Es muy difícil recrear un honeypot de una red SCADA dado la variedad de despliegues de redes industriales y la falta de una arquitectura estándar. Otro de los factores que dificultan simular estas redes, es que utilizan muchos protocolos de red diferentes y topologías muy complejas.
Conpot es un Honeypot con un perfil predeterminado (default.xml) que proporciona emulación básica de una CPU Siemens S7-200 (de los PLCś mas usados en sistemas de control industrial) con unos módulos de expansión instalados. La superficie de ataque de la emulación predeterminada incluye los protocolos: MODBUS, HTTP, SNMP y s7comm. Si bien la mayor parte de la configuración se lleva a cabo dentro del perfil XML, algunas partes se mantienen en carpetas separadas dentro del directorio de plantillas para evitar el desorden.
Conpot viene por defecto con un modulo HMI. Si ejecuta Conpot con la configuración por defecto y sin parámetros adicionales, servirá la página por defecto en el puerto 80. La página predeterminada es sólo un archivo de texto plano que recibe del ‘sysDescr’ desde el servidor SNMP.
Conpot tiene soporte para HPFeeds, un protocolo generico de intercambio de datos que se utiliza en el Proyecto Honeynet. Esto significa que con HPFeeds habilitadas se compartirán los datos que recoja el sensor con el proyecto.
Según los desarrolladores en este momento sólo hay un número muy pequeño de sensores desplegados, debido a que HPFeeds no está activado por defecto y probablemente pocos usuarios utilizan el modulo HMI para atraer atacantes. Con el modulo HMI el tráfico es significativamente mayor en el honeypot debido al trafico generado por los motores de búsqueda.
Para tener acceso a los datos de Conpot, es necesario crear una cuenta HPFriends. Con el registro de la cuenta se crea una una authkey. Después hay que modificar el cliente de Conpot con la authkey de credenciales dadas.
Fuente:https://www.gurudelainformatica.es/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
