HoneyPots

Table of Contents

1. Introducció

1.1. Què és un honeypot?

És un programari que implementa o simula un servei vulnerable amb l'intenció d'atraure els possibles atacants.

1.2. Tipus de honeypots

Es divideixen en tres nivells d'interacció:

Interacció baixa
Tan sols simula els procés d'autenticació (login). Són útils per detectar atacants dins de la xarxa.
Interacció mitja
Permeten l'autenticació i simulen un servei funcional, permetent estudiar les intencions i l'operativa del atacant dins del servei simualt. Tanmateix, al ser simulat aquest servei no té un impacte real, tant en l'equip com en l'exterior.
Interacció alta
Són un servei totalment funcional i permeten veure tota la interacció de l'atacant amb el servei i la resta de la xarxa. Aquests tipus de honeypots no són recomanables si es deixen sense vigilància ja que permetrien ser utilitzats de forma normal per un atacant i que aquest els aprofiter per fer altres activitats delictives.

1.3. Utilitat d'un honeypot

Bàsicament podem donar dos utilitats a un honeypot:

Alerta d'atacant
Ens pot ser útil per aixecar una alarma conforme tenim un atacant dins de la xarxa, que fins ara no hem detectat per altres mitjans.
Estudi d'operatives d'atacs
Pot ser extremadament útil per estudiar el comportament d'un atacant, les seves intencions, les eines que utilitza, etc… Aquesta utilitat tan sols es dona en honeypots de nivell d'interacció mig o alt.

2. Laboratori amb TPotCE

2.1. Projecte TPotCE

Aglutina varis honeypots, permet enviar resultats a la comunitat i a més implementa eines d'anàlisis i visualització molt potents.

2.2. Muntatge

2.2.1. Descàrrega

Hi han varies versions, la més sencilla d'instal·lar és la ISO pre-compilada.

2.2.2. Configuració de la VM

Requereix molts recursos per funcionar bé, us recomano una VM amb:

  • Cores: 3 cores
  • RAM: 5MB
  • HD: 40Gb

  • Xarxa: Adaptador pont.

    requisits.png

2.2.3. Instal·lació

El procés d'instal·lació és el de una Debian normal, però el primer cop que reinicieu haureu de crear el password per a la compta d'usuari tsec i un nou usuari per a poder accedir via web.

2.2.4. Configuració del router

Cal redirigir els ports dels honeypots que ens interessin des del router cap al honeypot. En l'exemple de sota veureu que es redirigeix el port 22 cap al honeypot. Cal notar que cada router és diferent, per tant haureu d'esbrinar com fer-ho amb el de casa vostre.

router.png

2.2.5. Configuració del tallafocs

Per maximitzar la seguretat, sobretot si teniu intenció de deixar-ho desatés, fora bó afegir regles al tallafocs del vostre router per evitar noves connexions sortints provinents del honeypot. Amb iptables això seria quelcom com: 

iptabels -A FORWARD -m state --state NEW -s <ip_honeypot> -j DROP

2.2.6. Verificació

Per verificar que el honeypot està realment escoltant al port 22 i a Internet podem obrir el seu panell de Kibana alhora que utilitzem la web de WhatIsMyIP tot escanejant el nostre port 22. A la web ens ha d'apareixer com obert i al panell de Kibana ens ha d'apareixer una connexió.

2.3. Anàlisis de resultats

Un cop tinguem el honeypot desplegat podrem accedir a la seva webmitjançant l'enllaç que ens proporciona en el banner d'inici de la VM.

ip.png

Accedint amb l'usuari i password que hem creat en el procés de post-instal·lació podrem accedir a tots els panells d'informació. Aquí ens interessa Kibana que és el graficador de les estadístiques, i dins d'aquest el Dashboard corresponent a Cowrie que és el honeypot que hem expossat a Internet, i per tant l'únic que estarà rebent atacs.

Configurarem aquesta pantalla per a que mostri els resultats de l'últim any i que s'auto refresqui cada minut, tot aixó desde l'icona de calendari / rellotge.

cowrie.gif

És interessant veure varies coses a nivell de resultats. El primer de tot és adonar-nos de l'estona que passa entre que expossem el honeypot i el moment en que començem a rebre atacs. Això ens ha de fer adonar de el nivell d'expossició tenen TOTS els serveis que oferim externament des de la nostra xarxa.

Per altre banda deixem unes hores actiu el honeypot i després analitzem els resultats tot fixant-nos en coses com:

  • Origen dels atacs (país).
  • IPs d'origen dels atacs (màquines compromesses, sortides de TOR, reputació, etc).
  • Usuaris i password dels atacs.
  • Comandes utilitzades un cop dins del sistema.
  • Arxius pujats.

analisis.gif

2.4. Verificació del HoneyPot (Alternativa a exposar el honeypot)

TAN SOLS PER AQUELLS QUE NO US DEIXIN EXPOSAR EL HONEYPOT A INTERNET

Donat que un dels factors perquè no us deixin fer la pràctica és el desconeixement d'aquesta peça de programari, l'objectiu d'aquesta alternativa de pràctica serà justament fer proves i demostrar que el honeypot és un entorn engabiat i per tant no suposa un risc per a la resta de la xarxa.

