Inicio / Blog / Detección, análisis y visualización de ataques mediante Honeypots

Detección, análisis y visualización de ataques mediante Honeypots

Publicado el 31/03/2015, por Francisco J. Rodríguez (INCIBE)
honey

Una honeypot es un entorno preparado para recoger información sobre ataques informáticos simulando ser un sistema vulnerable. La información capturada es de gran valor para generar inteligencia de cara a analizar, prevenir y combatir amenazas en el sector de las tecnologías de la información.

Gracias al uso de honeypots y al análisis de la información que estos generan podemos ver la magnitud del problema al que nos enfrentamos, obteniendo datos valiosos acerca de:

  • Tendencias de ataques.
  • Vulnerabilidades explotadas.
  • Servicios que se pretenden vulnerar.
  • Países más activos en ciberataques
  • Muestras de malware no identificadas por motores antivirus.
  • Técnicas usadas por los atacantes.
  • Distribuidores de malware.
  • Equipos pertenecientes a Botnets.
  • Centros de comando y control (C&C).

Diseñando y construyendo una honeypot

Actualmente existen multitud de herramientas libres que pueden ayudar en el despliegue de honeypots para este tipo de investigaciones o incluso, teniendo los conocimientos necesarios, desarrollar software personalizado. Algunas de estas herramientas se usan desde consola de comandos, siendo necesario analizar e interpretar los logs que generan para saber que está ocurriendo, otras poseen un entorno gráfico desde donde poder visualizar los datos obtenidos.

Para dar un paso más en la investigación, se pueden utilizar:

  • Distintos tipos de honeypots que cubran diferentes tipos de servicios expuestos (alta, media y baja interacción con el atacante).
  • Honeypots de alta interacción (equipos reales) que nos ayuden a investigar más a fondo los ataques e incluso realizar un análisis forense del equipo atacado.
  • Sistemas de identificación de intrusos (IDS) a fin de determinar qué ataque se está realizando, siempre que exista una firma del IDS que lo identifique.
  • Cortafuegos de aplicación web, WAF (del inglés Web Application Firewall) en servidores web para determinar e identificar ataques contra servicios web.
  • Listas de reputación (públicas y privadas) para contrastar las IP atacantes contra listas reconocidas por otras entidades
  • Motores antivirus para realizar el análisis de las muestras obtenidas.
  • Realización análisis estático y dinámico de muestras depositadas en los honeypots
  • Correlación de eventos.

Con objeto de visualizar de forma sencilla y centralizada el estado de la información proporcionada por las honeypots y por todos los componentes desplegados, se ha desarrollado un visor global el cual permite determinar lo que está sucediendo en los sistemas expuestos. Este visor gracias a la correlación de todos los eventos producidos va a mostrar información en tiempo real de los ataques que se están produciendo y va generando alertas en caso de estas tengan que ser notificadas. Adicionalmente, permite visualizar acciones maliciosas que no hacen saltar ninguna de las alarmas definidas, pero que se consideran de interés y requieren un posterior estudio.

Honeystation, honeypot desarrollada en INCIBE

Gracias a este tipo de sistema y a través de una implementación desarrollada en INCIBE, en los últimos meses se han detectado diversos tipos de ataques que han sido notificados a sus principales interesados. Entre estos ataques destacamos:

  • Ataques de denegación de servicio usando Ips falsificadas (spoofing) pertenecientes a un proveedor americano contra diversos servicios web.

Detalle de un ataque de denegación de servicio con IP spoofing

- Detalle de un ataque de denegación de servicio con IP spoofing -

  • Uso de servicios de un importante ASN extranjero, para realizar ataques SSH para comprometer servidores vulnerables y utilizarlos como proxy para obtener beneficios a través de pago por click.

Servidores comprometidos a través de SSH y actuando como proxy en campañas pay-per-click

- Servidores comprometidos a través de SSH y actuando como proxy en campañas pay-per-click -

Información recopilada con Honeystation

Mediante el uso de HONEYSTATION, se obtiene información en tiempo real sobre:

  • Origen del ataque
  • Nombre del ASN
  • Dirección IP del Atacante
  • Puerto Atacado
  • Número de intentos de ataque
  • Chequeo contra listas de reputación públicas y privadas.
  • Chequeo contra listas de reputación generadas por los propios honeypots.
  • Chequeo contra sistemas de identificación de intrusos
  • Chequeo contra WAF
  • Tendencias de ataques

Monitorización

No solo se monitorizan los puertos clásicos como 21,22, 23,445, 3389 0 5900, sino que se monitoriza todo el rango de puertos TCP/UDP con objeto de identificar los puertos/servicios atractivos para los atacantes y estudiar las acciones realizadas en ese puerto.

Por otra parte, mediante correlación de eventos se obtiene valor de toda la información obtenida por los honeypots y la que ya disponemos en nuestros sistemas, permitiendo la generación de alertas a los departamentos encargados de gestionarlas.

Visualización de resultados

HONEYSTATION permite 3 tipos de vistas:

  • Vista Estado del Honeypot: Muestra una visión del estado actual de la Honey desplegada de forma jerarquizada (Pais - ASN - IP - Puerto - Honey). El sistema permite filtrar por cualquiera de los campos y mostrar solo aquella información por la que estamos interesados. Permite visualizar rankings de países, puertos y ASN atacantes así como visualizar los atacantes potenciales y, en el caso de disponer de información suficiente, el tipo de ataque realizado o como la clasificación de la dirección IP atacante al cotejarse con la información disponible.

Vista general del estado de detección en la Honeystation

- Vista general del estado de detección en la Honeystation -

  • Vista Geolocalización por país y nivel de ataque: Muestra el origen de los ataques hacia la Honey, informando del número de ataques registrados y la intensidad del ataque desde un determinado país. También da una visión simplificada de la vista Estado del Honeypot

Vista global de geolocalización de ataques

- Vista global de geolocalización de ataques -

  • Vista Geolocalización precisa: Permite determinar de una forma más precisa la geolocalización del atacante, normalmente a nivel de comunidad, provincia o ciudad.

Vista detallada de geolocalización

- Vista detallada de geolocalización -

En el siguiente enlace se expone un video demostrativo del funcionamiento de HONEYSTATION.

HONEYSTATION es una prueba de concepto desarrollada por F.J.Rodriguez para INCIBE, con colaboraciones de Emilio Grande y Ángel González Berdasco.

Etiquetas: 
Botnet