Comment Faire : Honeydrive3

June 6th, 2017

Voici un petit post pour faciliter la mise en place de honeydrive3 dans votre environnement

Ni Honeydrive3 ni ce qu’est un honeypot ne sera détaillé ici.

Préparation de la VM

  • Télécharger le fichier OVA : https://sourceforge.net/projects/honeydrive/
  • Double-cliquer sur le fichier téléchargé pour importer la VM avec virtualbox (tel que recommandé par l’auteur de HoneyDrive)
  • Modifier les paramètres réseaux de la VM  pour passer en mode Bridge
  • Lancer la VM
  • Lancer ‘Terminator’
  • Passer en root (mdp = honeydrive)
honeydrive@honeydrive:~$ sudo su
  • Changer pour un clavier AZERTY :
root@honeydrive:/home/honeydrive# setxkbmap fr
  • Changer le mot de passe du compte honeydrive :
root@honeydrive:/home/honeydrive# passwd honeydrive
  • Mettre à jour le system :
root@honeydrive:/home/honeydrive# apt-get update && apt-get upgrade

Les HoneyPots

Attention!  Il n’est pas possible de lancer tous les honeypots (plusieurs ont les memes fonctionalités). Voici donc une sélection que je vous propose :

 

[Kippo] : Honneypot écrit en Python, simule un serveur SSH avec commandes et système de fichiers accessibles

honeydrive@honeydrive:~$ cd /honeydrive/kippo/

honeydrive@honeydrive:~$ ./start.sh

Pour visualiser les statistiques, aller sur http://192.168.0.13/kippo-graph/index.php

[Dionaea] Honneypot simulant un serveur FTP, SMB, TFTP, MSSQL et HTTP

honeydrive@honeydrive:~$ cd /honeydrive/dionaea-vagrant/
honeydrive@honeydrive:~$  ./runDionaea.sh
[sudo] password for honeydrive :

Pour visualiser les statistiques, aller (depuis la VM honeydrive) sur http://localhost/phpliteadmin/phpliteadmin.php

[Honeyd] permet simuler plusieurs honeypots virtuels avec les services FTP, HTTP. Double emplois avec les 2 précédents

–> Je n’utilise pas

[Amun] Honeypot en python, dernière MaJ en 2014. Message sur Sourceforge : Warning! Malware detected. Download at your own risk.

–> Je n’ai pas cherché plus loin

 

[Conpot] Honeypot simulant des ICS/SCADA ! ça c’est cool!

Le projet est mené par un dev de chez blueCoat, projet open-source soutenu par quelques ‘géants’ >.>…

plusieurs ‘templates’ sont disponibles (/honeydrive3/conpot/conpot/templates/)

 

D’autres Honey pot que je n’ai pas eu le temps de tester sont présents.

A tester plus tard :

[Wordpot]

[Thug]

[PhoneyC]

[LaBrea]

[IIS Emulator]

[INetSim]

 

 

 


 

 

 

Cacutza!!!

July 23rd, 2013

Mais qu’est ce que cela signifie?? un prénom hispanique? je paie un bière à celui qui trouve :P

Depuis quelques temps, j’ai implémenté un honeypot qui enregistre les logins/mots de passe des tentatives de connexion vers mon domaine (antoinepelloux.eu). En moins de 2 mois,il y a eu plus de 35 000 attaques SSH enregistrées, on peut donc commencer à sortir des stats intéressantes. C’est d’ailleurs dans le top 10 des mots de passe utilisés qu’on trouve ce mot curieux: cacutza

En recherchant un peu, on tombe sur des sites comme celui-ci ou on constate que ce mot de passe est effectivement utilisé pour le bruteforce SSH. Quant à savoir pourquoi, serait-ce réellement un mot de passe fréquemment utilisé ou s’agit-il d’un rigolo qui à publié un dictionnaire avec des mots farfelu sans raison apparente? who knows? but who cares?

