Activa la trampa; implemente su propio Honeypot para obtener muestras de malware

Share this…

El presente artículo es sobre cómo configurar su propio Honeypot (dionaea). Se diría que a la mayoría de los programadores les gustan los binarios de ingeniería inversa, mientras que otros sienten inclinación por el malware. ¿Por qué no combinarlos y aplicar ingeniería inversa a algún malware que esté siendo usado actualmente para explotar vulnerabilidades?

Este tutorial es sobre cómo configurar un honeypot en Amazon Web Services (AWS). Si no está familiarizado con AWS, no importa; ellos tienen servidores, puede usarlos, como reportan expertos en pruebas de penetración.

Si tiene 1 microinstancia con un disco duro adjunto de menos de 50 GB, puede tener un servidor gratuito. Tendrá que proporcionar la información de su tarjeta de crédito a Amazon Web Services, pero se le permite un servidor gratuito para siempre, siempre y cuando permanezca en el “nivel gratis”.

Habilidades requeridas:

  • Comandos generales de Linux
  • Comprensión general de redes

Requerimientos:

  • Servidor (AWS funciona bastante bien)

Descargo de responsabilidad (opcional)

A algunos proveedores de hosting no les gusta el malware. Así que, quizás, no recopilen en sus servidores si no son geniales como usted.

Configuración de AWS

Comience por configurar su instancia de AWS (si no está usando AWS, salte a la siguiente sección).

  1. Continúe haciendo clic en EC2 y Crear una nueva instancia. (EC2 == Servidores AWS). Después de eso, desea seleccionar Ubuntu Server 14.04 LTS.

honeypot1

  1. Luego, seleccione el tipo de microinstancia.

honeypot3

  1. Ahora para configurar detalles de instancia, seleccione “Asignar automáticamente IP pública” y configúrelo como “Habilitar”.

honeypot3

  1. Para el almacenamiento, simplemente agregue el predeterminado y haga clic en Siguiente.
  2. Ignore agregar etiquetas y haga clic en Siguiente.
  3. Configurar Security Group es un poco más profundo. AWS por defecto sólo permite que SSH esté abierto para su servidor. Debe cambiar esto y todos los puertos se abrirán en su servidor. Sí, esto es más inseguro, pero ese es el punto.

honeypot4

  1. El lanzamiento (tutorial de expertos en pruebas de penetración)

honeypot5

  1. Esta parte es un poco más compleja. Debe cambiar los permisos de su clave privada (something.pem) y luego usar ssh. Obtenga su nombre de host de su instancia. Será bajo DNS público.

honeypot6

$ sudo chmod 400 /home/user/Downloads/key.pem

$ ssh -i /home/user/Downloads/key.pem ubuntu@ec2-13-57-45-50.us-west-1.compute.amaonaws.com

Configuración del servidor

$ sudo su

# apt-get update; apt-get upgrade -y; apt-get dist-upgrade;

Tome las dependencias

honeypot10

Ahora aquí es donde está el archivo de configuración dionaea.cfg.

Este archivo especifica dónde se eliminarán los códigos maliciosos/binarios, la interfaz y los puertos. Puede dejar estos valores predeterminados, pero recuerde, el archivo de registro será muy grande.

honeypot7

Entonces, dionaea tiene muchos servicios diferentes que puede permitir y, por lo tanto, hacer que su honeypot abra más tipos de ataques. Obtiene más malware. Estas configuraciones se pueden alternar en los directorios de servicios disponibles y servicios habilitados. Al editar cada archivo yaml, edita el servicio y cómo le aparecerá a un hacker/bot. Si quiere aceptar ataques SMB, como WannaCry, tendrá que configurar el servidor para aceptar SMB.

# vim services-enabled/smb.yaml

Si desea habilitar una configuración predeterminada de Windows 7, simplemente elimine el comentario de Win7. Siéntase libre de ser creativo.

honeypot8

Por último pero no menos importante, ¡ACTIVE LA TRAMPA!

# /opt/dionaea/bin/dionaea –D

honeypot9

En conclusión

Toma un tiempo poner esto en funcionamiento por primera vez. Acorde a expertos en pruebas de penetración del Instituto Internacional de Seguridad Cibernética, si tiene dificultades, intente con estos documentos: https://dionaea.readthedocs.io/en/latest/run.html