Herramientas de Blue Team

Tendiendo los señuelos

Dicen que el tema no es si van a intentar atacar la organización. Sino cuándo. Y cuando toque, será mejor que estéis preparad@s.

Estas en el equipo Azul (Blue Team), tu misión, simplemente proteger a la organización. De un ataque que no sabes cuándo será, ni de dónde vendrá.

Así que lejos de limpiar la casa para darle la bienvenida a nuestros invitados, es la hora de tender los señuelos, esos sensores que de alguna forma nos avisará si algo está ocurriendo en el entorno que estamos protegiendo. Por ejemplo la red de la organización.

En este laboratorio trabajaremos con una serie de herramientas que te ayudarán a proteger tu entorno.

Honeypots

Un honeypot es un sistema informático o aplicación señuelo que tiene como objetivo atraer a actores maliciosos que intentan atacar sistemas informáticos. Una vez que el atacante cae en la trampa del señuelo, el señuelo está ahí para permitir que los administradores recopilen datos valiosos sobre el atacante, el tipo de ataque e incluso identificar al atacante. Con los honeypots, los equipos azules pueden identificar amenazas emergentes y generar inteligencia de amenazas que se puede usar para tomar decisiones mejor informadas sobre las técnicas preventivas que la organización emplea contra las amenazas de red.

Hay diferentes honeypots, con diferentes complejidades:

  • Honeypot sencillo.
  • Honeypot de alta interacción.
  • Honeypot de interacción media.
  • Honeypot de baja interacción.

Además, podemos reconocer varias tecnologías de señuelos diferentes en uso, como el señuelo SSH, HTTPS, base de datos, servidor, cliente, malware, correo electrónico no deseado, IoT y otros.

En la siguiente lista, hemos incluido una buena combinación de diferentes tipos de honeypots para satisfacer las necesidades de las diferentes organizaciones. 

Kippo

Kippo es un conocido honeypot SSH de interacción media escrito en Python. Esta herramienta está diseñada para detectar y registrar ataques de fuerza bruta, así como el historial completo de shell realizado por un atacante.

Kippo ofrece un sistema de archivos falso que puede agregar y eliminar archivos y, entre otras características, también puede ofrecer contenido falso a los atacantes, realizar algunos trucos con SSH que finge conectarse en algún lugar y cosas por el estilo. También está disponible kippo_detect, que le permite detectar la presencia de un kippo honeypot.

Glastopf

Glastopf es un honeypot basado en HTTP escrito en Python. Glastopf tiene la capacidad de emular diferentes tipos de vulnerabilidades, con emulaciones de ataques que incluyen inclusión de archivos locales y remotos, inyección de SQL, inyección de HTML a través de una solicitud POST, entre otros.

ElásticoMiel

ElasticHoney es, como su nombre lo indica, un honeypot diseñado para este tipo de base de datos: Elasticsearch. Es un honeypot simple pero efectivo con la capacidad de capturar solicitudes maliciosas que intentan explotar las vulnerabilidades de RCE en Elasticsearch. Escrito en GO, ElasticHoney ofrece binarios para la mayoría de las plataformas y está disponible para Windows y Linux.

Artillery

Artillery no es solo un honeypot, sino también una herramienta de monitoreo y un sistema de alerta. Con Artillery, puedes configurar los puertos más comunes y más escaneados, y poner en la lista negra a cualquiera que intente conectarse a ellos.

Esta herramienta también puede monitorear los registros SSH en busca de intentos de fuerza bruta y le enviará un correo electrónico cuando ocurra un ataque. Está disponible tanto para Windows como para Linux, aunque es posible que algunas funciones no estén disponibles para los usuarios de Windows.

El objetivo principal de todos los honeypots es identificar ataques emergentes contra diferentes tipos de software y recopilar informes para analizar y generar datos de inteligencia, que luego se utilizarán para crear técnicas de prevención contra amenazas de red.

