Un honeypot es una herramienta de seguridad informática que nos permitirá detectar y obtener información de un atacante a nuestra red. Este tipo de programas sirven no solo para protegernos frente a un posible ataque, sino también para alertarnos, para estudiar a un posible atacante y adelantarnos a sus técnicas e incluso ralentizar un posible ataque. Un honeypot es una herramienta especialmente diseñada para servir como trampa contra posibles atacantes. Los honeypot tienen la capacidad de simular un servicio o un dispositivo con el objetivo de atraer hacia él acciones que posteriormente serán analizadas. Los mejores Honeypots para detectar amenazas de redTabla de contenido
En esta publicación, explicaremos qué es un honeypot y cómo funciona, y le daremos un resumen de los mejores honeypots disponibles, para capturar información cuando un atacante golpea su puerta falsa. Pero primero, volvamos a lo básico y cubramos algunos conceptos fundamentales. ¿Qué es un honeypot? En inglés simple, un honeypot es un sistema informático o una aplicación creada para atraer agentes maliciosos que intentan atacar redes informáticas mediante el uso de spam, phishing, DDoS u otros métodos nefastos. Una vez que un atacante cae en esta trampa, el honeypot permite a los administradores obtener datos valiosos sobre el tipo de atacante, la actividad que estaba intentando y, en muchos casos, incluso identificar al atacante. El objetivo principal de todos los honeypots es identificar ataques emergentes contra diferentes tipos de software y recopilar informes para analizar y generar datos de inteligencia, que luego se utilizarán para crear técnicas de prevención contra amenazas de red. Hay varios tipos diferentes de honeypots:
Tipos de HoneyPots
Básicamente, un honeypot le permite obtener datos valiosos para que pueda trabajar en diferentes estrategias de reducción de la superficie de ataque. ¿Cómo funciona un honeypot? Como se mencionó, un honeypot es un sistema de trampa. Estos sistemas de trampas a menudo se configuran en una máquina virtual o un servidor en la nube conectado a una red, pero aislados y monitoreados estrictamente por equipos de sistemas y redes. Para ayudarlos a ser notados por los malos, los honeypots están diseñados para ser intencionalmente vulnerables, con debilidades que un atacante detectará e intentará explotar. Estas debilidades pueden ser parte de un agujero de seguridad dentro de una aplicación o vulnerabilidades del sistema, como puertos abiertos innecesarios, versiones de software desactualizadas, una contraseña débil o un kernel antiguo sin parchear. Una vez que el atacante haya encontrado su objetivo vulnerable, intentará lanzar un ataque y escalar los privilegios hasta que pueda obtener cierto control de la caja o la aplicación. Lo que la mayoría de ellos no sabe es que un administrador de honeypot está observando cada uno de sus pasos cuidadosamente, recopilando datos del atacante que realmente ayudarán a endurecer las políticas de seguridad actuales. El administrador también puede informar el incidente a las autoridades legales de inmediato, que es lo que sucede a menudo con las redes corporativas de alta gama. La mayoría de los honeypots funcionan como trampas que distraen a los atacantes de los datos críticos que están alojados en las redes reales. Otro punto en común es que casi todos los intentos de conexión a un honeypot pueden ser tratados como hostiles, ya que hay pocas, si las hay, razones que puedan motivar a un usuario legítimo a conectarse con este tipo de sistemas. Al configurar el honeypot, debe tener en cuenta el nivel de dificultad de hackeo que desea exponer al atacante. Si es demasiado fácil de hackear, probablemente perderán el interés o incluso se darán cuenta de que no se trata de un sistema de producción real. Por otro lado, si el sistema está demasiado reforzado, en realidad frustrará cualquier ataque y no podrá recopilar ningún dato. Entonces, en términos de dificultad, atraer a un atacante con algo entre fácil y difícil es su mejor opción para simular un sistema de la vida real. ¿Puede un atacante detectar si está dentro de un honeypot? Por supuesto. Los usuarios avanzados con un alto nivel de conocimiento técnico pueden reconocer algunas señales de que están ingresando a un espacio de honeypot. Incluso los usuarios sin conocimientos técnicos pueden detectar honeypots mediante el uso de detectores automáticos de honeypots como Honeyscore de Shodan, que le brinda la capacidad de identificar direcciones IP de honeypot. Ejemplos de honeypot Algunos ingenieros de sistemas tienden a clasificar los honeypots según el software específico que intentan proteger o exponer. Entonces, si bien una lista de honeypots podría ser extensa, aquí enumeramos algunos de los más populares:
Los mejores honeypots para identificar amenazas de ciberseguridad Hay tantos honeypots como tipos de software en ejecución, por lo que crear una lista definitiva sería bastante difícil. En esta lista hemos incluido algunas de las herramientas de honeypot más populares. Si quieres un listado extenso y muy completo de HoneyPots disponible en GitHub:
Honeypots Escritorio Remoto RDP
Honeypots SSH
Honeypots HTTP
Honeypots de WordPress
Honeypots de base de datos