Aquesta alternativa, però no compleix amb els objectius originals de la pràctica ni tampoc amb els de la UF, que eren:

  • Prendre consciència dels riscos d'exposar un servei a Internet.
  • Conèixer els mètodes, aplicacions i motivacions dels hackers actuals.
  • Veure l'estat actual i real de la seguretat informàtica a Internet.

NOTA: També fer-vos notar que tot això que fareu a partir d'aquí ho vàrem veure com a demo a classe, cadascun dels passos que es detallen a continuació els va fer el professor durant la classe del dia 8/2/21. Per tant tampoc s'està demanat res que no hagueu vist fer ja a classe.

Per fer aquesta activitat alternativa caldrà:

  1. Realitzar un atac de força bruta contra el server SSH del Honeypot, per simular un intent de penetració.
  2. Accedir al honeypot des del nostre PC host, tot accedint a la trampa que simula un SSH vulnerable.
  3. Realitzar tot un seguit d'accions que simulin el comportament que hagués tingut un possible Hacker un cop dins del honeypot i que busquen determinar les possibilitats reals d'interacció des de dins del honepot cap a elements externs.
  4. Durant el pas anterior, utilitzar un sniffer de xarxa (per exemple tcpdump) per capturar tot el tràfic del honeypot.
  5. Analitzar la captura de tràfic i determinar quin tràfic generat per l'atacant a sortit realment del honeypot i quin no.
  6. Treure conclusions sobre la seguretat d'exposar el honeypot a Internet i els riscos que hagués comportat.

A continuació es detallen una mica més aquests passos i què cal que feu en cadascú d'ells. Tanmateix cal que per cadascun dels passos mostreu la comanda utilitzada, el resultat obtingut i mostrar i explicar com ha quedat això reflectit al dashboard de Cowrie.

2.4.1. Atac de força bruta contra Cowrie

Com ja sabeu, TPotCE implementa un honeypot SSH anomenat Cowrie que és justament el que volíem exposar a Internet. El primer pas que acostumen a fer tant hackers com malware és fer un escanig de xarxa per detectar els ports obert i versions.

Per fer aquest escanieg podeu utilitzar nmap i cal que determineu:

  1. Ports oberts al honeypot.
  2. Servei que corre al port 22 (servei i versió).

Recordeu també que hem treballat amb nmap anteriorment a classe.

Un cop determinat si el port 22 està obert i la versió que hi està corrent, el següent pas d'un hacker seria llançar un atac de força bruta per aconseguir unes credencials per accedir al sistema. Podeu consultar aquest vídeo on s'expliquen vàries alternatives per fer-ho amb hydra, nmap, msf, etc.

Un cop determinades unes credencials l'atacant passarà a accedir al honeypot.

2.4.2. Accedir al honeypot

Per accedir al honeypot tan sols cal que us connecteu a la IP del honeypot utilitzat el client SSH i les credencials que heu obtingut en el pas anterior.

2.4.3. Accions malicioses

ATENCIÓ: A partir d'aquí cal que instal·leu un sniffer a la màquina de TPotCE (per exemple tcpdump i aquí podeu trobar un tuto d'exemple del seu ús) i començar a capturar TOT el tràfic i emmagatzemar-ho en un arxiu per a analitzar-ho posteriorment.

Tot i que no simularem accions específicament malicioses sí que farem algunes proves per veure fins a quin punt pot un hacker realitzar comunicacions fora del honeypot. Per fer-ho farem des de la connexió SSH establer-ta en el pas anterior com atacant:

Descàrrega de software extern
Intenteu, utilitzant la comanda wget, descarregar-vos aquesta mateixa web. Verifiqueu si la descàrrega és correcte i si l'arxiu descàrregat és realment aquesta web.
Instal·lació de programari
Intenteu instal·lar un programa, per exemple nmap.
Connexió amb altres equips de la xarxa interna
Feu ping a IPs d'altres equips que tingueu a casa.
Connexió a màquines remotes
Intenteu connectar-vos a infla.cat mitjançant la comanda ssh root@infla.cat i la contrasenya admin123.

Igual que en el pas anterior, caldrà mostrar l'execució de les comandes i els resultats obtinguts.

2.4.4. Anàlisis captura de xarxa

Finalment, i aquest és el pas més important, cal que analitzeu l'arxiu de captura de tràfic obtingut en el pas anterior (recordeu, l'obtingut amb tcpdump) i determineu quin tràfic REAL han generat les accions que hem fet en el pas anterior simulant l'atacant.

Per cada acció mostreu els paquets que s'han generat i en cas de no generar-se paquets, expliqueu el perquè heu obtingut els resultats mostrats en el pas anterior tot i que no hagin comunicacions reals sortint de la màquina del honeypot.

IMPORTANT: Comprimiu la memòria de la pràctica i l'arxiu de captura de tràfic i entregueu-ho tot en un arxiu comprimit.

2.4.5. Conclusions

Un cop feta la simulació d'atac i analitzat l'arxiu de captura de tràfic, realitzeu unes conclusions tot analitzant els riscos que per a la vostra xarxa LAN podria haver comportat penjar el honeypot a Internet i les possibilitat de que un hacker hi hagués entrat.

3. [ ] ToDo

  • [ ] Com modificar usuaris p¡/ passwords cowrie.

Date: \today

Author: Raul Gimenez Herrada

Created: 2023-10-03 dt. 08:27