Hay dos tipos diferentes de honeypots:

  • Honeypot de investigación: este tipo de señuelo es utilizada por desarrolladores, administradores de sistemas y gerentes de blue teams que trabajan en instituciones como universidades, colegios, escuelas y otras asociaciones relacionadas con la investigación del cibercrimen.
  • Honeypot de producción: Es utilizado por instituciones, empresas y corporaciones privadas y públicas para investigar el comportamiento y las técnicas de los piratas informáticos que buscan atacar las redes en Internet.

Esencialmente, un honeypot te permite obtener datos valiosos para que se pueda trabajar en diferentes estrategias de reducción de la superficie de ataque y sobre todo permite conocer al atacante y obtener estadísticas de por ejemplo, desde dónde se ataca, que puertos utilizan para atacar la infraestructura, técnicas y metodologías.

¿Cómo funciona un honeypot?

Un honeypot es un sistema de señuelos o trampas. Estos sistemas de captura a menudo se configuran en una VM o servidor en la nube conectado a una red, pero aislados y estrictamente monitoreados por equipos de sistemas y redes. Para ayudarles a hacerse notar por los malos, los honeypots están diseñados para ser intencionalmente vulnerables, con debilidades que un atacante detectará e intentará explotar.

Estas debilidades pueden ser parte de un agujero de seguridad dentro de una aplicación o vulnerabilidades del sistema, como puertos abiertos innecesarios, versiones de software desactualizadas, una contraseña débil o un kernel antiguo sin parches por ejemplo. 

Una vez que el atacante ha encontrado su objetivo vulnerable, intentará lanzar un ataque y escalar los privilegios hasta que pueda obtener cierto control de la caja o la aplicación.

Lo que la mayoría de ellos no sabe es que un administrador del honeypot está observando cada uno de sus pasos con atención, recopilando datos del atacante que realmente ayudarán a fortalecer las políticas de seguridad actuales. El administrador también puede informar el incidente a las autoridades legales de inmediato, que es lo que suele suceder con las redes corporativas de alto nivel.

Ejemplos de Honeypots

Algunos ingenieros de sistemas tienden a clasificar los honeypots según el software objetivo que intentan proteger o exponer. Entonces, si bien la lista de honeypots podría ser extensa, aquí enumeramos algunos de los más populares:

  • Honeypot de spam: también conocido como honeypot de spam, este honeypot se creó específicamente para atrapar a los spammers antes de que lleguen a las casillas de correo electrónico legítimas. Estos a menudo tienen repetidores abiertos para ser atacados y trabajan en estrecha colaboración con las listas RBL para bloquear el tráfico malicioso.
  • Honeypot de malware: este tipo de honeypot se crea para simular aplicaciones, API y sistemas vulnerables con el fin de recibir ataques de malware. Los datos que luego se recopilan se utilizarán más tarde para el reconocimiento de patrones de malware, para ayudar a crear detectores de malware efectivos.
  • Honeypot de base de datos: las bases de datos son un objetivo común de los atacantes web y, al configurar un honeypot de base de datos, puede ver y aprender diferentes técnicas de ataque, como inyección SQL, abuso de privilegios, explotación de servicios SQL y mucho más.
  • Spider honeypot: este tipo de honeypot funciona mediante la creación de páginas web falsas y enlaces a los que solo pueden acceder los rastreadores web, no los humanos. Una vez que el rastreador accede al honeypot, se detecta junto con sus encabezados para un análisis posterior, generalmente para ayudar a bloquear bots maliciosos y rastreadores de redes publicitarias.

La mayoría de los honeypots funcionan como trampas que distraen a los atacantes de los datos críticos alojados en las redes reales. Otro punto en común es que casi todos los intentos de conexión a un honeypot pueden tratarse como hostiles, ya que hay pocas razones, si es que hay alguna, que puedan motivar a un usuario legítimo a conectarse con este tipo de sistemas.

Mientras configuras el honeypot, debes tener en cuenta el nivel de dificultad de vulnerabilidades que deseas exponer al atacante. Si es demasiado fácil de hackear, probablemente perderán interés o incluso se darán cuenta de que no están tratando con un sistema de producción real.

Por otro lado, si el sistema está demasiado reforzado, en realidad frustrará cualquier ataque y no podrá recopilar ningún dato. Entonces, en términos de dificultad, atraer a un atacante con algo entre fácil y difícil es su mejor apuesta para simular un sistema de la vida real.

