Cómo crear de forma segura un "usuario honeypot (linux)"

4

¿Sería una función de seguridad viable para detectar intentos?

Creando un usuario con las siguientes especificaciones:

  • nombre de usuario admin
  • Contraseña bastante insegura (no 123456, pero una palabra específica)
  • Permisos especiales: none
  • Una secuencia de comandos .bashrc que me notifica el inicio de sesión, ...

Preguntas

  • ¿Esto crearía riesgos de seguridad (escalada de privilegios, etc.)?
  • ¿Sería una forma sensata de recopilar información sobre un atacante o debería cerrar la sesión inmediatamente dentro del script .bashrc ?
  • ¿Qué pasos se deben tomar para que sea factible / seguro?

Propósito

  • Para saber acerca de una amenaza más grave antes de que sea "demasiado tarde"
  • Para recopilar información sobre un atacante: técnicas / herramientas que están utilizando, quiénes son (de dónde provienen los ataques), etc.
pregunta Levit 31.01.2018 - 16:43
fuente

2 respuestas

1

A partir de sus requisitos que indica en sus comentarios, no está buscando un "usuario sencillo" sino un honeypot de alta interacción.

Los honeypots de alta interacción, como el que está sugiriendo, nunca deben ejecutarse en sistemas de producción. Cualquier vulnerabilidad a nivel del sistema operativo puede permitir al atacante escalar.

Siempre coloque honeypots de alta interacción en sus propios sistemas amurallados.

Pero un honeypot de alta interacción solo se requiere para recopilar ciertos tipos de información sobre el atacante. Si está buscando analizar técnicas, herramientas y recopilar cualquier otro dato que solo se pueda obtener al observar las acciones del atacante en tiempo real, entonces necesita un honeypot de alta interacción. Y luego esto no es simplemente un "usuario de la miel" como sugiere su título, sino un honeypot en toda regla.

Un verdadero "usuario de la miel" no debe, y no debe serlo, ser de alta interacción. Cualquier intento de iniciar sesión como ese usuario puede activar alarmas y registro adicional. Cualquier uso de las credenciales de usuario en el sistema también puede ser capturado. Ninguna de estas cosas requiere que las credenciales realmente funcionen, por lo tanto, no hay impacto en la seguridad. Puede capturar marcas de tiempo, direcciones IP de origen y las contraseñas que se han intentado.

Lo que realmente estás buscando es Kippo / Cowrie (que uso regularmente y he hecho muchas presentaciones). Y los desarrolladores tienen muy claro que nunca deben ejecutar su honeypot en un sistema de producción. Para los honeypots que he implementado, siempre los coloco en DMZ, en máquinas virtuales, que se reinician cada 24 horas (o antes) y los registros se envían a un servidor central. Cualquier tráfico iniciado desde el honeypot está bloqueado. Los atacantes pueden entrar, pero no pueden salir, incluso si comprometen toda la máquina.

Deberías estar pensando en una configuración similar.

    
respondido por el schroeder 01.02.2018 - 11:18
fuente
1

Permitir la ejecución de una fuente desconocida no es una buena idea, incluso si el usuario tiene privilegios mínimos.

Cosas que pueden hacer los atacantes:

  • El atacante puede ejecutar código en su hardware, y puede usar el 100% de la CPU para, por ejemplo, cryptocurrencies.
  • El atacante puede tener la oportunidad de usar una escalada de privilegios, como la vaca sucia.
  • El atacante puede encontrar un archivo suid que esté mal diseñado para la escalada de privilegios.

Hay proyectos de código abierto en GitHub que emulan una sesión ssh, y puedes tener el control total de la sesión: enlace

    
respondido por el user169249 01.02.2018 - 08:37
fuente

Lea otras preguntas en las etiquetas