Honeypot para el análisis de Spam.

Share this…

SHIVA (Spam Honeypot con Intelligent Virtual Analyzer), es un Honeypot de Spam relé abierto pero controlado, construido sobre el marco Lamson en Python, con capacidad de recopilar y analizar todo el spam que se le arroje. El análisis de datos capturados puede ser utilizado para obtener información de: ataques de Phishing, campañas de Pharming , campañas de malware, botnets de spam, etc. SHIVA está escrito en Python y actualmente utiliza MySQL como back-end. SHIVA esta bajo  licencia GNU GPL v3.

Entre sus características destaca:

  • Relé controlado: SHIVA proporciona la capacidad de controlar completamente la parte del relé. El usuario puede habilitar/deshabilitar y establecer el número de Spam a ser retransmitido, en su archivo de configuración.
  • Open Source: SHIVA es de código abierto, por lo tanto es muy fácil ampliar las capacidades. por ejemplo, se podría escribir fácilmente un módulo simple para enviar los archivos adjuntos a VirusTotal para un análisis mas extenso.
  • Identificación del Spam único: SHIVA utiliza la técnica de hashing difusa para distinguir entre el Spam ya visto. Esto hace posible analizar millones de Spam y mantener el tamaño de la base de datos. Python implementación de ssdeep se utiliza. Utiliza la implementación ssdeep de Python.
  • Extracción de información de Spam: Cada Spam recibido pasa a través del analizador de correo. Está escrito para extraer toda la información que es importante. Extrae información como: IP de origen; varias partes de Spam como: para, de, encabezado, asunto, cuerpo, URL, archivos adjuntos, Etc. Esta información se guarda entonces en la base de datos, si el usuario ha optado por configurar la base de datos almacenamiento.
  • Soporta autenticación: SHIVA proporciona más control sobre el receptor SMTP mediante la adición de Autenticación SMTP. De esta manera, un usuario puede restringir el acceso a su servidor SMTP estableciendo credenciales.
  • Compartir datos en Hpfeeds: SHIVA también facilita el compartir los datos analizados añadiendo compatibilidad con Hpfeeds/Hpfriends. Hpfriends es la plataforma de intercambio de datos sociales de el proyecto Honeynet.

SHIVA se divide en dos partes: Receptor y Analizador. La parte del receptor actúa como un servidor SMTP de retransmisión abierta, recoge todo el Spam que se le arroja y los descarga en un directorio local. El analizador, entonces, recoge el Spam y procede a analizar y extraer la información.

Posibles escenarios de uso de SHIVA:

  • Recolección de Spam: SHIVA se puede utilizar como un servidor SMTP que descargará todo el Spam que reciba, en un directorio local. Si se arranca sólo la parte del receptor, entonces SHIVA actuará como un servidor SMTP, y todos los correos se verán en el directorio de la cola.
  • Análisis del Spam almacenado: SHIVA también se puede utilizar para analizar el Spam que se pudo haber recogido de diversas fuentes. Todo lo que se necesita hacer es transferir todo el Spam a la carpeta de la cola e iniciar la parte del analizador.
  • Compartir datos en Hpfeeds: SHIVA se puede configurar fácilmente para compartir datos en Hpfeeds. Hay una sección dedicada en el archivo de configuración que se ocupa de todas las cosas necesarias para configurar compartir datos con hpfeeds. Se puede utilizar principalmente para solo compartir Hpfeeds, al deshabilitar el almacenamiento de bases de datos locales.
  • Configuración cliente-servidor: Con algo de dificultad, SHIVA puede utilizarse para configurar una infraestructura cliente-servidor. En esta configuración, habrá varios sensores que recogerán el Spam único y lo enviarán al nodo maestro. Este nodo maestro analizará aún más el Spam y guardará los datos. Los nodos cliente pueden compartir el correo no deseado a través de Hpfeeds, en forma de archivos de correo no deseado.

Fuente:https://www.gurudelainformatica.es/2017/05/honeypot-para-el-analisis-de-spam.html