¿Puede un atacante detectar si está dentro de un honeypot? Por supuesto. Los usuarios avanzados con un alto nivel de conocimiento técnico pueden reconocer algunas señales de que están ingresando a un honeypot.

Incluso los usuarios sin conocimientos técnicos pueden detectar los señuelos mediante el uso de detectores de honeypot automatizados, como Honeyscore de Shodan, que te permite identificar las direcciones IP de los honeypot. 

En la siguiente captura se muestra la consola de gestión de un Honeypot:

Installing T-Pot Honeypot Framework in the Cloud — Stratosphere IPS

Los principales Honeypot para identificar diferentes tipos de ataques:

  • Honeypot para SSH

Kippo: este honeypot SSH escrito en Python ha sido diseñado para detectar y registrar ataques de fuerza bruta y, lo que es más importante, el historial completo de shell realizado por el atacante. Está disponible para la mayoría de las distribuciones de Linux modernas y ofrece administración y configuración de comando CLI, así como una interfaz basada en web. Kippo ofrece un sistema de archivos falsos y la capacidad de ofrecer contenido falso a los atacantes (como archivos de contraseñas de usuarios, etc.), así como un poderoso sistema de estadísticas llamado Kippo Graph.

Cowrite: este honeypot SSH de interacción media funciona emulando un shell. Ofrece un sistema de archivos falso basado en Debian 5.0, que le permite agregar y eliminar archivos como desee. Esta aplicación también guarda todos los archivos descargados y cargados en un área segura y en cuarentena, para que pueda realizar análisis posteriores si es necesario. Además del shell emulado de SSH, se puede usar como un proxy SSH y Telnet, y le permite reenviar conexiones SMTP a otro señuelo SMTP.

  • Honeypot para HTTP

Glastopf: este honeypot basado en HTTP le permite detectar ataques de aplicaciones web de manera efectiva. Escrito en Python, Glastopf puede emular varios tipos de vulnerabilidades, incluida la inserción de archivos locales y remotos, así como la inyección de SQL (SQLi) y el uso de un sistema de registro centralizado con HPFeeds.

Nodepot: este honeypot de aplicación web se centra en Node.js e incluso le permite ejecutarlo en hardware limitado como Raspberry Pi / Cubietruck. Si está ejecutando una aplicación Node.js y está buscando obtener información valiosa sobre los ataques entrantes y descubrir qué tan vulnerable es, entonces este es uno de los honeypots más relevantes para usted. Disponible en la mayoría de las distribuciones de Linux modernas, ejecutarlo depende solo de unos pocos requisitos.

Google Hack Honeypot: comúnmente conocido como GHH, este honeypot emula una aplicación web vulnerable que los rastreadores web pueden indexar, pero permanece oculto a las solicitudes directas del navegador. El enlace transparente utilizado para este propósito reduce los falsos positivos y evita que se detecte el honeypot. Esto le permite probar su aplicación contra los siempre tan populares idiotas de Google . GHH ofrece un archivo de configuración fácil, así como algunas buenas capacidades de registro para obtener información crítica del atacante, como IP, agente de usuario y otros detalles del encabezado.

  • Honeypot para de WordPress

Honeypot Formidable: Este es uno de los honeypots más populares utilizados con WordPress. Es literalmente invisible para los humanos; solo los bots pueden caer en su trampa, por lo que una vez que un ataque automatizado entre en su formulario, será detectado y evitado de manera efectiva. Es una forma no intrusiva de defender WordPress contra el spam. Convenientemente, no requiere ninguna configuración. Simplemente active el complemento y se agregará a todos los formularios que use en WordPress, tanto en la versión gratuita como en la pro.

Honeypot para bots: creado para evitar que los bots automatizados usen ancho de banda innecesario y otros recursos del servidor de la infraestructura de su sitio. Al configurar este complemento, puede detectar y bloquear bots maliciosos, desde ataques de malware automatizados hasta spam y varios tipos de ataques de adware. Este honeypot de WordPress funciona agregando un enlace oculto en el pie de página de todas sus páginas. De esta manera, los humanos no lo detectan y solo atrapa a los bots malos que no siguen las reglas de robots.txt. Una vez que se detecta un bot malo, se bloqueará el acceso a su sitio web.

