Como configurar um Honeypot e como evitá-los

Aqueles de vocês que estiveram lendo meus tutoriais por algum tempo agora sabem que sou inflexível quanto à necessidade de aprender e usar o Linux para piratear. Não há substituto, período.




Neste tutorial, porém, estaremos criando um sistema para atrair hackers para que possamos pegá-los ou estudá-los. Uma vez que quase todos os hackers do mundo estão visando servidores Windows para todas as suas falhas e vulnerabilidades conhecidas , estaremos configurando um sistema Windows para fazer exatamente isso

Um honeypot é um sistema de computador que parece sedutor para um hacker. Parece importante e vulnerável, o suficiente para que o hacker tente entrar. É usado para atrapalhar hackers e como uma forma de estudar as técnicas de hackers pela comunidade de segurança. Como hacker, é importante saber que estes existem e os riscos que alguém tem se você ficar aprisionado em um.

Aqui, vamos configurar um honeypot. Se você deixar de funcionar, você pode observar outros hackers praticando sua arte. Além disso, faremos algum reconhecimento no honeypot para ver o que parece da perspectiva do atacante.

É importante que o hacker saiba como são esses imitadores de fora, a fim de evitá-los e evitar uma longa prisão de prisão de trabalho duro e viver três vezes ao dia.

Passo 1 Instale o KFSensor

Há uma série de honeypots no mercado, incluindo honeynet, honeyd, Tiny Honeypot, NetBait e ManTrap, mas estaremos usando um honeypot comercial, o KFSensor , para o Windows.

O KFSensor nos permitirá ter um sistema autêntico do Windows que o hospede e podemos usar o nosso sistema Kali Linux para reconquistá-lo. Uma das coisas que desejamos realizar neste tutorial é identificar maneiras de detectar um honeypot e, em seguida, correr longe, muito longe.

Vamos abrir um navegador e navegar até www.kfsensor.com , depois baixar e instalar o software. É uma prova de 30 dias, então temos um mês para jogar com ele de graça.

Uma vez que ele está instalado, clique com o botão direito do mouse no ícone do KFSensor e “execute como administrador”. Você deve obter um assistente configurado como este.




Depois de passar por mais algumas telas no assistente escolhendo os padrões, você vem para a tela abaixo que permite escolher os serviços nativos. Vamos escolher todos eles.

Em seguida, escolha o seu nome de domínio. Você pode querer fazer parecer atraente. O padrão é networksforu.com , mas fiz o meu primeirofinanacial.com na esperança de fazer o hacker pensar que é um site financeiro.

Em seguida, você pode escolher um endereço de e-mail onde deseja enviar os alertas.

Passo 2 Escolha Opções

Finalmente, temos algumas opções para escolher. Vamos com os padrões, mas note a opção final. Aqui nos permite capturar os pacotes para que possamos analisar os ataques com uma ferramenta como o Wireshark ou outro analisador de protocolo. Ele avisa, porém, que as capturas de pacotes podem ocupar muito espaço em disco; Se você está tentando pegar ou estudar um hacker, é necessário. Vamos deixá-lo desativado por enquanto.




Etapa 3 Configurar seu Honeypot e assistir

Quando você completou o assistente, clique em Concluir e você deve ter um aplicativo que se pareça com isso.

Passo 4 Escaneando com Nmap

Agora que temos nossa configuração de honeypot, vamos tomar a abordagem do hacker. Assim como se estivéssemos fazendo um reconhecimento em um alvo potencial, usemos o nmap para escanear esse sistema . Vamos fazer uma varredura SYN:

  • nmap -sS 192.168.1.102

Como você pode ver, encontramos inúmeras portas abertas. Como hacker, esta é uma grande BANDEIRA VERMELHA. Poucos servidores web comerciais deixariam todas essas portas abertas. Não em 2014!

Se voltarmos para o honeypot, podemos ver que criamos um alerta para uma varredura de porta na área de destaque roxa. Lembre-se de que uma varredura SYN não completa um handshake de 3 vias, mas a maioria dos sistemas de detecção de intrusão considera muitos pacotes em rápida sucessão de um IP para ser uma “possível varredura de portas”. Esta é uma das razões pelas quais muitas vezes é aconselhável diminuir a sua varredura com os controles de velocidade incorporados do nmap.

Passo 5 Digitalize com Nikto

Vamos usá-lo aqui contra este honeypot.

  • ./nikto.pl -h 192.168.1.102




Nossos resultados nos dizem que esse sistema é uma instalação padrão do servidor IIS 7 da Microsoft. Outra BANDEIRA VERMELHA que isso pode ser um honeypot.

Passo 6 Banner Grab

Por fim, vamos tentar um banner agarrar. Podemos conectar-se com o netcat  à porta 80 e, em seguida, tentar pegar o banner do servidor web, se houver um.

  • nc 192.168.1.102 80
  • HEAD / HTTP/1.0

Como você pode ver, conseguimos pegar o banner que identifica o servidor web como o IIS 7.5 da Microsoft.

Alguns avisos importantes sobre Honeypot

Não há nenhum sinal revelador de um honeypot, mas há algumas coisas a ter em mente.

  1. O velho ditado, “se é muito bom para ser verdade, provavelmente é”, também se aplica à pirataria. Aqueles sites que parecem extraordinariamente fáceis de hackear são prováveis ​​armadilhas.
  2. Procure serviços e portas incomuns abertas. A maioria dos sistemas voltados para a internet está despojada de quaisquer serviços desnecessários. Se tem muitos serviços incomuns e portas abertas, estas são destinadas a atrair atacantes e pode ser um honeypot.
  3. Se for uma instalação padrão, pode ser um honeypot.
  4. Se houver pouca ou nenhuma atividade, pode ser um honeypot.
  5. Se você vir diretórios com nomes como “números de segurança social” ou “números de cartão de crédito”, pode ser um honeypot.
  6. Se você ver muito pouco software instalado, pode ser um honeypot.
  7. Se houver muito espaço livre no disco rígido, pode ser um honeypot.

Tenha cuidado para lá, meus aspirantes a hackers, como eu quero continuar voltando ao techconecte para aprimorar suas habilidades, em vez de estar sentado em uma sala concreta. Tenha em mente que os honeypots devem ser atraentes, mas pode ser uma armadilha!




Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *