Pular para o conteúdo

HoneyPots em Linux

Uma análise sobre a função de um HoneyPot e o seu funcionamento.
Douglas Gabriel Angeli douglasangeli

Por Douglas Gabriel Angeli em 28/11/2016

Hits: 21.741 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Parte 5: Coleta de dados

Para esta atividade é necessário instalar uma ferramenta chamada Honeyd, podemos encontrar com facilidade tutoriais de como instalar a mesma, mas como já foi mencionado, não é este o foco do artigo.

Aqui serão mostrados os resultados de um honeypot de baixa interatividade, o Honeyd, que foi configurado com Sistema Operacional OpenBSD versão 4.5. Essa é uma informação integrante de uma Monografia do Trabalho de Conclusão de Curso de Raphael Franco Gatti, do curso de Engenharia de Computação na Universidade São Francisco. A configuração possui os seguintes serviços:
  • Uma estação com Microsoft NT 4.0 Server SP5-SP6, simulando um serviço de IIS 5.0 (porta 80/tcp), SSH (porta 22/tcp) e TELNET (porta 23/tcp).
  • Um servidor de e-mail Linux, com scripts simulando um serviço de POP3 (porta 110/tcp), SMTP (porta 25/tcp) e SSH (porta 22/tcp).
  • Uma estação com Microsoft Windows XP Professional SP1, que simula algumas portas abertas, sendo que algumas outras foram acrescentadas. Todas essas portas são conhecidas como alvos frequentes de ataques a máquinas Windows.
  • Um servidor de compartilhamento de arquivos FreeBSD 4.6, que está configurada com os seguintes serviços com a porta aberta: HTTP (80/tcp) e DNS (53/udp). E utilizando um script o serviço de FTP (porta 21/tcp).
  • Uma estação com Microsoft Windows XP Home, onde está sendo utilizado um script com a finalidade de simular uma linha de comando do DOS com backdoors usados atualmente por diversos worms: Blaster, Sasser, Dabber e Lovgate. Cada variante de worms está com uma porta específica. Ele registra as linhas de comando digitadas pelos atacantes.
  • Uma estação com Microsoft Windows XP Professional, simulando um backdoor instalado através do vírus MyDoom utilizando o script "mydoom.pl" com 4 portas. Ele salva os arquivos baixados para a máquina e registra todas as tentativas de usar a funcionalidade de proxy do backdoor.

Resultados: após realizar as configurações do Honeypot foi dado início ao experimento feito somente na rede interna da Unversidade São Francisco. Foram identificadas algumas tentativas de ataque utilizando Telnet para acessar uma máquina virtual específica. Segue os logs:

2009-11-23-20:00:50.0556 honeyd log started ------
2009-11-24-20:44:13.9460 tcp(6) S ATACANTE 35493 10.3.0.20 23 [Linux 2.6]
2009-11-24-20:44:14.0565 tcp(6) - ATACANTE 35493 10.3.0.20 23: 58 PA [Linux 2.6] .........
2009-11-26-20:31:24.1636 honeyd log stopped
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Nesta parte do registro mostra as atividades feitas pelo atacante colocando o login e senha.

honeyd[10298]: Running with root privileges.
honeyd[10298]: Connection request: tcp (ATACANTE:35493 - 10.3.0.20:23)
honeyd[10298]: Connection established: tcp (ATACANTE:35493 - 10.3.0.20:23) <-> perl /usr/share/honeyd/scripts/router-telnet.pl
honeyd[10298]: E(ATACANTE:35493 - 10.3.0.20:23): Attempted login:root/net

Foi realizada uma tentativa de ataque utilizando o prompt de comando do DOS que estava sendo simulado, com a tentativa de executar um Ping mortal.
2009-11-25 19:49:26 +0200: cmdexe.pl[303031]: connection from ATACANTE to 10.0.0.10
2009-11-25 19:50:26 +0200: cmdexe.pl[303031]: cmd: dir
2009-11-25 19:50:27 +0200: cmdexe.pl[303031]: cmd: cd win
2009-11-25 19:50:27 +0200: cmdexe.pl[303031]: cmd: ping -l- 6500 -t 10.0.0.10
2009-11-25 19:50:38 +0200: cmdexe.pl[303031]: cmd:
2009-11-25 19:51:03 +0200: cmdexe.pl[303031]: cmd:
help 2009-11-25 19:51:03 +0200: cmdexe.pl[303031]: Forced exit of cmdexe.pl (eg,^C in a connection)

Para análise dos resultados obtidos pela ferramenta Honeyd, foi utilizado o Honeydsum v. 0.3 para geração das estatísticas.

Conclusão

É importante salientar que apesar de ser uma ferramenta utilizada para melhorar sistemas de segurança, ela não é em si uma ferramenta de segurança. Por tanto, deve ser utilizada com cuidado, pois uma má configuração pode facilitar que ela seja usada como ponte para efetuar ataques a outras pessoas ou encontrar brechas de segurança na rede onde ela se encontra.

A ferramenta pode se mostrar muito útil e grande fonte de informações, se bem utilizada. O objetivo não será capturar o atacante nem rastrear o mesmo, mas somente, como visto anteriormente, deve ser utilizada para coleta de dados e bolar estratégias e até mesmo formas de contenção de ataques.

O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Páginas do artigo

   1. Resumo
   2. Honeypot
   3. Honeynet
   4. Linux
   5. Coleta de dados

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Gerenciando logs do Linux pela WEB com o PHPSYSLOG-NG (parte 1)

Análise sobre políticas de segurança da informação

Quad9 - O que é e como usar

Syslog-NG - Configurando um servidor de logs

Biometria facial na autenticação do usuário root

Comentários

#1 Comentário enviado por Ghost_Shell em 30/11/2016 - 00:41h
Excelente artigo. Vai para os favoritos.

Keep it simple stupid!

Contribuir com comentário

Entre na sua conta para comentar.