BlogNmap

Hackear como un profesional Cómo configurar un Honeypot y cómo evitarlos

¡Bienvenidos de nuevo, mis aspirantes a hackers!

Aquellos de ustedes que han estado leyendo mis tutoriales desde hace algún tiempo sé que soy inflexible con respecto a la necesidad de aprender y usando Linux hackear. No hay sustituto, punto.

En este tutorial, sin embargo, configuraremos un sistema para atraer piratas informáticos para que podamos atraparlos o estudiarlos. Dado que casi todos los piratas informáticos de todo el mundo se dirigen a servidores Windows para todos sus defectos y vulnerabilidades conocidos, configuraremos un sistema Windows para hacer precisamente eso.

Un honeypot es un sistema informático que resulta atractivo para un pirata informático. Parece importante y vulnerable, lo suficiente como para que el pirata intente entrar. Se utiliza para atrapar a los piratas informáticos y como una forma de estudiar las técnicas de los piratas informáticos por parte de la comunidad de seguridad. Como hacker, es importante saber que existen y los riesgos que uno corre si queda atrapado en uno.

Aquí, estaremos configurando un honeypot. Si lo deja en funcionamiento, puede observar a otros piratas informáticos practicando su arte. Además, haremos algunos reconocimiento en el honeypot para ver cómo se ve desde la perspectiva del atacante.

Es importante para el pirata informático saber cómo se ven estos honeypots desde el exterior para evitarlos y evitar una larga pena de prisión de trabajos forzados y vivir de gachas tres veces al día.

Paso 1: Instale KFSensor

Hay varios honeypots en el mercado, incluidos honeynet, honeyd, Tiny Honeypot, NetBait y ManTrap, pero usaremos un honeypot comercial, KFSensor, para ventanas.

KFSensor nos permitirá tener un auténtico sistema Windows que lo aloje y podamos utilizar nuestro Sistema Kali Linux para hacer reconocimiento en él. Una de las cosas que queremos lograr en este tutorial es identificar formas de detectar un honeypot y luego correr muy, muy lejos.

Abramos un navegador y naveguemos a www.kfsensor.com, luego descargue e instale el software. Es una prueba de 30 días, por lo que tenemos un mes para jugar gratis.

Una vez que esté instalado, haga clic con el botón derecho en el icono de KFSensor y “ejecutar como administrador”. Debería obtener un asistente de configuración como este.

Después de pasar por algunas pantallas más en el asistente eligiendo los valores predeterminados, llega a la siguiente pantalla que le permite elegir los servicios nativos. Elijamos todos.

Luego, elija su nombre de dominio. Es posible que desee que suene atractivo. El valor predeterminado es Networksforu.com, pero yo hice el mío firstfinanacial.com con la esperanza de que el hacker crea que es un sitio web financiero.

A continuación, puede elegir una dirección de correo electrónico a la que desea enviar las alertas.

Paso 2: elige opciones

Finalmente, tenemos algunas opciones para elegir. Vayamos con los valores predeterminados, pero tenga en cuenta la última opción. Aquí nos permite capturar los paquetes para que podamos analizar los ataques con una herramienta como Wireshark u otro analizador de protocolo. Sin embargo, le advierte que las capturas de paquetes pueden ocupar mucho espacio en el disco; si está tratando de atrapar o estudiar a un pirata informático, es necesario. Lo dejaremos desactivado por ahora.

Paso 3: configura tu Honeypot y mira

Cuando haya completado el asistente, haga clic en Terminar y debería tener una aplicación similar a esta.

Paso 4: Sacn con Nmap

Ahora que tenemos nuestra configuración de honeypot, tomemos el enfoque del hacker. Como si estuviéramos haciendo un reconocimiento de un objetivo potencial, vamos a usa nmap para escanear ese sistema. Hagamos un escaneo SYN:

Como puede ver, encontramos numerosos puertos abiertos. Como hacker, esta es una gran BANDERA ROJA. Pocos servidores web comerciales dejarían todos estos puertos abiertos. ¡No en 2014!

Si volvemos al honeypot, podemos ver que activamos una alerta para un escaneo de puertos en el área resaltada en púrpura. Recuerde que un escaneo SYN no completa un protocolo de enlace de 3 vías, pero la mayoría sistema de deteccion de intrusos considere que muchos paquetes que vienen en rápida sucesión de una IP son un “escaneo de puerto posible”. Esta es una de las razones por las que a menudo es aconsejable ralentizar el escaneo con los controles de velocidad integrados de nmap.

Paso 5: escanee con Nikto

En una guía anterior, te mostré cómo usar nikto para encontrar vulnerabilidades en servidores web. Usémoslo aquí contra este honeypot.

  • ./nikto.pl -h 192.168.1.102

Nuestros resultados nos dicen que este sistema es una instalación predeterminada del servidor IIS 7 de Microsoft. Otra BANDERA ROJA de que esto podría ser un honeypot.

Paso 6: Captura de banner

Por último, intentemos capturar un banner. Podemos conectarse con netcat al puerto 80 y luego intente agarrar el banner del servidor web, si lo hay.

  • nc 192.168.1.102 80
  • HEAD / HTTP / 1.0

Como puede ver, pudimos tomar el banner que identifica al servidor web como IIS 7.5 de Microsoft.

Algunos signos reveladores de un honeypot

NO hay un solo signo revelador de un honeypot, pero hay algunas cosas a tener en cuenta.

  1. El viejo adagio, “si es demasiado bueno para ser verdad, probablemente lo sea”, también se aplica a la piratería. Los sitios que parecen extraordinariamente fáciles de piratear son probablemente trampas.
  2. Busque servicios inusuales y puertos abiertos. La mayoría de los sistemas conectados a Internet están despojados de cualquier servicio innecesario. Si tiene muchos servicios inusuales y puertos abiertos, estos están destinados a atraer atacantes y puede ser un honeypot.
  3. Si es una instalación predeterminada, puede ser un honeypot.
  4. Si hay poca o ninguna actividad, puede ser un honeypot.
  5. Si ve directorios con nombres como “números de seguridad social” o “números de tarjetas de crédito”, puede ser una trampa.
  6. Si ve muy poco software instalado, puede que sea un honeypot.
  7. Si hay mucho espacio libre en el disco duro, puede ser un honeypot.

Tengan cuidado, mis aspirantes a piratas informáticos, ya que quiero seguir volviendo a Byte nulo para perfeccionar sus habilidades, en lugar de sentarse en una habitación de hormigón. Tenga en cuenta que los honeypots están destinados a ser atractivos, ¡pero pueden ser una trampa!

Honeypot original imagen a través de Cokeisit7 / Flickr, Código verde imagen a través de Shutterstock

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar