01 agosto 2009

Campus Party 'in deep'

Como ya habíamos publicado, estos días hemos estado en la Campus Party 2009 dando una charla sobre Seguridad en el mundo 2.0 (Digg, Tuenti, Facebook, etc), además también hemos montado el wargame que, si todo va bien, hoy tendrá ganador.

Aprovechando los ratos muertos en la Campus y dado que yo no tengo especial habilidad con ningún juego y tampoco soy muy 'descargon' he rescatado un viejo programa del 2005 que actúa a modo de Honeypot y lo he dejado funcionando para ver que tipo de tráfico se movía entre los miles de usuarios que habitaban la campus.

Obfuscator (que podéis descargar desde aquí) funciona de la siguiente manera:

Pone en modo promiscuo la interface de red y comienza a 'leer' el tráfico en busca de paquetes dirigidos al host que se le indique por linea de comandos (no tiene porque ser la IP real del host, puede ser cualquiera de tu rango si el tráfico es visible), si el paquete contiene un SYN, inyecta mediante Raw Sockets, un SYN+ACK (simulando que el puerto está abierto) y mantiene la conversación (responde ACKs) mientras logea el payload de los paquetes. Adicionalmente simula un servidor web en el puerto 80

Ejemplo de uso:
#perl obfuscator-eth.pl -i 217.124.x.x -d eth0
De esa forma cualquiera que intente conectarse a cualquier puerto TCP le aparecerá como open, y todo lo que se envíe será registrado en /var/log/obfuscator.log

Después de un rato funcionando, me encontre con varias trazas curiosas, como por ejemplo una negociación NetBios bastante sospechosa de ser algo relacionado con MS08-067, tal vez un Conficker


Otra de las trazas que me chocó bastante fue encontrarme indicios del vetusto Slammer

Aunque este ataque no venía desde el direccionamiento de la campus, sino del exterior.

9 comments :

akae dijo...

el confiker, por lo visto, ha causado estragos...
ya me imaginaba yo que no os íbais a estar calladitos y con las manitas quietas :)

Zerial dijo...

Yo casi me consigo los pasajes para ir para alla ... será para el proximo año!

Jesús dijo...

Windows es lo que tiene... :)

vierito5 dijo...

La campus es un pozo de pruebas para todas estas cosas xDD

Anónimo dijo...

En realidad solo estabas viendo el tráfico dirigido a ti. Lo mismo que pueda pasarte en cualquier otra red, pero eso sí, en la Campus montada en una infraestructura más grande y diversificada.
Y veserías sobretodo mucha mierda de intentos de propagaciones viricas, ataques dentro del mismo segmento de red, y poco más., ¿...no?

Yago Jesus dijo...

@Anonimo lo que hice fue montar un pequeño HoneyPot que tenía programado desde hace algún tiempo para 'ver' exactamente el grado de exposición que podía tener cualquier PC pinchado en la Campus Party, y si, pinchar un windows no parcheado y sin firewall hubiera sido un suicidio

Yago Jesus dijo...

@Anonimo lo que hice fue montar un pequeño HoneyPot que tenía programado desde hace algún tiempo para 'ver' exactamente el grado de exposición que podía tener cualquier PC pinchado en la Campus Party, y si, pinchar un windows no parcheado y sin firewall hubiera sido un suicidio

Jesús dijo...

Windows es lo que tiene... :)

vierito5 dijo...

La campus es un pozo de pruebas para todas estas cosas xDD