L’objectif caché de ce billet est d’annoncer la sortie de nsm.antoinepelloux.eu qui prend le relais sur la supervision sécu de mes sites webs! Actuellement, les tentatives de connexion SSH et FTP sont enregistrées et publiées. D’autre protocoles d’accès à distance sont en cours de développement (VNC/RDP). On trouve également un Snort avec un front-end fait maison (certes rudimentaire mais il fait ce que je souhaite).

D’autre honeypots/outils supervisions devraient s’y ajouter dans les prochaines semaines!!

 

 

Quand la sécurité tue la sécurité…

June 22nd, 2013

il était une fois, une migration de solution de filtrage d’accès internet (proxy). Parallèlement nos serveurs sont patchés régulièrement et automatiquement. Or, nous avons constaté que certains n’étaient plus patchés.

Après quelques moments de débug, nous avons déterminé que notre nouveau proxy bloque les dépôts de mises à jours de sécurité….pour des raison de sécurité !

Nous avons donc demandé le déblocage de l’URL mais vue l’inertie de l’entreprise, cela va prendre une semaine… Une semaine sans MAJ pour nos serveurs.

Meme si le risque de compromission de nos serveurs n’est finalement que légèrement augmenté, cette anecdote m’aura appris que les aberrations en matière de sécurité informatique sont bien réelles même dans les entreprises d’envergures internationales.

 

 

 

 

APE report : bilan mensuel des requêtes http

June 4th, 2013

Voici un rapport sur les connexions HTTP vers les serveurs du domaine antoinepelloux.eu. L’objectif est de donner un regard à tous sur les menaces qui touchent le particulier lambda qui auto-héberge son serveur web.

Outre le trafic légitime et les moteurs de recherches, on observe quantité de scanners/fuzzer web plus ou moins malicieux. Voici donc un bilan quantitatif et qualitatif basé sur toutes les connexions du moi de mai:

2013-05_APE_Report

Ce rapport est désormais presque automatisé et j’espère en publier un tous les mois. Donc le fait que vous soyez en train de lire cet article aura un impact sur le rapport du moi de juin =]

N’hésitez pas à commenter/critiquer/suggérer pour l’amélioration de ce rapport!

 

Comment faire : récuperer du contenu internet qui n’est plus disponible

May 23rd, 2013

Vous est-il déjà arrivé de cliqué sur un lien dont la cible n’était plus disponible? Comme vous le savez sans-doute, internet n’oublie rien (ou presque) et on peut toujours utiliser la machine à voyager dans le temps d’internet : archive.org, un site effectue des sauvegardes d’internet et les met à disposition de chacun gratuitement. Tout internet n’est pas sauvegardé mais pour info, le volume des données disponibles sur archive.org est de 2 petabytes (2048 Teraoctets) et sa croissance est de 20 teraoctets par mois.

Je suis tombé sur ce site qui explique comment se faire une sonde réseaux passive. l’article comporte un schéma de câblage issu de snort.org. Alors, voulant obtenir plus de détails, j’ai cliqué sur ce lien et la : erreur 404… Misère, snort.org a retiré ce contenu… Je me suis donc rendu sur archive.org. La il suffit de taper une URL pour afficher les pages web des temps passés.

La question qui se pose ensuite : sur quelle période le contenu que je recherche était disponible? Pour cela, on peut chercher des indices:

Le post que je lisait date de février 2008. Plus bas, on trouve qu’un commentaires, daté de Juin 2009, mentionne que le lien est mort. Il faut donc chercher entre ces 2 dates ! Je clique sur une date de juin 2008 ; je tombe sur la page d’accueil de Snort.org de 2008. Il suffit ensuite de copier/coller le liens d’origine à la fine de l’URL d’archive.org et nous avons quelque chose comme ceci:

http://web.archive.org/web/20080619050027/http://www.snort.org/docs/tap/

Une URL dans une URL! Yo dawg?