Wordpot: Este es uno de los honeypots de WordPress más eficaces que puede utilizar para mejorar la seguridad de WordPress . Le ayuda a detectar signos maliciosos de complementos, temas y otros archivos comunes que se utilizan para tomar las huellas digitales de una instalación de wordpress. Escrito en Python, es fácil de instalar, se puede manejar desde la línea de comandos sin problemas e incluye un archivo wordpot.conf para una fácil configuración de honeypot. También le permite instalar complementos personalizados de Wordpot para que pueda emular las vulnerabilidades populares de WordPress.

  • Honeypot para base de datos

ElasticHoney: con Elasticsearch explotado con tanta frecuencia en la naturaleza, nunca es una mala idea invertir en un honeypot creado específicamente para este tipo de base de datos. Este es un honeypot simple pero efectivo que le permitirá detectar solicitudes maliciosas que intentan explotar las vulnerabilidades de RCE. Funciona al recibir solicitudes de ataque en varios puntos finales populares, como /, /_search y /_nodes, y luego responde sirviendo una respuesta JSON que es idéntica a la instancia vulnerable de Elasticsearch. Todos los registros se guardan en un archivo llamado elastichoney.log. Una de las mejores cosas de esto es que esta herramienta trampa está disponible para los sistemas operativos Windows y Linux.

HoneyMy sql: este simple honeypot de MySQL se crea para proteger sus bases de datos basadas en SQL. Escrito en Python, funciona en la mayoría de las plataformas y se puede instalar fácilmente clonando su repositorio de GitHub.

MongoDB- HoneyProxy: uno de los honeypots de MongoDB más populares, este es específicamente un proxy de honeypot que puede ejecutar y registrar todo el tráfico malicioso en un servidor MongoDB de terceros. Se requiere Node.js, npm, GCC, g++ y un servidor MongoDB para que este honeypot de MongoDB funcione correctamente. Se puede ejecutar dentro de un contenedor Docker o cualquier otro entorno de VM.

  • Honeypots de correo electrónico

Honeymail: si está buscando una forma de detener los ataques basados ​​en SMTP, esta es la solución perfecta. Escrito en Golang, este honeypot para correo electrónico le permitirá configurar numerosas funciones para detectar y prevenir ataques contra sus servidores SMTP. Sus características principales incluyen: configurar mensajes de respuesta personalizados, habilitar el cifrado StartSSL/TLS, almacenar correos electrónicos en un archivo BoltDB y extraer información del atacante, como el dominio de origen, el país, los archivos adjuntos y las partes del correo electrónico (HTML o TXT). También proporciona protección DDoS simple pero poderosa contra conexiones masivas.

Mailoney: Este es un gran señuelo de correo electrónico escrito en Python. Se puede ejecutar en diferentes modos, como open_relay (registrar todos los correos electrónicos que se intentaron enviar), postfix_creds (utilizado para registrar las credenciales de los intentos de inicio de sesión) y schizo_open_relay (que le permite registrar todo).

SpamHAT: esta trampa está diseñada para atrapar y evitar que el spam ataque cualquiera de sus casillas de correo electrónico. Para que esto funcione, asegúrese de tener instalado Perl 5.10 o superior, así como algunos módulos CPAN como IO::Socket, Mail::MboxParser, LWP::Simple, LWP::UserAgent, DBD::mysql, Digest: :MD5::File, además de tener un servidor MySQL corriendo con una base de datos llamada ‘spampot’.

