VoIP and Hacking | Consulenza Documentazione

Riprendendo ancora l’argomento honeypots, voglio accennare stavolta ad un software, HoneyBOT, che pur non essendo opensource, è gratuito, ed inoltre gira su piattaforma Windows. Essendo quest’ultima il target preferito dal malware, la circostanza rappresenta un indubbio vantaggio in termini di mimetizzazione.

HoneyBOT opera secondo uno schema già incontrato, allocando una moltitudine di sockets in ascolto (oltre 1300 tra udp e tcp), un certo numero dei quali in grado di simulare servizi vulnerabili.
Quando un attaccante si connette a tali servizi viene indotto a ritenerli come appartenenti ad un reale server. L’honeypot cattura in sicurezza tutte le comunicazioni con l’attaccante e registra questi risultati in vista di future analisi. Se l’attaccante dovesse tentare un exploit o il caricamento di un rootkit o di un trojan nel server, l’ honeypot archivierebbe tali files sul computer a scopo di analisi.

Il modo più semplice di mettere in esercizio un honeypot casalingo è di piazzarlo in DMZ, in modo da ricevere direttamente qualsiasi comunicazione iniziata dall’esterno.
Il ruolo è indubbiamente delicato ed andrebbe affidato ad una macchina dedicata ed isolata dal resto della rete.
In ambito privato e a titolo di test circoscritto nel tempo, soprattutto senza mai sottovalutare il rischio implicito in un simile approccio, si può fare tutto sul fido portatile.

Io ad esempio ho fatto ricorso ad una macchina virtuale VMware con Windows XP sp2, ospitata da una Debian 5.0.
La soluzione è ottima e consolidata, anche se vale ancora la pena di far mente locale ad un decalogo di accorgimenti da seguire per renderla ancora più sicura.

Essendo validi in una ampia gamma di circostanze, ne approfitto per elencarli, ricordando che andranno implementati come direttive all’interno del file di configurazione (.vmx) della virtual machine:

• Disabilitazione del network boot per le interfacce Ethernet.

vlance.noOprom = "TRUE"
vmxnet.noOprom = "TRUE"

Per ogni device Ethernet definito nel file di configurazione (ed es., ethernet0), occorre includere le direttive:

• Prevenzione dell’uso da parte della VM di un MAC differente da quello iniziale.

ethernet0.downWhenAddrMismatch = "TRUE"


• Prevenzione dell’invio da parte della VM di pacchetti che usino un MAC address sorgente contraffatto

ethernet0.noForgedSrcAddr = "TRUE"

• Disabilitazione del promiscuous mode per l’interfaccia Ethernet della VM.

ethernet0.noPromisc = "TRUE"


• Disabilitazione del l’interfaccia Ethernet della VM quando si verifichi un conflitto relativo al MAC address.

ethernet0.ignoreMACAddressConflict = "FALSE"

• Mantenimento del MAC address Ethernet della VM in occasione di ripristino.

ethernet0.reassignMAConResume = "FALSE"

• Prevenzione da parte di qualsiasi processo in esecuzione all’interno della VM (incluso quindi il malware) della possibilità di disconnettere/riconnettere il device Ethernet della VM.

ethernet0.allowGuestConnectionControl = "FALSE"

Fatto salvo tutto questo è possibile installarvi HoneyBOT, dopo averlo scaricato da qui.  sotto forma di archivio autoinstallante.

HoneyBOT richiede come prerequisiti minimi un sistema operativo non meno recente di windows 2000 ed almeno 128MB di memoria RAM (per il test gliene sono stati assegnati 256MB su 1GB complessivo).

E’ opportuno disabilitare quanti più servizi di rete possibili, che in un sistema XP sono normalmente numerosi, come è possibile verificare eseguendo il comando netstat -an, che visualizza le porte della macchina virtuale con servizi in attesa:

Proto Indirizzo locale Indirizzo esterno Stato
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1028 0.0.0.0:0 LISTENING
TCP 192.168.1.20:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1037 *:*
UDP 0.0.0.0:1094 *:*
UDP 0.0.0.0:1123 *:*
UDP 0.0.0.0:4500 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1900 *:*
UDP 192.168.1.20:123 *:*
UDP 192.168.1.20:137 *:*
UDP 192.168.1.20:138 *:*
UDP 192.168.1.20:1900 *:*

A questo punto si può lanciare HoneyBot, e cliccare sul bottone blu per avviare l’intercettazione. Una volta avviata quest’ultima si può cliccare su Debug per controllare su quali porte Honeybot sia stato impossibilitato a porsi in attesa per colpa del sistema operativo sottostante.

Si possono aggiungere o rimuovere porte rispetto a quelle configurate per default, ma solo quando honeybot non sia in esecuzione.

Nella directory di log è molto probabile, senza dover attendere molto, rinvenire una serie di mostriciattoli