 2; real para atraerlos. La herramienta que emplearemos es honeyd, de -iels 'rovos. Cna de sus grandes caracter(sticas es que podemos asignar a cada una de nuestros dispositivos virtuales el 2; que queramos. Esa personalidad tambi&n se especifica con un fichero normal de firmas de 2; de -map, permiti&ndonos convertirnos en el 2; que queramos. Cn e!emplo practico) =enemos un servidor Linu. que queremos que responda como) si fuera 2istema 2olaris si se intenta conectar un *indows con el, que es un *indows 9DDD server 2'9 si se conectan desde un rango de 5p asignado y que es un router si se conectan a determinadas horas desde 79)DDam a F)DDam. En primer lugar instalamos honeyd, y despu&s configuramos el archivo honeyd.conf) El servidor tiene la ip 7G9.7:8.7.7DD. 3rchivo honeyd.conf) 00000 Honeyd >onfiguration <ile 00000

000 000 2tart with default template. 5f you donHt assign specifc 000 behavior to a specific 5' address, Honeyd defaults to the 000 HdefaultH template. Iou must have a template with the name 000 HdefaultH. 000 6efault =emplate create default 0 2et default behavior set default personality J*indows -=B / *inGF / *inG8J set default default tcp action reset set default default udp action reset set default default icmp action open

0 3dd specific services add default tcp port 7KG open add default tcp port 7KL open add default udp port 7KL open add default udp port 7KF open 000 *e now have the rest of our templates and honeypot behavior 000 000 'ort Mehavior 000 =>' $default is ;pen% 000 N ;pen) Aespond with 2yn/3c4, establish connection 000 N Mloc4) 6rop pac4et and do not reply 000 N Aeset) Aespond with A2= 000 N =arpit) 2tic4y connection 000 000 C6' $default is >losed% 000 N ;pen) -o response 000 N Mloc4) 6rop pac4et and do not reply 000 N Aeset) Aespond with 5>+' port error message 000 000 5>+' $default is ;pen% 000 N ;pen) Aeply to 5>+' pac4ets 000 N Mloc4) 6rop pac4et and do not reply 000 000 =arpit =emplate 000 5nsecure and open +ac bo. designed to tarpit worms/autorooters 000 2olaris 2pam Aelay create relay set relay personality J2olaris 9.: N 9.LJ set relay default tcp action reset set relay default udp action reset add relay tcp port 9F Jperl scripts/uni./general/smtp.plJ add relay tcp port 777Jperl scripts/uni./general/rpc/bportmapd NNproto tcp NNhost scripts/uni./general/rpc/hosts/solarisN9.L NNsrcip Oipsrc NNdstip Oipdst NNsrcport Osrcport NNdstport Odport NNlogfile /var/log/honeyd NNlogallJ add relay tcp port 8D8D Jperl scripts/uni./general/pro.y.plJ add relay udp port 777Jperl scripts/uni./general/rpc/bportmapd NNproto udp NNhost scripts/uni./general/rpc/hosts/solarisN9.L NNsrcip Oipsrc NNdstip Oipdst NNsrcport Osrcport NNdstport Odport NNlogfile /var/log/honeyd NNlogallJ bind 7G9.7:8.7.79D relay 000 2tandard *indows 9DDD computer

create win94 set win94 personality J*indows 9DDD server 2'9J set win94 default tcp action reset set win94 default udp action reset set win94 default icmp action bloc4 set win94 uptime KF:L set win94 droprate in 7K add win94 tcp port 97 Jsh scripts/winK9/win94/msftp.sh Oipsrc Osport Oipdst OdportJ add win94 tcp port 9F Jsh scripts/winK9/win94/e.changeNsmtp.sh Oipsrc Osport Oipdst OdportJ add win94 tcp port 8D Jsh scripts/winK9/win94/iis.sh Oipsrc Osport Oipdst OdportJ add win94 tcp port 77D Jsh scripts/winK9/win94/e.changeNpopK.sh Oipsrc Osport Oipdst OdportJ add win94 tcp port 7BK Jsh scripts/winK9/win94/e.changeNimap.sh Oipsrc Osport Oipdst OdportJ add win94 tcp port K8G Jsh scripts/winK9/win94/ldap.sh Oipsrc Osport Oipdst OdportJ add win94 tcp port FGD7 Jsh scripts/winK9/win94/vnc.sh Oipsrc Osport Oipdst OdportJ add win94 udp port 7:7 Jperl scripts/uni./general/snmp/fa4eNsnmp.pl public private NNconfigPscripts/uni./generalJ 0 =his will redirect incomming windowsNfilesharing bac4 to the source add win94 udp port 7KL pro.y Oipsrc)7KL add win94 udp port 7K8 pro.y Oipsrc)7K8 add win94 udp port BBF pro.y Oipsrc)BBF add win94 tcp port 7KL pro.y Oipsrc)7KL add win94 tcp port 7K8 pro.y Oipsrc)7K8 add win94 tcp port 7KG pro.y Oipsrc)7KG add win94 tcp port BBF pro.y Oipsrc)BBF bind 7G9.7:8.7.7KD win94