  • Honeypot para IoT

HoneyThing: creado para Internet de los servicios habilitados para TR-069, este honeypot funciona actuando como un módem/enrutador completo que ejecuta el servidor web RomPager y es compatible con el protocolo TR-069 (CWMP). Este honeypot IOT es capaz de emular vulnerabilidades populares para Rom-0, Misfortune Cookie, RomPager y más. Ofrece compatibilidad con el protocolo TR-069, incluida la mayoría de sus comandos CPE populares, como GetRPCMethods, Get/Set Parameter Values, Download, etc. A diferencia de otros, este honeypot ofrece una interfaz basada en web fácil y pulida. Finalmente, todos los datos críticos se registran en un archivo llamado honeything.log

Kako: la configuración predeterminada ejecutará una serie de simulaciones de servicio para capturar información de ataque de todas las solicitudes entrantes, incluido el cuerpo completo. Incluye servidores Telnet, HTTP y HTTPS. Kako requiere los siguientes paquetes de Python para funcionar correctamente: Click, Boto3, Requests y Cerberus. Una vez que esté cubierto con los paquetes requeridos, puede configurar este honeypot de IOT usando un archivo YAML simple llamado kako.yaml. Todos los datos se registran y se exportan a AWS SNS y al formato JSON de archivo plano.

Analysing Honeypot Data using Kibana and Elasticsearch | by Stephen Chapendama | Towards Data Science
  • Otros tipos de Honeypots

Dionaea: este honeypot de baja interacción escrito en C y Python utiliza la biblioteca Libemu para emular la ejecución de instrucciones Intel x86 y detectar shellcodes. Además, podemos decir que es un honeypot multiprotocolo que ofrece soporte para protocolos como FTP, HTTP, Memcache, MSSQL, MySQL, SMB, TFTP, etc. Sus capacidades de registro ofrecen compatibilidad con Fail2Ban, hpfeeds, log_json y log_sqlite.

Miniprint: dado que las impresoras son algunos de los dispositivos más ignorados dentro de las redes informáticas, Miniprint es el aliado perfecto cuando necesita detectar y recopilar ataques basados ​​en impresoras. Funciona al exponer la impresora a Internet mediante un sistema de archivos virtual donde los atacantes pueden leer y escribir datos simulados. Miniprint ofrece un mecanismo de registro muy profundo y guarda cualquier trabajo de impresión de postscript o texto sin formato en un directorio de carga para su posterior análisis.

Honeypot-ftp: Escrito en Python, este honeypot de FTP ofrece soporte completo para FTP y FTPS simples para que pueda realizar un seguimiento profundo de las credenciales de usuario y contraseña utilizadas en los intentos de inicio de sesión ilegales, así como los archivos cargados para cada sesión de FTP/FTPS.

HoneyNTP: NTP es uno de los protocolos más ignorados en Internet, y por eso es una buena idea ejecutar un NTP Honeypot. Este es un servidor NTP simulado de Python que se ejecuta sin problemas en los sistemas operativos Windows y Linux. Funciona registrando todos los paquetes NTP y números de puerto en una base de datos de Redis para que pueda realizar un análisis posterior.

Thug: Thug no es un honeypot per se, sino un honeyclient. Así como las tecnologías honeypot permiten la investigación de los ataques del lado del servidor, los honeyclients se enfrentan a los ataques del lado del cliente. Al actuar como un complemento de los honeypots, Thug es una herramienta de cliente de miel de baja interacción diseñada para imitar el comportamiento de un navegador web para analizar enlaces sospechosos y determinar si contienen componentes maliciosos.

Canarytokens: Canarytokens es una herramienta honeytoken creada para emular web bugs, las imágenes transparentes que rastrean cuando alguien abre un correo electrónico incrustando una URL única en la etiqueta de imagen de la página web y monitorea las solicitudes GET. Canarytokens hace lo mismo pero para lecturas de archivos, consultas de bases de datos, ejecuciones de procesos, patrones en archivos de registro y mucho más. Le permite configurar trampas en sus sistemas en lugar de configurar trampas separadas. En otras palabras, los atacantes anuncian que han violado su sistema “tropezando” con un token.

Conclusión

Para los nuevos Blue Teams, instalar y configurar cualquiera de estas herramientas de Honeypot es un trabajo fácil, solo ten presente hacerlo en una red de prueba separada de tus sistemas de producción, al menos en tus primeras pruebas hasta que sepas lo que estás haciendo.

¿Estás listo para prevenir aún más amenazas de red? Explora tu área de superficie de ataque hoy y descubre cuánta información está exponiendo, antes de que lo hagan los malos.

0 Comentarios