abril 19, 2024

Conjunto de scripts y aplicaciones que ayudan de forma rápida y sencilla a desplegar honeypots.

Álvaro Paz noviembre 4, 2015 0
Voiced by Amazon Polly
Comparte en redes sociales

Tango es un conjunto de scripts y aplicaciones que ayudan de forma rápida y sencilla a desplegar honeypots, y luego ver los datos y el análisis de las sesiones de los atacantes. Existen dos scripts proporcionados que facilitan la instalación de los honeypots. Una de las secuencias de comandos “uf_only.sh” instalará los archivos de entrada y de salida de configuración necesarios. Y el otro script “sensor.sh” instalará el honeypot Cowrie requerida para la aplicación Tango Honeypot.

Hay algunas cosas que deben tenerse en cuenta antes de instalar:

  • Al implementar la aplicación de entrada del sensor, la aplicación debe comunicarse con el sitio web ipv4.icanhazip.com para obtener la dirección IP externa del sensor. Esta información es útil para la parte de control del sensor de la aplicación. Si no usa esto, muchos de los campos de «Gestión del sensor» estará en blanco.
  • Tango está diseñado para utilizar datos JSON  con formato de Cowrie por Michel Oosterhof.
  • Para integrar con VirusTotal es preciso añadir el usuario y clave de la aplicación, que se puede configurar en “/opt/splunk/etc/apps/tango/bin/vt.py”. Teniendo en cuenta que está limitado a 4 solicitudes por minuto, por lo que si se intenta hacer más que esto, no se recibirá ninguna información. Esto se refiere a la sección Análisis de archivos de la aplicación.

Este honeypot se compone por tres módulos:

El sensor.
El sensor Cowrie es altamente configurable, por lo que si desea agregar comandos de salida adicionales, hay un montón de recursos disponibles. Posee algunas opciones que se pueden cambiar en “/opt/cowrie/cowrie.cfg”, sin embargo, algunas de estas opciones romperá el envío de registros (como cambiar el puerto de escucha que se establece en 2222), también, hay algunos módulos adicionales, como mysql o xmpp, que se puede activar si lo desea, así como cambiar el nombre de host del honeypot.

El servidor.
Para recoger los registros que están enviando los sensores, se necesita instalar Splunk Enterprise en la parte servidor. Y proporciona la recolección de datos confiable y segura de fuentes remotas y reenvia estos datos para la indexación y consolidación. Pueden escalar a decenas de miles de sistemas remotos, recogiendo terabytes de datos con un impacto mínimo en el rendimiento.

La aplicación.
Una vez que los  sensores y servidor están en funcionamiento, se utiliza la Splunk App  para analizar los registros y empezar a identificar lo que los atacantes están haciendo en los sistemas.. Una vez en la aplicación, en «Ataque general», muestra un amplio panorama de los ataques contra los sensores. Esto incluye: intentos, éxitos, inicios de sesión, ubicaciones…
En la parte superior de la aplicación, en el panel de navegación, hay varias categorías de informes disponibles, que incluyen:

  • Análisis Ataque.
  • Análisis de archivos.
  • Análisis de Redes.
  • Gestión de sensor.
  • Amenaza RSS.

Más información y descarga de Tango:
https://github.com/aplura/Tango

Más historias

Marco OSINT semiautomático para enumerar la superficie de ataque

Marco OSINT semiautomático para enumerar la superficie de ataque

Álvaro Paz marzo 9, 2021 1

Biblioteca de pruebas simples que todo Red Team puede ejecutar para probar sus defensas

Álvaro Paz noviembre 30, 2020 1
Monitorear red doméstica con Raspberry Pi

Monitorear red doméstica con Raspberry Pi

Álvaro Paz noviembre 18, 2020 0

Deja un comentario