MONTANDO UN HONEYPOT (sebek, honeywall en virtualbox) parte 1

Hola a tod@s!!!

Siempre he tenido ganas de trastear con un honeypot situado estratégicamente y ofreciendo un blanco suculento…por desgracia no lo he podido llevar a cabo…aun! (tengo muchas ideas, pero poco tiempo), y me consta que es un elemento que no es muy cercano al usuario medio, por tanto voy a tratar de mostraros como configurar uno muy sencillito…solo para que veáis como se ve…

Vamos a ver como siempre cual es la definición que da Wikipedia sobre el termino honeypot…

Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.”

Bien pues queda clara cuál es la intención de un honeypot, vamos a instalar un honeypot de alta interacción, para ello elegiremos como S.O. Microsoft Windows XP para él, y explicaremos como configurar en VirtualBox el software necesario para controlarlo.

He elegido Sebek como honeypot, pasemos a conocerlo un poco más según la página honeynet.org

Sebek is a data capture tool designed to capture attacker’s activities on a honeypot, without the attacker (hopefully) knowing it. It has two components. The first is a client that runs on the honeypots, its purpose is to capture all of the attackers activities (keystrokes, file uploads, passwords) then covertly send the data to the server. The second component is the server which collects the data from the honeypots. The server normally runs on the Honeywall gateway, but can also run independently.

Y he elegido honeywall como sistema de monitorización, vamos a conocerlo un poco más según la página de sus creadores:

Honeywall CDROM is our primary high-interaction tool for capturing, controling and analyzing attacks. It creates an architecture that allows you to deploy both low-interaction and high-interaction honeypots within it.”

Una vez hechas las presentaciones de rigor voy a mostraros lo primero de todo como configuraremos virtualbox, ya que es necesario que se cumplan ciertas condiciones…

Bien os muestro cual es la idea en una topología de red, no es exacta, porque se va a configurar sin el acceso a internet, por tanto sin el router R1, con él se vería así…

aaa

Por tanto si se elimina R1 el equipo atacante se encontraría en la misma red local 192.168.56.0/24, esa es la topología que se va a configurar, como se muestra a continuación

Sigue leyendo

COMO CONFIGURAR UN LABORATORIO DE PENTEST parte 2ª

Hola a todos:

Vamos a retomar la  configuración de nuestro lab donde la dejamos, es decir, teníamos 4 máquinas virtuales víctimas, un Windows xp sp3, un Windows Server 2003 r2 x64, la versión Linux para explotar metasplotable, y un Mac OS X Lion,  todas ellas en red, para ser atacadas con nuestra maquina Backtrack 5r2…

Quitando el hecho de que son S.O. un tanto antiguos no está mal para empezar, (y nada nos impide realizarlo con S.O´s más modernos ;-)), bien pero necesitamos realizar pruebas de concepto más avanzadas, o tal vez solo queremos “fun & profit”, pues existen opciones que os voy a pasar a mostrar.

Como os avise en la primera parte del artículo, tienen bastante más requerimientos, memoria sobre todo ya que simulan el funcionamiento de una red dentro de una máquina virtual,dicha herramienta es NETinVM y BackTrack Linux 5r2- PenTesting EditionLab que es una modificación de la primera.

Sigue leyendo

TROYANOS, BOTNETS Y OTROS BICHOS AL DESCUBIERTO parte 1º

Instalación, configuración y manejo básico

Hola a todos:
Hoy me voy a separar un poco del camino planificado, ya que es una ocasión que merece la pena, me explico:

Hace unos días leí una conversación entre dos GRANDES expertos en seguridad vía twitter, que me abrió especialmente los ojos, hablaban sobre las armas que tienen los tontos, refiriéndose a las piezas de software como estas, mal utilizadas y empleadas para realizar mil y una tropelías por nuestra red…he de agradecer  muy especialmente por su colaboración en todo lo referente a ingeniería inversa y aportes de información a BTSHELL1, si se encuentra algún fallo en este o siguientes artículos no son suyos, sino míos. Desde aquí GRACIAS!!!

