Atacando Lab in a box1 (NETinVM-pte)…Un firewall, una DMZ y más…,

Comenzamos una serie de post, cálculo que 3 o 4 como máximo, para resolver una VM que simula una red, que incluye la maquina atacante con un S.O. Backtrack 5 r2, un firewall, una zona DMZ con dos equipos, y un equipo interno.

Como todo tiene un principio, nos facilitan la red en la que se encuentran los equipos 10.5.0.0/16, y también nos dan indicaciones de que en las subredes 10.5.1.0/24 y 10.5.2.0/24 tenemos nuestros blancos…

Visto lo cual empezaremos a realizar un escaneo con nmap, utilizaremos zenmap para realizarlo, por tanto 10.5.0.0/24 –T4 –A –v y como observareis 2 host activos 10.5.0.1 (nosotros) y 10.5.0.254 el cual tiene 2 puertos abiertos el 21 ftp y el 80 http…

1

No concuerda con la información que manejamos, así que deducimos que el firewall esta actuando, por tanto habremos de jugar con la fragmentación de los paquetes, tenemos dos opciones la opción –f, que los fragmenta de modo automático con un tamaño de 8 bytes, o la opción –mtu que nos permite asignar un valor personalizado siempre que sea  múltiplo de 8, es esta opción la que se va a utilizar, en la captura los resultados de la fw.example.net.

2

Como resulta muy largo el escaneo de la red, vamos a mostrar los resultados de las subredes por separado, a continuación los resultados de la subred 10.5.1.0/24 en la cual se encuentran los hosts 10.5.1.10 y 10.5.1.11, en la captura los resultados de la dmza.example.net (10.5.1.10)

3

Sigue leyendo

MONTANDO UN HONEYPOT (sebek, honeywall en virtualbox) parte 3

Hola a todos!
Vamos a continuar configurando nuestro honeypod con sebek y honeywall desde el punto en el cual lo dejamos, recordareis que habíamos finalizado, hace ya mucho tiempo, la segunda sección de la configuración de honeywall, en este post finalizaremos la configuración totalmente.
Para ello continuamos donde lo dejamos… al inicio de la tercera sección, vamos a abreviar en la medida de lo posible ahorrándonos pasos obvios y solo recalcando lo importante, al lió
Para que veáis donde nos encontramos en la tercera sección comenzamos a configurar las limitaciones que la gateway_firewall va a tener al nivel de conexiones, y también como nos va a presentar los reportes, en la captura siguiente hemos elegido la opción de hora para dicha escala…

1

En los siguientes cuatro pasos, elegiremos el numero de conexiones por protocolo en este orden tcp, udp, icmp, y el resto de protocolos, en cada una asignaremos los valores que se observan…

Sigue leyendo

MONTANDO UN HONEYPOT (sebek, honeywall en virtualbox) parte 2

Hola a todos!
Vamos a continuar configurando nuestro honeypod con sebek y honeywall desde el punto en el cual lo dejamos, recordareís que habíamos finalizado de configurar el medio de acceso alternativo a sebek, por tanto la instalación como tal ya ha finalizado…solo nos restaría eliminar todo rastro visible de sebek, carpetas de instalación, la papelera, etc…por que no tendría mucho sentido dejar en un honeypod, ningún rastro que indicara que lo es…
Y pasaremos a configurar al corazón de nuestro honeypod, honeywall, que es el que va actuar de barrera entre los atacantes y nosotros, y nos va a permitir asistir en directo a “sus” andanzas (en este caso las nuestras ya que no se encuentra en internet si no en una lan…recordáis?)
Me voy a saltar la instalación en sí de honeywall, porque es muy sencilla y por economía de espacio, asi que voy a darlos por instalado y pasaremos a la configuración en sí del mismo…solo un apunte más una vez iniciado honeywall desde la terminal (no tiene interfaz gráfica) tendremos que loguearnos como el usuario roo, con la contraseña roo, y ejecutaremos su -, que cargara el asistente para su configuración, previamente se nos solicitarán la contraseña de root, por defecto roo, una vez realizado esto nos mostrará la siguiente pantalla…
honw1
Pulsaremos ok…
Sigue leyendo

MONTANDO UN HONEYPOT (sebek, honeywall en virtualbox) parte 1

Hola a tod@s!!!

Siempre he tenido ganas de trastear con un honeypot situado estratégicamente y ofreciendo un blanco suculento…por desgracia no lo he podido llevar a cabo…aun! (tengo muchas ideas, pero poco tiempo), y me consta que es un elemento que no es muy cercano al usuario medio, por tanto voy a tratar de mostraros como configurar uno muy sencillito…solo para que veáis como se ve…

Vamos a ver como siempre cual es la definición que da Wikipedia sobre el termino honeypot…

Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.”

Bien pues queda clara cuál es la intención de un honeypot, vamos a instalar un honeypot de alta interacción, para ello elegiremos como S.O. Microsoft Windows XP para él, y explicaremos como configurar en VirtualBox el software necesario para controlarlo.

