jueves, marzo 26, 2015

Desplegar Honeypot bajo la plataforma Raspherry Pi.

Raspberry Pi es un pequeño ordenador del tamaño de una tarjeta de crédito desarrollado por la fundación Raspberry Pi, con la arquitectura ARM y sistema operativo embebido. Con prestaciones como: bajo coste, bajo consumo de energía y fácil instalación. Estas características lo convierten en un buen candidato para el despliegue de sensores Honeypot. Simplemente podría convertirse en un poderoso sistema Honeypot o IDS.


En este concepto se basa el proyecto Honeeepi, un sistema operativo OS Raspbian personalizado con: Honeypots, herramientas de monitorización de red y captura de paquetes, para su posterior análisis. Y todo esto bajo las plataformas hardware Raspberry Pi B y B+.

El proyecto Honeeepi se compone de las siguientes herramientas:

  • Conpot es un Honeypot interactivo para simular sistemas y elementos SCADA fácil de implementar, modificar y ampliar. Proporciona una gran gama protocolos de control industrial comunes. Es capaz de emular infraestructuras complejas para convencer a un adversario que acaba de encontrar un enorme complejo industrial.
  • Dionaea es un Honeypot desarrollado para atrapar malware que aprovecha las vulnerabilidades expuestas por los servicios de red.
  • Glastopf es un Honeypot que emula miles de vulnerabilidades para recopilar datos de ataques dirigidos a las aplicaciones Web.
  • Kippo es un Honeypot de interacción en SSH  diseñado para registrar ataques de fuerza bruta y, lo más importante, toda la interacción cáscara realizado por el atacante.
  • Snort es un sniffer de paquetes y un detector de intrusos basado en red.
  • Ntop es una herramienta que permite monitorizar en tiempo real una red.
  • Captura de paquetes remoto (rpcap), es un demonio que proporciona captura de tráfico remoto para posterior análisis con Wireshark.

Instalación:

El proceso de instalación es similar a las imágenes comunes para Raspberry Pi (por ejemplo Raspbian, OpenELEC).

  1. Escribir la imagen Honeeepi en la tarjeta SD (se recomienda mínimo 4Gb, pero lo ideal serian 32Gb).
    sudo dd bs=2M if=honeeepi-201501.img of=/dev/sdb
  2. Insertar la tarjeta SD en la Raspberry Pi. Alimentar el equipo y conecte a la red cableada. La imagen Honeeepi se inicia con "dhcpd" y "sshd 'por defecto 
  3. Una vez que localizada la dirección de red Honeeepi, se accede po SSH (puerto TCP / 22).
    Usuario: pi
    Contraseña: honeeepi 
  4. Configurar con una herramienta de configuración del software Raspberry Pi ofrece diversas funciones de configuración. Por ejemplo, después de la instalación, la utilizamos para expandir el sistema de archivos a toda la tarjeta SD (espacio de 32 GB) para el uso Honeeepi.
    raspi-config  
  5. Actualizar el software con:
    apt-get update
    apt-get upgrade


Configurar Honeypots y herramientas:

Conpot.

  1. Iniciar sesión como usuario pi.
  2. cd /honeeepi/conpot
  3. Para iniciar para Siemens S7-200 (inicio como fondo)
  4. sudo conpot --template default &
  5. iniciar kamstrup_382 (medidor inteligente) (inicio segundo plano)
  6. sudo conpot --template kamstrup_382 &

Dionaea.

  1. Iniciar sesión como usuario pi.
  2. cd /honeeepi/dionaea-honeypot
  3. sudo ./start.sh &
  4. Para iniciar OS fingerprinting (segundo plano)
  5. sudo ./start-p0f.sh &

Glastopf.

  1. Iniciar sesión como pi
  2. sudo glastopf-runner &

Kippo.

  1. Editar su ssh a otro número de puerto.
  2. sudo vi /etc/ssh/sshd_config
  3. Editar puerto SSH a otro puerto de su elección. Cambiar el puerto por defecto 22 asegurarse de que no pisar otros servicios Honeypot.
  4. reinicio SSH
  5. sudo /etc/init.d/ssh restart
  6. sudo su kippo
  7. cd /honeeepi/kippo
  8. ./start.sh

Ejecución de Supervisión de la red Ntop.