Está saliendo a la luz pública de una manera cada vez más frecuente, casos de ataques DDoS (distributed denial of service), botnets, troyanos, etc… en los cuales se causan graves daños, ya sea por el robo de credenciales, o la imposibilidad de operar normalmente.
Y me he dicho es el momento de desmitificar las botnets (ojo!! Que no al programador de las mismas), mostrar cómo funciona un troyano, (y si no me cortan la conexión por pesado) como se ejecuta un ataque de denegación de servicio o DDoS con un botnet especifico y de actualidad.

He de decir que este es un articulo en partes ya que primero me centrare en mostrar la instalación y uso de estos malwares y posteriormente se tratara de mostrar como realiza las acciones que realiza, donde nos centraremos en analizar los resultados del Reversing  realizado sobre ellos.(Gracias BTshell)

Os voy a hacer un breve resumen de lo que he necesitado para realizar este lab, para que veáis lo sencillo que es, un software de virtualización en este caso Virtualbox, dos máquinas virtuales, Windows xp sp3, configurar las interfaces de red de ambas maquina en red local, o si preferimos en  adaptador puente; y en cuanto a software he utilizado  como ejemplo de troyano:

  • XtremeRAT en concreto la versión 2.9 (que es detectada por todos los antivirus).
  •  ZEUS uno  de los botnets más famosos y activos de los últimos años , el cual aun sigue dando guerra
  • Echelon RAT 0.3 otra pieza de software que esta en auge. para la realización del ataque DDoS

Sigue leyendo

Configurar e Instalar un Escritorio virtual (Escritorio Web) con Xampp

descarga (1)

Hola a todos:

Hoy también os voy a mostrar mediante un manual como instalar, configurar así como instalar aplicaciones en un escritorio virtual (Web) el cual os puede permitir un espacio de trabajo homogéneo tanto local como a traves de Internet…Eso si solo habréis de tener un servidor para alojarlo o un pc 24/7…

Manual de instalación de un escritorio virtual (Escritorio Web)

Hasta pronto

Como Instalar Oracle Virtualbox

Se realiza la descarga del entorno virtual Oracle VM VirtualBox de la página web http://www.virtualbox.org/wiki/Downloads siendo este un ejecutable de 90.6 MB de tamaño, procediendo a su instalación, al ejecutar el archivo aparece el asistente que nos guiara en la instalación del entorno virtual.

1

La instalación nos pedirá que o bien instalemos el entorno virtual con las opciones pre configuradas o elijamos nosotros los elementos que se van a instalar en este caso elegiremos la opción custom puesto que vamos a instalar los elementos que elijamos.

2

Seleccionamos todos los elementos para instalar en esta ocasión y hacemos clic en Next, dándonos a elegir crear accesos directos en nuestro escritorio y en la barra de tareas al entorno  virtual seleccionamos que si en esta ocasión y pulsamos Next.

A continuación no avisa que va a cargar los interfaces de red propios de VirtualBox y que puede afectar a la conectividad de red de nuestro equipo, pulsamos Yes y la instalación da comienzo.

Sigue leyendo

COMO CONFIGURAR UN LAB DE PENTEST (1º Parte)

Hola de nuevo, hoy os voy a mostrar en dos partes como configurar correctamente un laboratorio de pentest (test de penetración) en vuestro equipo, daos cuenta que realizar cualquiera de las técnicas de pentesting en un/as red/es sin autorización expresa de su titular depende de la legislación del país podría acarrear como poco que tuviéramos una visita de la policía a nuestro hogar…cuestión bastante mal vista por nuestros vecinos…y si nos podemos ahorrar el mal trago y dejar que la policía se dedique a perseguir a los malos de verdad pues mejor no?

También como no todos tenemos un equipazo full core a tope, haremos distinciones en función de la potencia y memoria necesaria para correr sin mayores problemas cada una de las soluciones aportadas, desde un conjunto de  distintas máquinas a laboratorios completos  una máquina virtual que incluye un router, un firewall, y dos subredes…

Sigue leyendo