000 >isco router create router set router personality J>isco 5;2 79.7$F%N79.9$7%J set router default tcp action reset set router default udp action reset set router uid K9L:L gid K9L:L set router uptime 7K9L:FD add router tcp port 9K Jperl scripts/router/cisco/routerNtelnet.plJ add router tcp port 8D open add router udp port 7:7 Jperl scripts/uni./general/snmp/fa4eNsnmp.pl public private NNconfigPscripts/uni./generalJ bind 7G9.7:8.7.9FB router 000 000 *e now have our dynamic template, which creates different 000 virtual honeypots based on the attac4er, including ;2. Honeyd 000 has passive fingerprinting capabilities built into it. Iou

000 can see which ;2 types it can passively fingerprint in the 000 file pf.os. 000 000 -;=E) Iou can ma4e the dynamic template your default template 000 with Hdynamic defaultH. 3lso, the dynamic template must 000 go after all the other templates it is using, as such 000 the dynamic template should go last. 000 000 6ynamic honeypot dynamic magichost add magichost use relay if source os P JwindowsJ add magichost use win94 if source ip P 7G9.7:8.7.D/98 add magichost use router if time between 79)DDam N F)DDam bind 7G9.7:8.7.7DD routerone E.isten mas configuracin y documentacin en la pagina web del proyecto honeyd.

+odificar los valores =>'/5' en ambos sistemas operativos puede tener problemas de conectividad y no funcionar algunos servicios, si se quiere reali,ar esta t&cnica se necesita probar que los servicios que se ofrecen funcionan al hacer las modifcaciones, adem#s no garanti,a que no sean detectados. Csar honeyd dentro de sus limitaciones es la me!or opcin y camufla perfectamente el sistema. +#s informacin y descarga de honeyd) http)//www.honeyd.org/

Se$%ridad SCA&A' Hone(!o !ara sim%lar redes SCA&A.

Es muy dif(cil recrear un honeypot de una red 2>363 dado la variedad de despliegues de redes industriales y la falta de una arquitectura est#ndar. ;tro de los factores que dificultan simular estas redes, es que utili,an muchos protocolos de red diferentes y topolog(as muy comple!as. En 2>363 Honey-et 'ro!ect podemos encontrar complementos para el honeypot Honeyd que nos permiten simular una variedad de redes industriales tales como arquitecturas de 2>363, de 6>2, y de 'L>. >on Honeyd es posible simular varios dispositivos industriales basados en 5' en un mismo anfitrin como por e!emplo) un servidor de +odbus/=>' en el puerto FD9 y Ether-et/5' en los puertos BB878/9999. I de esta forma recoger datos sobre los ataques que se producen a dichos dispositivos. 'ara completar este honeypot necesitamos simular cone.iones serie debido a que muchos dispositivos industriales utili,an A2N9K9/B8F, es posible, utili,ando el modulo programado en python llamado py2erial. 6e esta forma presentamos un interfa, de protocolo a un atacante que se conecte por el puerto serie.

