Como ya habíamos publicado, estos días hemos estado en la Campus Party 2009 dando una charla sobre Seguridad en el mundo 2.0 (Digg, Tuenti, Facebook, etc), además también hemos montado el wargame que, si todo va bien, hoy tendrá ganador.
Aprovechando los ratos muertos en la Campus y dado que yo no tengo especial habilidad con ningún juego y tampoco soy muy 'descargon' he rescatado un viejo programa del 2005 que actúa a modo de Honeypot y lo he dejado funcionando para ver que tipo de tráfico se movía entre los miles de usuarios que habitaban la campus.
Obfuscator (que podéis descargar desde aquí) funciona de la siguiente manera:
Pone en modo promiscuo la interface de red y comienza a 'leer' el tráfico en busca de paquetes dirigidos al host que se le indique por linea de comandos (no tiene porque ser la IP real del host, puede ser cualquiera de tu rango si el tráfico es visible), si el paquete contiene un SYN, inyecta mediante Raw Sockets, un SYN+ACK (simulando que el puerto está abierto) y mantiene la conversación (responde ACKs) mientras logea el payload de los paquetes. Adicionalmente simula un servidor web en el puerto 80
Ejemplo de uso:
Después de un rato funcionando, me encontre con varias trazas curiosas, como por ejemplo una negociación NetBios bastante sospechosa de ser algo relacionado con MS08-067, tal vez un Conficker
Otra de las trazas que me chocó bastante fue encontrarme indicios del vetusto Slammer
Aunque este ataque no venía desde el direccionamiento de la campus, sino del exterior.
Aprovechando los ratos muertos en la Campus y dado que yo no tengo especial habilidad con ningún juego y tampoco soy muy 'descargon' he rescatado un viejo programa del 2005 que actúa a modo de Honeypot y lo he dejado funcionando para ver que tipo de tráfico se movía entre los miles de usuarios que habitaban la campus.
Obfuscator (que podéis descargar desde aquí) funciona de la siguiente manera:
Pone en modo promiscuo la interface de red y comienza a 'leer' el tráfico en busca de paquetes dirigidos al host que se le indique por linea de comandos (no tiene porque ser la IP real del host, puede ser cualquiera de tu rango si el tráfico es visible), si el paquete contiene un SYN, inyecta mediante Raw Sockets, un SYN+ACK (simulando que el puerto está abierto) y mantiene la conversación (responde ACKs) mientras logea el payload de los paquetes. Adicionalmente simula un servidor web en el puerto 80
Ejemplo de uso:
#perl obfuscator-eth.pl -i 217.124.x.x -d eth0De esa forma cualquiera que intente conectarse a cualquier puerto TCP le aparecerá como open, y todo lo que se envíe será registrado en /var/log/obfuscator.log
Después de un rato funcionando, me encontre con varias trazas curiosas, como por ejemplo una negociación NetBios bastante sospechosa de ser algo relacionado con MS08-067, tal vez un Conficker
Otra de las trazas que me chocó bastante fue encontrarme indicios del vetusto Slammer
Aunque este ataque no venía desde el direccionamiento de la campus, sino del exterior.
9 comments :
el confiker, por lo visto, ha causado estragos...
ya me imaginaba yo que no os íbais a estar calladitos y con las manitas quietas :)
Yo casi me consigo los pasajes para ir para alla ... será para el proximo año!
Windows es lo que tiene... :)
La campus es un pozo de pruebas para todas estas cosas xDD
En realidad solo estabas viendo el tráfico dirigido a ti. Lo mismo que pueda pasarte en cualquier otra red, pero eso sí, en la Campus montada en una infraestructura más grande y diversificada.
Y veserías sobretodo mucha mierda de intentos de propagaciones viricas, ataques dentro del mismo segmento de red, y poco más., ¿...no?
@Anonimo lo que hice fue montar un pequeño HoneyPot que tenía programado desde hace algún tiempo para 'ver' exactamente el grado de exposición que podía tener cualquier PC pinchado en la Campus Party, y si, pinchar un windows no parcheado y sin firewall hubiera sido un suicidio
@Anonimo lo que hice fue montar un pequeño HoneyPot que tenía programado desde hace algún tiempo para 'ver' exactamente el grado de exposición que podía tener cualquier PC pinchado en la Campus Party, y si, pinchar un windows no parcheado y sin firewall hubiera sido un suicidio
Windows es lo que tiene... :)
La campus es un pozo de pruebas para todas estas cosas xDD
Publicar un comentario