23 nov 2012

Dionaea, proyecto para el estudio de ataques y malware

El estudio de los ataques automatizados es muy interesante para poder ver, como los “malos” consiguen acceso a servidores desde los cuales luego hacen formar parte de su botnet, por ejemplo.

Uno de los proyectos MAS interesantes que he visto hasta ahora se trata de Dionaea, este proyecto suple al ya conocido Nephentes. Que seguro que mas de uno conoce.

Después de solo UN dia de tener Dionaea en funcionamiento ya me ha dado resultados bastante interesantes.

Para hacer la instalación lo tienen muy bien documentado, lo podremos encontrar aquí:

Dionaea

Recomiendo hacer la instalación en Ubuntu, mucho mas sencillo jeje :P

No volveré a poner la parte de instalación, mirad la web oficial, está explicadito, eso si, seguid todos los pasos.

Cuando hayamos arrancado Dionaena, pondrá a la escucha una serie de servicios:

root@marc:/home/marc# lsof -nPidionaea 31345 root 10u IPv4 833300 0t0 TCP 127.0.0.1:80 (LISTEN)dionaea 31345 root 11u IPv4 834271 0t0 TCP 127.0.0.1:443 (LISTEN)dionaea 31345 root 13u IPv4 834272 0t0 UDP 127.0.0.1:69dionaea 31345 root 15u IPv4 834273 0t0 TCP 127.0.0.1:21 (LISTEN)dionaea 31345 root 16u IPv4 834274 0t0 TCP 127.0.0.1:42 (LISTEN)dionaea 31345 root 17u IPv4 834275 0t0 TCP 127.0.0.1:445 (LISTEN)dionaea 31345 root 18u IPv4 834276 0t0 TCP 127.0.0.1:135 (LISTEN)dionaea 31345 root 19u IPv4 834277 0t0 TCP 127.0.0.1:5061 (LISTEN)dionaea 31345 root 20u IPv4 833301 0t0 UDP 127.0.0.1:5060dionaea 31345 root 21u IPv4 833302 0t0 TCP 127.0.0.1:5060 (LISTEN)dionaea 31345 root 22u IPv4 833303 0t0 TCP 127.0.0.1:1433 (LISTEN)dionaea 31345 root 23u IPv4 833304 0t0 TCP 127.0.0.1:3306 (LISTEN)dionaea 31345 root 24u IPv4 833305 0t0 TCP.153:80 (LISTEN)dionaea 31345 root 25u IPv4 833306 0t0 TCP .153:443 (LISTEN)dionaea 31345 root 26u IPv4 833307 0t0 UDP153:69dionaea 31345 root 27u IPv4 833308 0t0 TCP 153:21 (LISTEN)dionaea 31345 root 28u IPv4 833309 0t0 TCP 153:42 (LISTEN)dionaea 31345 root 29u IPv4 833310 0t0 TCP .153:445 (LISTEN)dionaea 31345 root 30u IPv4 833311 0t0 TCP .153:135 (LISTEN)dionaea 31345 root 31u IPv4 833312 0t0 TCP 46.4.94.153:5061 (LISTEN)dionaea 31345 root 32u IPv4 833313 0t0 UDP .153:5060dionaea 31345 root 33u IPv4 833314 0t0 TC 94.153:5060 (LISTEN)dionaea 31345 root 34u IPv4 833315 0t0 TCP 53:1433 (LISTEN)dionaea 31345 root 35u IPv4 833316 0t0 TCP 53:3306 (LISTEN)dionaea 31345 root 36u IPv6 833319 0t0 TCP [:fe00:26db]:80 (LISTEN)dionaea 31345 root 37u IPv6 833324 0t0 TCP [:fe00:26db]:443 (LISTEN)dionaea 31345 root 38u IPv6 833329 0t0 UDP [:fe00:26db]:69dionaea 31345 root 39u IPv6 833334 0t0 TCP [:fe00:26db]:21 (LISTEN)dionaea 31345 root 40u IPv6 833339 0t0 TCP [:fe00:26db]:42 (LISTEN)dionaea 31345 root 41u IPv6 833344 0t0 TCP [fe00:26db]:445 (LISTEN)dionaea 31345 root 42u IPv6 833349 0t0 TCP [fe00:26db]:135 (LISTEN)dionaea 31345 root 43u IPv6 833354 0t0 TCP [fe00:26db]:5061 (LISTEN)dionaea 31345 root 44u IPv6 833359 0t0 UDP [fe00:26db]:5060dionaea 31345 root 45u IPv6 833364 0t0 TCP [f:fe00:26db]:5060 (LISTEN)dionaea 31345 root 46u IPv6 833369 0t0 TCP [:fe00:26db]:1433 (LISTEN)dionaea 31345 root 47u IPv6 833374 0t0 TCP [:fe00:26db]:3306 (LISTEN)dionaea 31345 root 54u IPv4 846555 0t0 TCP .153:41598->.45:80 (CLOSE_WAIT)

He modificado las IP’s por razones evidentes :P juju

Dionaea expone servicios a la red como SMB, SIP, SMB, MYSQL y todos los resultados los guarda en una base de datos SQLite.

Además es capaz de capturar binarios que se utilicen en los ataques :D Simplemente, brillante.

De los servicios que emula y que guarda en base de datos, he mirado la base de datos de SQLite para que me diera los resultados, a continuación, algunos de ellos:

Hay muchísima cantidad de intentos de acceso por MYSQL, además también he sido capaz de registrar los usuarios y los passwords que se han usado en los intentos de acceso.

La cantidad de accesos simultáneos es impresionante….

También ha sido capaz de capturar 5 binarios :D

:D Ya miraré los binarios mas adelante jeje

Además veo que se utiliza de manera automatizada herramientas como SIPvicius para auditarlos.

Os recomiendo usar Dionaea, se pueden aprender muchas cositas jeje.

Aunque no es indetectable, nmap puede detectar si un servidor tiene corriendo Dionaea

443/tcp open ssl/https?| ssl-cert: Subject: commonName=Nepenthes Development Team/organizationName=dionaea.carnivore.it/countryName=DE| Not valid before: 2012-09-10 17:54:34|_Not valid after: 2013-09-10 17:54:34|_http-title: Directory listing for /445/tcp open microsoft-ds Dionaea honeypot smbd1433/tcp open ms-sql-s Dionaea honeypot MS-SQL server

Mas adelante mostraré mas resultados de este pedazo de software ;)

No hay comentarios:

Publicar un comentario