He elegido Sebek como honeypot, pasemos a conocerlo un poco más según la página honeynet.org

Sebek is a data capture tool designed to capture attacker’s activities on a honeypot, without the attacker (hopefully) knowing it. It has two components. The first is a client that runs on the honeypots, its purpose is to capture all of the attackers activities (keystrokes, file uploads, passwords) then covertly send the data to the server. The second component is the server which collects the data from the honeypots. The server normally runs on the Honeywall gateway, but can also run independently.

Y he elegido honeywall como sistema de monitorización, vamos a conocerlo un poco más según la página de sus creadores:

Honeywall CDROM is our primary high-interaction tool for capturing, controling and analyzing attacks. It creates an architecture that allows you to deploy both low-interaction and high-interaction honeypots within it.”

Una vez hechas las presentaciones de rigor voy a mostraros lo primero de todo como configuraremos virtualbox, ya que es necesario que se cumplan ciertas condiciones…

Bien os muestro cual es la idea en una topología de red, no es exacta, porque se va a configurar sin el acceso a internet, por tanto sin el router R1, con él se vería así…

aaa

Por tanto si se elimina R1 el equipo atacante se encontraría en la misma red local 192.168.56.0/24, esa es la topología que se va a configurar, como se muestra a continuación

Sigue leyendo

ERASE UNA VEZ… (Una de fisgoneo y acceso)

Hola a todos

Como os comente, voy a empezar una serie de posts en la cuales sobre máquinas virtuales tratare de reproducir  situaciones  que he vivido o  me he imaginado (ya no sé qué pensar…el tiempo ha pasado, la noche me confunde y los años no pasan en balde seguramente sea lo segundo, o era lo primero…???)  Y de las que, ya sean imaginadas o verdaderas guardo algún tipo de recuerdo, ya sea este real  o imaginario…

Esta primera historia  trata  de un hall de un edificio, el cual tenía un pequeño puestecillo de control de acceso, el cual se encontraba vacío la mitad (e incluso tres cuartos) del tiempo,  y por ende el pc, que se encontraba en el lugar, languidecía en un estado de latencia, ya que nadie  se preocupaba, no ya de su estado, si no de si tan siquiera se encontraba encendido o apagado…

El aburrimiento y la curiosidad van de la mano, y ya se sabe que el diablo mata moscas con el rabo, cuando esta aburrido y  el menda lerenda se aburre bastante a menudo, más que nada porque la ausencia de estímulos mata el intelecto (el poco que tengo necesita acción) y ahí me vi, solo, en un hall solitario, con un PC  latente, que tenía el busca minas, pero que pasadas 10 horas ya no me emocionaba en absoluto…

Tenía acceso al mismo como usuario, mi cuenta con contraseña, que tenía restringidas muchas acciones, lo cual era muy frustrante…no hay cosa que me moleste más, coño!!! Que no lo voy a romper!!!  Pensaba yo, pero estaba claro que el sysadmin pensaba de manera distinta, he de reconocer que se había preocupado sobre el acceso al PC lo cual para la época ya era bastante.

1

Pero recordé que tenía truco, en Windows Xp por mucho que crees un usuario con derechos de administrador, un usuario restringido, si no haces alguna cosa más…estas jodido!

Sigue leyendo

UN CASO REAL UN LINUX TROYANIZADO, parte II como se realizo.

Hola a todos

Para esta ocasión he contado con una colaboración excepcional para mi blog, todo gracias a twitter y al intercambio de opiniones sanas, me explico:

Al hilo de la publicación de la 1ª parte, dio lugar a una conversación sobre el como se producía la troyanización  de nuestra maquina, con el Señor Javier Peña via twitter, @fj_pena, el cual trabaja en el área de consultoria para RED HAT y aparte programa juegos para ordenadores retro (os invito a visitar Retroworks), el cual se tomo la molestia de recrear el escenario expuesto,  y  por que no decirlo, hacerme mas sabio al completar lo poco que yo tenia con respecto a como se producía vamos a llamar la “infección” (así como corregir un par de conceptos equivocados) , por tanto no dude un momento en invitarle a escribir este post, para que lo compartiera con todos nosotros, solo me resta darle las Gracias de nuevo, antes de dejaros con el post.

UN LINUX TROYANIZADO

Después de leer el artículo original, me surgieron algunas dudas sobre el funcionamiento del troyano, así que me puse manos a la obra para analizarlo.

En primer lugar, preparé una máquina virtual “honeypot”, con unas cuantas herramientas de análisis .

1 Sigue leyendo

BeEF Framework a Fondo parte 2º

Hola a todos, vamos a continuar con el monográfico sobre BeEF donde lo dejamos en el post anterior, dando por sentado que somos el atacante y vamos a hacer un resumen de las características más notorias (en mi opinión) y desde el momento que atrapamos al navegador con nuestro anzuelo, ya sea desde una página web personalizada, como explicamos en el post anterior, o bien desde las propias páginas webs de ejemplo que provee BeEF.

1

Como vemos hemos enganchado al navegador Internet Explorer versión 10 de una máquina virtual la cual tiene como sistema operativo Windows 7, hemos utilizado la página demo avanzada de BeEF, observamos como en la página de control del Framework presenta el resumen de todas y cada una de las características del navegador, componentes, sistema operativo del host, a continuación se observa con más detalle… Sigue leyendo