Phenquestions
Para desarrollar el día cero, hay dos opciones: desarrollar el suyo propio o capturar el día cero desarrollado por otros. Desarrollar el día cero por su cuenta puede ser un proceso largo y monótono. Requiere gran conocimiento. Puede llevar mucho tiempo. Por otro lado, el día cero puede ser capturado por otros y puede ser reutilizado. Muchos piratas informáticos utilizan este enfoque. En este programa, configuramos un honeypot que parece inseguro. Luego esperamos a que los atacantes se sientan atraídos por él, y luego su malware es capturado cuando irrumpieron en nuestro sistema. Un pirata informático puede volver a utilizar el malware en cualquier otro sistema, por lo que el objetivo básico es capturar el malware primero.
Dionaea:
Markus Koetter fue quien desarrolló Dionaea. Dionaea recibe su nombre principalmente de la planta carnívora Venus atrapamoscas. Principalmente, es un honeypot de baja interacción. Dionaea se compone de servicios que son atacados por los atacantes, por ejemplo, HTTP, SMB, etc., e imita un sistema de ventanas sin protección. Dionaea usa Libemu para detectar shellcode y puede hacernos estar atentos al shellcode y luego capturarlo. Envía notificaciones simultáneas de ataque a través de XMPP y luego registra la información en una base de datos SQ Lite.
Libemu:
Libemu es una biblioteca utilizada para la detección de shellcode y emulación x86. Libemu puede generar malware dentro de documentos como RTF, PDF, etc. podemos usar eso para el comportamiento hostil usando heurística. Esta es una forma avanzada de honeypot, y los principiantes no deberían probarla. Dionaea no es seguro si se ve comprometido por un pirata informático, todo su sistema se verá comprometido y, para este propósito, se debe usar la instalación ajustada, se prefieren los sistemas Debian y Ubuntu.
Recomiendo no usarlo en un sistema que se utilizará para otros fines, ya que instalaremos bibliotecas y códigos que pueden dañar otras partes de su sistema. Dionaea, por otro lado, no es seguro si se ve comprometido, todo su sistema se verá comprometido. Para este propósito, se debe utilizar la instalación ajustada; Se prefieren los sistemas Debian y Ubuntu.
Instalar dependencias:
Dionaea es un software compuesto y requiere muchas dependencias que no están instaladas en otros sistemas como Ubuntu y Debian. Entonces tendremos que instalar dependencias antes de instalar Dionaea, y puede ser una tarea aburrida.
Por ejemplo, necesitamos descargar los siguientes paquetes para comenzar.
$ sudo apt-get install libudns-dev libglib2.0-dev libssl-dev libcurl4-openssl-devlibreadline-dev libsqlite3-dev python-dev libtool automake autoconf
build-essential subversion git-core flex bison pkg-config libnl-3-dev
libnl-genl-3-dev libnl-nf-3-dev libnl-route-3-dev sqlite3
Se puede descargar un guión de Andrew Michael Smith desde Github usando wget.
Cuando se descargue este script, instalará aplicaciones (SQlite) y dependencias, descargará y configurará Dionaea luego.
$ wget -q https: // sin procesar.github.com / andremichaelsmith / honeypot-setup-script /maestro / configuración.bash -O / tmp / setup.bash && bash / tmp / setup.intento
Elija una interfaz:
Dionaea se configurará solo y le pedirá que seleccione la interfaz de red que desea que escuche el honeypot después de que se descarguen las dependencias y las aplicaciones.
Configuración de Dionaea:
Ahora honeypot está listo y funcionando. En futuros tutoriales, te mostraré cómo identificar los elementos de los atacantes, cómo configurar Dionaea en tiempos reales de ataque para alertarte,
Y cómo mirar y capturar el shellcode del ataque. Probaremos nuestras herramientas de ataque y Metasploit para comprobar si podemos capturar malware antes de colocarlo en línea.
Abra el archivo de configuración de Dionaea:
Abra el archivo de configuración de Dionaea en este paso.
$ cd / etc / dionaea
Vim o cualquier otro editor de texto que no sea este puede funcionar. Leafpad se utiliza en este caso.
$ sudo leafpad dionaea.confConfigurar el registro:
En varios casos, se ven varios gigabytes de un archivo de registro. Las prioridades de los errores de registro deben configurarse y, para ello, desplácese hacia abajo en la sección de registro de un archivo.
Sección de interfaz e IP:
En este paso, desplácese hacia abajo hasta la interfaz y escuche una parte del archivo de configuración. Queremos que la interfaz esté configurada en manual. Como resultado, Dionaea capturará una interfaz de su propia elección.
Módulos:
Ahora el siguiente paso es configurar los módulos para el funcionamiento eficiente de Dionaea. Usaremos p0f para la toma de huellas dactilares del sistema operativo. Esto ayudará a transferir datos a la base de datos SQLite.
Servicios:
Dionaea está configurado para ejecutar https, http, FTP, TFTP, smb, epmap, sip, mssql y mysql
Deshabilite Http y https porque no es probable que los piratas informáticos se dejen engañar por ellos y no son vulnerables. Deje los demás porque son servicios inseguros y pueden ser atacados fácilmente por piratas informáticos.
Inicie dionaea para probar:
Tenemos que ejecutar dionaea para encontrar nuestra nueva configuración. Podemos hacer esto escribiendo:
$ sudo dionaea -u nadie -g nogroup -w / opt / dionaea -p / opt / dionaea / run / dionaea.pid 
Ahora podemos analizar y capturar malware con la ayuda de Dionaea, ya que se ejecuta con éxito.
Conclusión:
Al usar el exploit de día cero, la piratería puede volverse fácil. Es una vulnerabilidad de software de computadora y una excelente manera de atraer a los atacantes, y cualquiera puede ser atraído hacia ella. Puede explotar fácilmente programas y datos informáticos. Espero que este artículo le ayude a aprender más sobre Zero-Day Exploit.
