Blog sobre seguridad informática. Con temas como: Auditoria, Test penetración, Malware, Informática Forense, Antivirus, SCADA, DDoS, SQL injection, OSINT…
El problema con la implementación tradicional de honeypots en entornos de producción es que los atacantes pueden descubrir solamente los honeypots mediante el escaneo en red, que es muy ruidoso. La única excepción es el honeypot Beeswarm que filtra intencionalmente credenciales en el tráfico de la red y luego busca la reutilización inesperada de estas credenciales.
Si echamos un vistazo a Mitre ATT & CK Matrix, vemos que el ‘Escaneado de servicios de red’ es solo una de las muchas actividades diferentes que emplean los atacantes posteriormente a la penetración en el sistema. Cuanto más información falsa o engañosa se de, en respuesta a las técnicas de post-compromiso (especialmente las técnicas bajo «Acceso de credencial», «Descubrimiento» y «Tácticas de movimiento lateral» en la matriz ATT & CK), mayores serán las posibilidades de atrapar a los atacantes.
Honeybits es una herramienta simple diseñada para mejorar la efectividad de las trampas mediante la difusión de honeytokens en los servidores de producción y estaciones de trabajo, para atraer al atacante hacia los honeypots.
Estas honeytokens incluyen:
Falsos comandos en el historico del Bash «bash_history» (como ssh, ftp, rsync, scp, mysql, wget, awscli).
Credenciales y archivos de configuración falsos de AWS (se requiere crear usuarios falsos de AWS IAM sin permisos y generar claves de acceso para ellos)
Archivos de configuración, copia de seguridad y conexión como RDP y VPN.
Entradas falsas en hosts, tabla ARP, etc.
Historial de navegador falso, marcadores y contraseñas guardadas.
Credenciales falsas inyectadas en LSASS.
Claves de registro falsas.
Este es un componente pequeño pero crucial en un sistema de engaño que también debe incluir: honeypots (idealmente de alta interacción), sistema de recopilación y análisis de registros, alertas, etc.
Características principales de Honeybits:
Crear honeytraps y monitorizar el acceso a estas trampas usando «go-audit» o «auditd».
Generador de contenido basado en plantillas para honeyfiles.
Permite insertar los honeytraps en el archivo de configuración y credenciales de AWS
Permite insertar honeytraps en “/etc/hosts”.
Permite lectura de configuración desde una key-value store como Consul o etcd.
Permite insertar diferentes honeytraps en «bash_history», incluidos los siguientes comandos de muestra:
Utilizamos cookies propias y de terceros para mejorar nuestros servicios, elaborar información estadística, analizar sus hábitos de navegación e inferir grupos de interés. Esto nos permite personalizar el contenido que ofrecemos y mostrarle publicidad relacionada con sus preferencias. Adicionalmente, compartimos los análisis de navegación y los grupos de interés inferidos con terceros. Al clicar en "Aceptar" o SI CONTINÚA NAVEGANDO, ACEPTA SU USO. También puede CONFIGURAR O RECHAZAR la instalación de cookies clicando en “Cambiar configuración"AJUSTES CookieACEPTAR
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.