  1. Iniciar sesión como usuario pi.   
  2. cd /opt/ntop-5.0.1
  3. sudo ntop &    
  4. Al iniciar por primera vez le pedirá la contraseña de administrador de usuario. Ir al acceso del navegador, http://IP_direccion_de_honeeepi: 3000/.


Captura de paquetes remoto (rpcapd).

  1. Iniciar sesión como usuario pi.
  2. sudo passwd root    
  3. Poner contraseña de root.
  4. cd /opt/rpcap
  5. sudo start.sh
  6. Configuración de captura remota utilizando Wireshark.

Más información y descarga de Honeeepi:
http://sourceforge.net/projects/honeeepi/


Otras aplicaciones de seguridad informática para Raspberry Pi publicadas en este blog:


Realizar test de penetración con Raspberry Pi:
http://www.gurudelainformatica.es/2014/06/realizar-test-de-penetracion-con.html

Test de penetración WiFi en plataforma Raspberry Pi:
http://www.gurudelainformatica.es/2014/07/test-de-penetracion-wifi-en-plataforma.html

Recopilar automáticamente información de una red con Raspberry Pi:
http://www.gurudelainformatica.es/2014/10/recopilar-automaticamente-informacion.html

Convertir Debian “wheezy” para Raspberry PI en kit para test de penetración:
http://www.gurudelainformatica.es/2014/10/convertir-debian-wheezy-para-raspberry.html

Imagen para test de penetración con Raspberry Pi.
http://www.gurudelainformatica.es/2014/12/imagen-para-test-de-penetracion-con.html

Auditar redes inalámbicaras utilizando la plataforma Raspberry Pi:
http://www.gurudelainformatica.es/2015/02/auditar-redes-inalambicaras-utilizando.html

miércoles, marzo 18, 2015

Herramientas para detectar malware en Joomla!.

Joomla! es probablemente el CMS (sistema de gestión de contenidos o por sus siglas en inglés, Content Management System) más utilizado en la red debido a su flexibilidad, facilidad de uso y expansibilidad. Lo que lo convierte en un blanco para los creadores de malware. Existen dos herramientas especificas para la detección de malware en Joomla!:  OWASP Joomla Vulnerability Scanner y JAMSS (Joomla! Anti-Malware Scan Script).


OWASP Joomla Vulnerability Scanner, un escáner de vulnerabilidades liberado bajo la Licencia pública general GNU Versión 3. Es más rápido que un escáner Web genérico porque: no escanea todas las solicitudes, detecta la versión de aplicación y detecta todas las posibles vulnerabilidades publicadas acerca de Joomla!.

Las principales características de OWASP Joomla Vulnerability Scanner:

  • Detección de versión exacta de Joomla!.
  • Detección firewall de aplicaciones web.
  • Busca vulnerabilidades conocidas de Joomla! y sus componentes.
  • Muestra reporte en modo texto y HTML.
  • Capacidad de actualización inmediata a través del escáner o svn.

Requisitos:

Para su funcionamientos necesita Perl 5.6 o superior y el paquete libwww-mechanize-perl.

Modo de empleo:

joomscan.pl -u <url Joomla!> -x proxy:port

-x,  configuracion  para proxy.
-c, uso de cookie.
-g,   para usar un userAgent determinado.
-nv, detección de versión.
-nf, detección de firewall.
-nvf/-nfv, detección de versión y firewall.
-pe, solo analiza versión y sale de escáner.
-ot, salida a un archivo de texto (meta-joexploit.txt).
-oh,  salida a un archivo HTML (meta-joexploit.htm).
-vu,  salida detallada (salida de cada exploración Url).
-sp,  mostrar porcentaje de operación.

Otros usos:

joomscan.pl check, chequear si el escáner esta actualizado.
joomscan.pl update, comprobar si la base de datos esta actualizada.
joomscan.pl download, descargar archivos de base de datos y escáner.
joomscan.pl, defense para añadir notas sobre vulnerabilidades.
joomscan.pl story, para añadir historias sobre uso de joomscan.pl.

Más información y descarga de OWASP Joomla Vulnerability Scanner:
http://sourceforge.net/projects/joomscan/?source=directory

JAMSS (Joomla! Anti-Malware Scan Script) un script programado para ayudar a todos los administradores de Joomla! a comprobar si su sistema contiene malware, troyanos u otro código malicioso. El script utiliza patrones actuales de fingerprinting para identificar las amenazas malware más comunes, que puedan afectar a Joomla!. Este script no hace ninguna limpieza por su cuenta , solo informa sobre algún código sospechoso en Joomla!. JAMSS no es 100% preciso, tiene algunos falsos positivos por lo que debe ser utilizado con sabiduría y prudencia.


