Configurar un HoneyPot en tu aplicación web con Latch

  • 1 Respuestas
  • 3216 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Stiuvert

  • *
  • Ex-Staff
  • *****
  • Mensajes: 2681
  • Actividad:
    0%
  • Reputación 15
  • Skype: [email protected]
  • Twitter: @Stiuvert
    • Ver Perfil

Configurar un HoneyPot en tu aplicación web con Latch

  • en: Diciembre 01, 2016, 07:39:32 pm
You are not allowed to view links. Register or Login no solo es una aplicación que sirve para abrir y cerrar un pestillo, sino que va mucho más allá. Puede usarse como un You are not allowed to view links. Register or Login si lo ponemos asociado al login de usuario como en el plugin de You are not allowed to view links. Register or Login y si lo tuneas puede ser usado en un esquema de You are not allowed to view links. Register or Login. Puede ser usado en soluciones como Segundo Factor de Autorización, para permitir o no permitir operaciones en un determinado sistema, como se puede ver en el caso de You are not allowed to view links. Register or Login - esta tarde You are not allowed to view links. Register or Login -  o como lo You are not allowed to view links. Register or Login con las operaciones bancarias o You are not allowed to view links. Register or Login si eres cliente. También puedes usarlo en un esquema de 2-Keys Activation tal y como se usaba en la You are not allowed to view links. Register or Login o para You are not allowed to view links. Register or Login.



 You are not allowed to view links. Register or Login 

 Figura 1: Configurar una HoneyPot en tu aplicación web con Latch 


Se puede You are not allowed to view links. Register or Login, You are not allowed to view links. Register or Login, You are not allowed to view links. Register or Login o en el You are not allowed to view links. Register or Login y tras ver los concursos de ideas, seguro que se te ocurren nuevas a ti. A mí se me ocurrió montar un entorno de Deception o una HoneyPot para saber lo que hacen los malos en la zona privada de mi plataforma si un día aparece un bug o son capaces de saltarse las protecciones de mi aplicación web. Y no, no hace falta nada adicional. Dejadme que os lo cuente.



Figura 2: Cómo usar Latch en la web de Cajamar

Si un atacante es capaz de obtener unas credenciales robadas por medio de un ataque de Spear Phishing y sabe que son válidas, puede intentar  acceder al sitio correspondiente. Si el sitio tiene un un 2FA o el atacante intuye que puede haber un Latch, esto no será suficiente, pero puede ser que aún así quizás no se rinda tan fácilmente e intente otros métodos para acceder al sistema sin tener que pasar por el login de la aplicación web.

Una base de datos HoneyPot con Latch

Como ya sabéis, con You are not allowed to view links. Register or Login el atacante solo tiene un intento de acceder con las credenciales correctas, ya que el sistema avisa al usuario de que intentaron acceder y/o accedieron con sus credenciales en el sitio protegido. Pero veamos ahora un ejemplo exagerado de lo que podremos conseguir con Latch usando la potencia del interruptor en que se convierte. Si no te has visto alguna de las charlas de Chema Alonso sobre esto, deberías hacerlo. Aquí una que recoge todos los escenarios descritos.




Figura 3: Protección empresarial contra insiders que roban identidades locales


Imaginemos que a pesar de tener el Latch cerrado, la aplicación lo deja entrar porque el atacante no ha usado las credenciales, sino que ha sido capaz de robar una cookie de sesión y hacer un Session Hijacking o ha logrado acceso por medio de una password de aplicación o incluso porque la web permite acceso basado en You are not allowed to view links. Register or Login y You are not allowed to view links. Register or Login. Proteger las cookies contra un ataque de hijacking, los accesos vía Application Password o mediante Tokens OAuth no es algo que se proteja con un 2FA o un Latch puesto en el proceso de login y podría darse un caso en el que el atacante encontrara la forma de llegar a la información y los datos de la parte interna de una aplicación web.

Ahora vamos a cambiar el chip y utilizar Latch de forma más holística dentro de la aplicación, para que sirva no únicamente para bloquear o dejar acceder en el proceso de login, si no que además cambie completamente los datos de la aplicación usando el pestillo para indicar al sistema qué opción debe tomar: La pastilla azul o La pastilla roja. Es decir, el camino de la información falsa o el camino de la información real.
Bien, ahora creo que ya sabéis por dónde voy.




