BlogWonderHowTo

Hackea como un profesional capturando exploits de día cero en la naturaleza con un Dionaea Honeypot, parte 1

¡Bienvenidos de nuevo, mis hackers novatos!

El Santo Grial de cualquier pirata informático es desarrollar un exploit de día cero, un exploit que nunca ha sido visto por antivirus (AV) y otros desarrolladores de software, así como por desarrolladores de sistemas de detección de intrusos (IDS). ¡De esa manera, puede explotar sistemas con su vulnerabilidad recién descubierta con impunidad!

Para obtener un día cero, tiene al menos dos opciones: desarrollar el suyo propio o capturar el de otra persona.

Desarrollar el suyo propio puede ser un proceso largo y tedioso y requiere un conocimiento significativo de ensamblador, fuzzing, shellcode, etc. El proceso puede llevar miles de días de trabajo. Las bandas de delincuencia cibernética y los gobiernos de espionaje invierten millones de dólares para desarrollar los días cero, pero en algunos casos raros, las personas logran desarrollar los días cero con poco esfuerzo, especialmente para los sistemas heredados. (El día cero que pirateó Target hace dos años fue desarrollado por un hacker de 17 años en Rusia, pero apuntó a Windows XP, que Target todavía estaba usando en sus sistemas de punto de venta).

El otro enfoque es capturar un día cero que otros han desarrollado y reutilizarlo. ¿Recuerda las vulnerabilidades de Hacking Team que se lanzaron cuando Hacking Team fue pirateado? Este enfoque ha sido utilizado durante mucho tiempo por desarrolladores de antivirus, investigadores forenses y, en algunos casos, piratas informáticos.

Lo que queremos hacer en esta serie es instalar y configurar un honeypot que parezca vulnerable y realista. Luego, esperamos a que atraiga a los atacantes y luego capturamos su malware cuando hayan comprometido con éxito nuestro sistema.

Si somos un investigador forense, podemos analizar el malware y tal vez desarrollar una defensa o una firma. Si somos un pirata informático, es posible que podamos reutilizar el malware en otros sistemas. En algunos casos, es posible que debamos rediseñar el malware para otros fines, pero eso sigue siendo mucho más rápido y eficiente que empezar desde cero. La clave es poder capturar el malware primero.

Dionaea

Dionaea fue desarrollado por Markus Koetter como un honeypot de baja interacción. Emula sistemas Windows vulnerables con servicios a menudo atacados por atacantes como HTTP, FTP, SSH, SMB, etc. Está escrito en C, pero usa Python para emular varios protocolos para atraer a los atacantes.

Dionaea lleva el nombre del género de plantas que incluye a los carnívoros Venus atrapamoscas. Creo que el simbolismo es evidente.

Probablemente lo más importante es que usa Libemu para detectar shellcode y puede alertarnos sobre el shellcode y capturarlo. Dionaea envía notificaciones de ataques en tiempo real a través de XMPP y luego registra la información en una base de datos SQLite.

Libemu

Libemu es una biblioteca utilizada para la emulación x86, así como para la detección de códigos de shell, que es perfecta para nuestro honeypot aquí. Puede extraer malware del cable o dentro de documentos (PDF, RTF, etc.) que luego podemos usar para analizar el comportamiento malicioso utilizando heurística.

Este es un honeypot relativamente avanzado y el principiante no debe intentarlo. Además, le sugiero encarecidamente que NO lo use en un sistema que se usará para otros fines, ya que instalaremos bibliotecas y otro código que puede deshabilitar otras partes de su sistema.

Además, Dionaea está destinada a ser vulnerable. Esto significa que si se ve comprometido, todo su sistema puede verse comprometido. Debe utilizar una instalación limpia, preferiblemente un sistema Debian o Ubuntu. Usaré una instalación limpia de Ubuntu 14.04.

Paso 1: instalar dependencias

Dionaea es una pieza de software compleja y requiere numerosas dependencias que normalmente no se instalan en Ubuntu u otras distribuciones de Debian. Como resultado, necesitaremos instalar las dependencias antes de instalar y configurar Dionaea. Esta puede ser una tarea larga y tediosa.

Por ejemplo, para comenzar necesitamos descargar los siguientes paquetes.

ubuntu> apt-get install libudns-dev libglib2.0-dev libssl-dev libcurl4-openssl-dev libreadline-dev libsqlite3-dev python-dev libtool automake autoconf build-essential subversion git-core flex bison pkg-config libnl-3- dev libnl-genl-3-dev libnl-nf-3-dev libnl-route-3-dev sqlite3

Por suerte, Andrew Michael Smith ha desarrollado un guión que hace todo el trabajo pesado por nosotros. Podemos descargar su script de GitHub usando wget.

ubuntu> wget -q https://raw.github.com/andrewmichaelsmith/honeypot-setup-script/master/setup.bash -O /tmp/setup.bash && bash /tmp/setup.bash

Este script descargará e instalará todas las dependencias (hay muchas) y aplicaciones (p0f, SQLite y otras), luego descargará e instalará y configurará Dionaea.

Tenga paciencia aquí, esto puede llevar bastante tiempo.

Paso 2: elija una interfaz

Después de descargar todas las aplicaciones y dependencias, Dionaea comenzará a configurarse y le pedirá que elija la interfaz de red en la que desea que escuche el honeypot. Aquí, elegí eth0, pero el tuyo puede ser diferente.

Finalmente, la descarga y la instalación se completarán y aparecerá una pantalla como la siguiente que le indicará que p0f y Dionaea han comenzado.

Paso 3: prueba la instalación

Una vez que se haya completado el proceso anterior, podemos verificar si Dionaea se ha instalado correcta y completamente escribiendo:

ubuntu> dionaea -help

Si aparece la pantalla de ayuda que se ve arriba, ha instalado Dionaea correctamente. ¡Felicidades!

Configuración de Dionaea

Ahora nuestro honeypot está en funcionamiento. En futuros tutoriales de esta serie, le mostraré cómo configurar Dionaea para que le avise en tiempo real de los ataques, cómo identificar los detalles de los atacantes (sistema operativo, IP, navegador, interfaz) y cómo capturar y analizar el shellcode del ataque.

Luego, probaremos nuestro honeypot usando Metasploit y otras herramientas de ataque para ver si realmente puede capturar malware antes de ponerlo en vivo en línea. ¡Así que sigan regresando, mis hackers novatos!

Imágenes de portada a través de Shutterstock (1, 2)

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Mira también
Cerrar
Botón volver arriba
Cerrar