Este honeypot no solo nos puede servir de estudio de ataques que puede sufrir una red industrial, aplicando las cualidades de Honeyd nos permite utili,arlo como t&cnica de camufla!e ante ataques de <ingerprinting. Ia que entre las opciones de Honeyd es posible configurar que solo responda a un rango de 5' determinado o que responda en una fran!a horaria concreta. +#s informacin y descarga de 2>363 Honey-et 'ro!ect) http)//scadahoneynet.sourceforge.net/ E!emplo de simulacin de un 'L>) http)//scadahoneynet.sourceforge.net/plc.html +odulo py2erial escrito en python de simulacin de A2N9K9/B8F) http)//pyserial.sourceforge.net/

Hone(!o !ara SSH.

2e trata de ?ippo un )one(!o para 22H diseado para registrar ataques de fuer,a bruta y la interaccin del atacante en el mismo. ?ippo se inspira, pero no est# basado en ?o!oney. 3lgunas caracter(sticas interesantes) 2imula un sistema de ficheros completo que se aseme!a a una instalacin de 6ebian F.D, con capacidad de agregar y quita archivos. La posibilidad de agregar archivos a ese sistema de ficheros falso permite que el atacante pueda ver archivos tales como /etc/passwd", solo se incluye un contenido m(nimo del archivo. Aegistros de la sesin del atacante son almacenados en un formato compatible con C+L para la respuesta f#cil con sincroni,aciones originales. ?ippo salva los archivos transferidos con el wget para la inspeccin posterior. ?ippo est# probado en las plataformas) 6ebian, >ent;2, <reeM26 y *indows L. I necesita de los siguientes componentes para su funcionamiento) 'ython 9.FQ, =wisted 8.DQ, 'y>rypto y interface Rope. +#s informacin y descarga de ?ippo en) http)//code.google.com/p/4ippo/

&es!lie$%e r*!ido ( +*cil de Hone(!o con ma,%ina "ir %al.

6esplegar un entorno Honeypot de una forma r#pida y f#cil es posible con Honey6rive una maquina virtual $;S3% con Tubuntu 79.DB edicin de escritorio de K9 bits, que contiene varios paquetes de software honeypot como) honeypot ?ippo 22H, 6ionaea honeypot malware, Honeyd, Ulastopf honeypot web !unto con *ordpot y =hug honeyclient.

3dicionalmente incluye scripts y utilidades preNconfigurados, tiles para anali,ar, visuali,ar y procesar los datos capturados como) ?ippoNUraph, HoneydNSi, y muchos m#s. 'or ltimo, muchos otros tiles de seguridad, inform#tica forense y herramientas relacionados con el malware tambi&n est#n presentes en la distribucin.

>aracter(sticas) 6istribuido en un solo archivo ;S3, listo para ser importado. L3+' completo instalado $3pache 9 y +y2VL F%, adem#s de herramientas como php+y3dmin. ?ippo 22H honeypot, adem#s ?ippo NUraph, ?ippo9+y2VL y otros scripts tiles. 6ionaea honeypot malware, adem#s 6ionaea<A y otros scripts. Honeypot de malware 3mn y scripts. Honeypot ?o!oney 22H y scripts. Honeypot web Ulastopf, !unto con *ordpot *ord'ress honeypot. Honeyd, adem#s Honeyd9+y2VL, HoneydNSi, y otras secuencias de comandos tiles. LaMrea honeypot, Honeypot =iny, emulador 552 y 5-et2im. Honeyclient =hug para el an#lisis de los ataques de lado cliente, !unto con el colector de malware mwcrawler. Cn paquete completo de seguridad, herramientas forenses y herramientas antiNmalware para la monitori,acin de la red, cdigo shell malicioso y an#lisis de '6<, como ntop, pDf, Ether3pe, nmap, 6<<, *ireshar4, >lam3S, ettercap, 3utomater, C'T, pdft4, <lasm, pdfN parser, 'yew y de.9!ar. 'lugins de <irefo. preinstalados, adem#s de software adicional til, como U'arted, =erminator, 3dminer, SI+ y Tpdf. Cna ve, descargado el archivo, simplemente hay que importar la maquina virtual $el software sugerido para su uso) ;racle S+ SirtualMo.%. =ambi&n es posible utili,a Honey6rive en productos de S+ware $Estaciones de traba!o, E2Ti , etc% siguiendo esta instrucciones) >onfiguracin Honey6rive en S+ware". +#s informacin y descarga Honey6rive) http)//sourceforge.net/pro!ects/honeydrive/