Honeypots de correo electrónico
Honeypots de IOT
Otros honeypots
Consejo adicional: no olvide probar MHN, que en realidad no es un honeypot, sino un servidor centralizado para la gestión y la recopilación de datos de honeypot. Incluye muchos de los honeypots que mencionamos aquí, como Glastopf, Dionaea, Cowrie y otros. HoneyPots en RaspBerry Pi Honeything, telnet-iot-honeypot, kako y honeeepi De acuerdo a la documentación existente, honeeepi, es un desarrollo para raspberry pi que se basa en el sistema operativo raspbian personalizado que posee varias honeypots que se pueden utilizar de acuerdo a la necesidad, dentro de las cuales se encuentran:
De igual manera, honeeepi, posee algunas herramientas que permiten el estudio del tráfico que se puede detectar a través del sensor:
También es importante: recuerda, si estás configurando un honeypot en su infraestructura en vivo, estará expuesto a un alto nivel de ataques entrantes; esa es la naturaleza misma de los honeypots. Estarás jugando con fuego. Y no sería la primera vez que nos enteramos de alguien que instaló un honeypot en sus servidores de producción y luego fue hackeado porque los malos inteligentes pudieron suplantar y esconderse detrás del tráfico legal de la red. Hemos examinado qué es un honeypot, cómo funcionan varios honeypots y los principales honeypots que puede utilizar en sus medidas de ciberseguridad contra atacantes malintencionados. Para los nuevos jugadores, instalar y configurar cualquiera de estas herramientas de honeypot es un trabajo fácil, solo recuerda hacerlo en una red de prueba separada de sus sistemas de producción, al menos en sus primeras pruebas hasta que sepa lo que está haciendo. Cowrie: honeypot compatible con servicios como SSH y Telnet Esta herramienta Cowrie tiene características muy interesantes, como por ejemplo simular un sistema de archivos completo con la posibilidad de crear y borrar archivos, de esta manera, un posible atacante podrá creerse que está en el sistema operativo real, cuando en realidad está dentro del Honeypot. Otra característica interesante es que podremos añadir ficheros falsos para que si por ejemplo el atacante hace un «cat» a un archivo como /etc/passwd se crea que está leyendo todos los usuarios del propio sistema. Todos los logs son almacenados en un formato UML compatible, de esta manera, podremos estudiar detalladamente todos los pasos que ha realizado un posible atacante. Cowrie también es capaz de guardar archivos descargados de Internet a través de wget o cURL, o también de archivos subidos a través del protocolo SFTP o SCP para posteriormente estudiar a fondo qué son esos archivos que el ciberdelincuente ha intentado colarnos en el sistema. El protocolo SFTP permite tanto la subida de archivos al servidor como también la descarga, los archivos subidos estarán en el directorio «dl/» donde también estarán todos los archivos descargados con wget. Cowrie está basado en el honeypot Kippo, pero tiene características adicionales que lo hacen mucho más interesante. Por ejemplo, soporta comandos ejecutados a través de SSH (SSH exec), de esta manera, el atacante podrá enviar comandos. También es capaz de hacer un log de todos los intentos de conexiones TCP que intente realizar. También es capaz de hacer un reenvío de las conexiones SMTP a un honeypot SMTP diseñado para tal fin. Características
Cowrie Docker Docker versions are available.
Requerimientos Software required:
Ficheros de configuración
Datos compartidos Cowrie will by default upload data on crashes and Python exceptions to api.cowrie.org. This information is used to improve the honeypot and is not shared with third parties. It can be disabled by setting enabled=false in [output_crashreporter]. rdpy: honeypot RDP (BlueKeep) CVE-2019–0708 RDPY es una implementación pura de Python del protocolo Microsoft RDP (Remote Desktop Protocol) (lado del cliente y del servidor). RDPY se basa en el motor de red impulsado por eventos Twisted. RDPY admite la capa de seguridad RDP estándar, RDP sobre SSL y autenticación NLA (a través del protocolo de autenticación ntlmv2). rdpy-rdphoneypot – un RDP honeypot screen -S rdphoneypot rdpy-rdphoneypot.py -L rdpy-rdphoneypot/rdp.log rdpy-rdphoneypot/win7.rss Las opciones se explican por sí mismas.
Otras opciones disponibles incluyen
$ rdpy-rdphoneypot.py [-l listen_port] [-k private_key_file_path] [-c certificate_file_path] rss_file_path_1 ... rss_file_path_N root@ns2:~# rdpy-rdphoneypot -h Usage: rdpy-rdphoneypot.py rss_filepath(1..n) [-l listen_port default 3389] [-k private_key_file_path (mandatory for SSL)] [-c certificate_file_path (mandatory for SSL)] rdpy-rdpscreenshot – saves a screenshot of the RDP login screen to a file $ rdpy-rdpscreenshot.py [-w width] [-l height] [-o output_file_path] XXX.XXX.XXX.XXX[:3389] root@ns2:~# rdpy-rdpscreenshot -h Usage: rdpy-rdpscreenshot [options] ip[:port] -w: width of screen default value is 1024 -l: height of screen default value is 800 -o: file path of screenshot default(/tmp/rdpy-rdpscreenshot.jpg) -t: timeout of connection without any updating order (default is 2s) Fuentes: https://securitytrails.com/blog/top-20-honeypots Los comentarios están cerrados.
|
AutorHUMEDAL INFORMATIK Archivos
Febrero 2021
Categorías
Todos
|