lunes, 29 de abril de 2013

HoneyPot Easy. Part XII. HoneyDrive 0.2 Nectar Edition. Todo el arsenal out of the box.

Después de tantos (1, 2, 3, 4 ,5, 6 , 7. 8 9 11) post sobre Honeypots, tantas horas invertidas en ellos, os presento al Sr. HoneyDrive 0.2.

Una distribución completa (Xubuntu) orientada al mundo de los honeypots, en las que los desarrolladores se han tomado la molestia de hacernos el trabajo sucio, y dejarnos los clicks y ficheros de configuración listos para jugar.

Hasta la fecha hemos trabajado con Backtrack para realizar auditorías de seguridad/Ataques. Hemos jugado con Security Onion (1,2,3) para montar nuestro sistema IDS. Ahora vamos a jugar con Honeydrive para implementar un servidor de Honeypots.

Como he visto en todos los post publicados al respecto, la lista de herramientas es larga, larga, laaarga, y para eso está Google. Vamos a ponernos sobre la marcha.

Después de descargar el fichero Ova con nuestra máquina virtual ( lista para virtual Pc) solo tenemos que iniciar la máquina y entrar con el usuario/pass honeydrive.
Lo primero que tenemos que hacer es cambiar el password del usuario con passwd.

Empezamos configurando Kippo. Os recomiendo leer la seria de artículos de la gente de Security By Default 1,2 y 3.
Básicamente es una emulación de un servicio SSH el cual nos puede servir, entre otras cosas, para recopilar diccionarios de usuarios/contraseñas empleados por los atacantes contra nuestro servicio.
cd /opt/kippo/ -- ./start.sh

Ya tenemos el puerto 22 en nuestra máquina corriendo. Vamos a probarlo desde otra máquina, haciendo un nmap y una conexión ssh.
Según la configuración original de HoneyDrive, tenemos todas las ubicaciones de ficheros y configuraciones de esta manera:

[Kippo]
Start: /opt/kippo/start.sh
Downloads: /opt/kippo/dl/
TTY logs: /opt/kippo/log/tty/
Credentials: /opt/kippo/data/userdb.txt
MySQL database: kippo
MySQL user/password: root/honeydrive
[Kippo-Graph]
Location: /var/www/kippo-graph/
Config: /var/www/kippo-graph/config.php
URL: http://local-or-remote-IP-address/kippo-graph/
MySQL database: kippo
MySQL user/password: root/honeydrive
[Kippo2MySQL]
Location: /opt/kippo2mysql/
MySQL database: kippo2mysql
MySQL user/password: root/honeydrive

Una vez generada actividad, nos vamos a http://localhost/kippo-graph/ para ver lo ocurrido, gracias a Kippo-Graph.

Como veis en la imagen, tenemos que generar la estadística, la recolección.
Una de las estadísticas recolectada, top combinaciones user/pass.
Muy interesantes la mayoría de estadísticas. Podemos ver también todas las "input" del usuario, representación geográfica, enlace a Robtex, descarga de imágenes generadas, etc.

Honeyd. Cuanto hemos hablado aquí de este Honeypot !!! Un honeypot que emula no solo servicios concretos, sino Fingerprint de sistemas operativos.
La ubicación de todos los ficheros y usuarios es:

[Honeyd]
Bin: /usr/bin/honeyd, + /usr/bin/honeydstats
Config: /etc/honeypot/
Scripts: /usr/share/honeyd/scripts/
Logs: /var/log/honeypot/
 [Honeyd2MySQL]
Location: /opt/honeyd2mysql/
MySQL database: honey2mysql
MySQL user/password: root/honeydrive
 [Honeyd-Viz]
Location: /var/www/honeyd-viz/
Config: /var/www/honeyd-viz/config.php
URL: http://local-or-remote-IP-address/honeyd-viz/
MySQL database: honeyd2mysql
MySQL user/password: root/honeydrive
 [Honeyd-Scripts]
Location: /opt/honeyd-scripts/
+ honeyd-geoip
+ honeyd-geoip-cymru

Nos vamos a la ruta de configuración arriba indicada, y editamos el fichero para generar una máquina tal y como esta.

create default
 set default default tcp action block
 set default default udp action block
 set default default icmp action open

create windows
 set windows personality "Microsoft Windows XP Professional SP1"
 set windows default tcp action reset
 add windows tcp port 135 open
 add windows tcp port 139 open
 add windows tcp port 445 open


set windows ethernet "00:00:24:ab:8c:12"
bind 192.168.0.123 windows

Arrancamos Honeyd indicándole la ruta del fichero de configuración y logs.
sudo honeyd -d -f /etc/honeypot/honeyd.conf -l /var/log/honeypot/honeyd.log

Hay que tener en cuenta que si no configuramos los permisos para la carpeta de log´s, honeyd no guardará NADA. Hay que dar permiso de escritura al usuario Honeyd.

Ahora hacemos un Syn Scan simple para determinar si está en funcionamiento, y para ver el tema de los log´s.
Como podeis ver, toma los puertos y mac definidos en el fichero de configuración.
Al igual que haciamos con Kippo-Graph para recolectar los log´s, con honeyd hacemos lo mismo pero invocando el script desde  /opt/honeyd2mysql/ ---- ./honeyd2mysql.pl
Una vez introducida la información de los logs en Mysql, pasamos a generar los gráficos entrando en:
http://localhost/honeyd-viz/

Como podeis ver, mediante unos simples clicks podemos configurar nuestra máquina víctima dispuesta a recolectar todo tipo de información sobre los ataques sufridos.

Hemos hablado largo y tendido sobre la localización de los honeypots, su uso recomendado, algo de hardening y demás. Espero que os haya gustado este post sobre HoneyDrive.

Otro día jugamos más !!!

Gracias por leerme.