Par chance, ça a marché! j’ai pu retrouver l’article d’origine et ainsi obtenir plus d’infos =]

 

PS: Si vous lisez ce billet et que nous sommes en 2024, il est possible que les liens qui s’affiche sur votre page ne soit plus accessibles! allez-donc faire un tour sur archives.org! (si ça existe toujours…)

 

Selon NSS labs, IE10 est le plus sûr des navigateurs.

May 16th, 2013

NSS labs a récement publié un rapport dont l’objectif de tester la capacité de prévenir les menaces des principaux navigateurs web. Ce rapport a démontré qu’Internet Explorer 10 est de loin le plus sûr !!

Sur un échantillon de 11,296 URL suspectes, 754 étaient effectivement malicieuses (malheureusement, le rapport ne donne pas la liste de ces URL).

Le protocole de test simulait des connexions vers ces URL avec les différents navigateurs. Pendant 28 jours, les navigateurs se sont connectés aux URL et ont exécuter le contenu des pages.

Pour qu’un navigateur passe le test (soit considéré “secure” face à une URL malicieuse), il doit bloquer le téléchargement du malware ET afficher un message d’alerte correctement. Hélas le rapport ne précise pas ce que signifie “afficher un message correctement“…

Voici donc les résultats:

IE10 a passé le test pour 99.96% des menaces !!!! Chrome 83.16% !!!!

…..et loin derrière, Firefox, safari et Opéra autour de 10%… trop la loose…

NSS labs avait déjà publié un rapport similaire l’an passé et IE9 était déjà gagnant !!

J’ignore si Microsoft envoie des enveloppes à NSS pour se faire de la pub mais franchement, ces résultats, je n’y crois pas trop.

Perso, je reste convaincu qu’il n’y a rien de plus sur qu’un bon vieux Firefox avec Noscript + AD-block !

Enfin, cela n’engage que moi, faites-vous votre propre avis: rapport complet

BASH strings cheat sheet

May 12th, 2013

Un autre cheat sheet pour continuer dans la foulée, cette fois ci, focus sur les manipulations de chaines de caractères en bash. Beaucoup de manipulations ci-dessous sont plus simple à réaliser à l’aide d’outils tiers (awk, sed, tr,wc…) mais ici, nous nous faisons du bash pur. L’intérêt est de gagner en performance ce qui peut être primordial pour certains projets.

Soit la chaine de caractères suivante:

var="bli-bla-blo"

${#var} = la longueur de la chaine (11)
${var:0:1} = le premier caractère (‘b’)
${var:4:6} = les caractères du 5eme à 7eme (‘bla’)
${var: -1} = le dernier caractère (‘o’)
${var%-*} = la plus grande sous-chaine jusqu’à un ‘-’ en partant de la gauche (‘bli-bla’)
${var%%-*} = la plus petite sous-chaine jusqu’à un ‘-’ en partant de la gauche (‘bli’)
${var#*-} = la plus grande sous-chaine jusqu’à un ‘-’ en partant de la droite (‘bla-blo’)
${var##*-} = la plus petite sous-chaine jusqu’à un ‘-’ en partant de la droite (‘blo’)

Voici un script qui reprend les notions décrites avec des exemples concrets:

String_Cheat_Sheet

 

EICAR : testez votre antivirus

May 11th, 2013

Le site EUROPEAN EXPERT GROUP FOR IT-SECURITY propose une méthode simple pour tester votre antivirus windows:

Procédure
-Ouvrez votre éditeur de texte préféré.
-Copiez la chaine de caractères suivante:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
-Sauvegardez le fichier.

Si votre antivirus fonctionne, vous devriez avoir un pop-up vous indiquant qu’une menace a été détectée!
Bien entendu, ceci ne vous renseigne pas sur la qualité de votre antivirus mais il permet de vérifier que la détection en temps réel marche bien.

Pour info, le fichier ainsi créé est un programme DOS qui affiche “EICAR-STANDARD-ANTIVIRUS-TEST-FILE!” lorsqu’il est exécuté.