 You are not allowed to view links. Register or Login 

 Figura 4: Configuración de aplicación Latch para montar el HoneyPot 


Cuando Latch esté cerrado, la aplicación estará siempre conectada a la base de datos con la información falsa. Por otro lado, si el Latch está abierto y se inicia sesión, las conexiones a la base de de datos antes de ejecutar los comandos SQL se harán entonces con la base de datos verdadera, obteniendo así la información real. En resumen el pseudocodigo sería algo como:
Citar
- Comprobar estado de Latch de AplicaciónWeb
- Si está abierto conectar a base de datos con información real.
- Si está cerrado conectar a base de datos HoneyPot
- Ejecutar consulta SQL con acceso a datos
- Cerrar conexión.
Si un atacante logra robar una sesión y tenemos el Latch cerrado, caerá en la aplicación HoneyPot, y revisando los logs de actividad podremos a posteriori ver cuales son sus intenciones y conocer cómo consiguió el acceso. Tal vez fue un Session Hijacking, tal vez un ataque de CSRF porque no se cerró bien la sesión pero sí el Latch, tal vez un ataque de red... Pero en todos los casos contra la base de datos HoneyPot.

Una pequeña PoC

Veamos ahora una pequeña PoC, de una aplicación donde podremos ver los proyectos de los responsables de una empresa con sus presupuestos (cualquier parecido con la realidad es pura coincidencia). Así es como se ve con el Latch abierto, es decir, información verdadera.



 You are not allowed to view links. Register or Login 

 Figura 5: Datos reales a los que se accede con Latch abierto 


Si el Latch estuviera cerrado, se vería otro tipo de información preparada, como esta:



 You are not allowed to view links. Register or Login 

 Figura 6: Datos que aparecen en la base de datos HoneyPot  


Y aquí vemos un ejemplo preparado de un You are not allowed to view links. Register or Login con el Latch cerrado.



 You are not allowed to view links. Register or Login 

 Figura 7: Ataque de You are not allowed to view links. Register or Login a la web con la Base de datos HoneyPot 


Mostramos ahora el registro de Logs de lo que está haciendo. Hemos descubierto que el atacante hizo un ataque de You are not allowed to view links. Register or Login para obtener información sobre los presupuestos de PEPITO, y ahora deberíamos investigar cómo lo ha hecho. ¿Será por unYou are not allowed to view links. Register or Login?



 You are not allowed to view links. Register or Login 

 Figura 8: Log de acciones de ataque en la HoneyPot 


Evidentemente si en la aplicación con la información falsa existe este fallo, lo habrá igualmente con la información real, y además ha sido descubierto dicho bug por un atacante, pero sin arriesgar la información legítima. Ahora podemos arreglarlo lo antes posible para que no vuelva a suceder. Evidentemente una aplicación de empresa debe estar lo suficientemente probada y no dejar en mano de los atacantes descubrir los fallos, pero... las cosas pasan.

En este ejemplo vimos un uso adicional de You are not allowed to view links. Register or Login, no solo de permitir o prohibir el paso, si no de tomar una opción u otra en función de un estado. Esto no solo se aplica en bases de datos, podríamos usarlo para cambiar el tráfico de un host a otro, y tener muchas opciones más si utilizamos la granularidad de las operaciones. Otro caso útil podría ser el login de una web. ¿Por que mostrarlo si podemos bloquear con Latch tan siquiera la publicación del formulario de login? El límite lo pone nuestra imaginación y las ganas de programar. Te recomiendo que leas el artículo de You are not allowed to view links. Register or Login que explica paso a paso cómo se puede meter Latch en cualquiera aplicación web que tengas.

Autor: Borja Pintos | Visto en: elladodelmal.com

Desconectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5701
  • Actividad:
    100%
  • Country: ar
  • Reputación 37
  • ANTRAX
  • Skype: underc0de.org
  • Twitter: @Underc0de
    • Ver Perfil
    • Underc0de
    • Email

Re:Configurar un HoneyPot en tu aplicación web con Latch

  • en: Diciembre 02, 2016, 10:42:04 am
Terriblemente bueno!!
Muchisimas gracias bro!!!
Tengo muchas ganas de meterme mas en el mundo de los honeypots

Saludos,
ANTRAX


 

Cómo instalar y configurar ModSecurity en Apache sobre servidores Debian

Iniciado por d0r127

Respuestas: 2
Vistas: 4877
Último mensaje Mayo 04, 2017, 12:43:34 pm
por fran_
Montando un Honeypot (sebek, honeywall en Virtualbox)

Iniciado por Stiuvert

Respuestas: 1
Vistas: 4525
Último mensaje Diciembre 02, 2016, 02:20:37 pm
por Gabriela
GuÍa de implementacion de una Honeypot industrial

Iniciado por KiddArabic

Respuestas: 0
Vistas: 620
Último mensaje Noviembre 10, 2019, 05:20:12 pm
por KiddArabic
Desplegando Honeypot (Kippo)

Iniciado por blackdrake

Respuestas: 3
Vistas: 5404
Último mensaje Enero 19, 2018, 12:09:08 am
por SC0RP10N