Como ejecutarlo:

Se sube el archivo “jamss.php” al webroot de la cuenta de hosting.
Se carga el archivo del escáner en el navegador usando una URL como esta:

http://www.<nombre del sitio web>.com/jamss.php

La secuencia de comandos se ejecutará durante varios segundos, incluso minutos, dependiendo del número de archivos y carga de trabajo del servidor web.

Si  se desea realizar un análisis en profundidad, que puede detectar las versiones más recientes de malware se utiliza el parámetro DeepScan = 1. Esta función busca en los archivos las funciones de PHP que utiliza el malware.

Ejemplo de ejecución en el navegador:

http://www. <nombre del  sitio web>.com/jamss.php?deepscan=1


Como interpretar los resultados:

El script inspecciona código contenido dentro de archivos y trata de identificar posibles códigos maliciosos usando muchas huellas digitales de malware conocido. Una vez que el script ha terminado de ejecutarse, generará y mostrará un informe para su revisión,  que puede poseer falsos positivos y que debe ser interpretados con el fin de determinar si algún resultado en particular es una potencial amenaza de malware.

Para cada potencial amenaza, el informe mostrará: la ruta de acceso al archivo en cuestión, el patrón que se adapta al código de malware y una breve descripción de lo que este código podría estar haciendo.

Si existe alguna duda acerca de un archivo identificado por JAMSS, el archivo debe ser descargado e inspeccionado para determinar si hay un problema con él.  Si existe sospecha de un archivo en Joomla! o archivos de extensiones: se descargaran todos los paquetes ZIP / TAR.XX y se comprobaran. A continuación, se remplazara el archivo sospechoso por el original correspondiente de Joomla!  y con la misma versión que se está ejecutando.  Si el archivo sospechoso no existe en los archivos originales de instalación de Joomla! o en los archivos de extensiones, se puede mover a una nueva carpeta segura (protegida por contraseña, o con permisos restrictivos) para que nadie tenga acceso y luego eliminarlo por completo, una vez que se determina que es un archivo que no necesita para el funcionamiento de Joomla!. 

En caso de dudas sobre archivos o extensiones que pertenecen a Joomla!, o qué hacer en caso de una infección, es muy recomendable utilizar los foros de Joomla!:
http://forum.joomla.org/viewtopic.php?f=621&t=582854

Y no realizar alguna acción que pueda comprometer la disponibilidad de nuestro sitio web. JAMSS es un script para usar con ciertos conocimientos de PHP y como un análisis rápido de malware.

Más información y descarga de JAMSS:
https://github.com/btoplak/Joomla-Anti-Malware-Scan-Script/tree/forum

miércoles, marzo 11, 2015

Realizar test de penetración y análisis de malware a aplicaciones Android.

Realizar pruebas de seguridad de aplicaciones Android de forma fácil, es posible gracias a  AppUse. Fue creado como una máquina virtual específica los pentester que están interesados en una plataforma personalizada para las pruebas de seguridad de aplicaciones  Android, con opciones de captura de los problemas de seguridad y análisis del tráfico de aplicaciones.


No hay necesidad de instalar emuladores, ni herramientas de prueba, sin necesidad de certificados SSL del software de proxy, todo viene pre-instalado. Prácticamente es como una BackTrack, ajustada específicamente para las pruebas de seguridad de aplicaciones Android. No solo permite realizar test de penetración de aplicaciones, también es posible analizarlas en busca de malware.

Entre sus características destaca:

  • Totalmente compatible con varios dispositivos.
  • Asistentes para realizar técnicas hacking.
  • Proxy con soporte de protocolos binarios.
  • Posee sección con datos de aplicación.
  • Vista en árbol de carpeta y estructura de archivos de la aplicación.
  • Capacidad para eliminar, ver y editar archivos.
  • Capacidad para extraer las bases de datos.
  • Proxy dinámico.
  • Permite realizar ingeniería inversa de aplicaciones.
  • Indicador dinámico para el estado del dispositivo Android.
  • Analizadores avanzados de APK.
  • Compatible con Android 5.
  • Análisis de malware.

Más información y descarga de AppUse:
http://sourceforge.net/projects/appuse-android-pentest/?source=directory