{"id":66,"date":"2007-02-13T08:54:40","date_gmt":"2007-02-13T11:54:40","guid":{"rendered":"http:\/\/talsoft.com.ar\/weblog\/?p=66"},"modified":"2007-02-13T09:03:02","modified_gmt":"2007-02-13T12:03:02","slug":"usar-nepenthes-honeypots-para-detectar-malware-comun","status":"publish","type":"post","link":"https:\/\/www.talsoft.com.ar\/site\/es\/usar-nepenthes-honeypots-para-detectar-malware-comun\/","title":{"rendered":"Usar Nepenthes Honeypots para detectar Malware com\u00c3\u00ban"},"content":{"rendered":"
Introducci\u00c3\u00b3n<\/strong><\/div>\n
\n
En el pasado pocos a\u00c3\u00b1os, un n\u00c3\u00bamero de defectos serios en Windows se han expuesto, incluyendo MS03-026 , el defecto que el arenador\u00c2\u00a0separaba en 2003, hasta que el gusano reciente de Mocbot\/Wargbot que explot\u00c3\u00b3 MS06-040 [referencia 4] a partir del agosto de 2006. El n\u00c3\u00bamero de los pedazos distintos de malware que explotaban estos defectos ha aumentado r\u00c3\u00a1pidamente el excedente el mismo per\u00c3\u00adodo. Hay varias variantes de la mayor\u00c3\u00ada de los gusanos y de muchos m\u00c3\u00a1s que el la mayor parte de de las familias del BOT, tales como Agobot, Phatbot, Sdbot, y as\u00c3\u00ad sucesivamente. Al igual que bien sabido ahora, los bots son colecciones de computadoras comprometidas del \u00e2\u20ac\u0153zombi\u00e2\u20ac\u009d usadas juntas en una red del botnet para los prop\u00c3\u00b3sitos infames.<\/div>\n
\n
En \u00e2\u20ac\u0153la plataforma de Nepenthes: Un acercamiento eficiente para recoger Malware\u00e2\u20ac\u009d Baecher y otros observa el siguiente:<\/div>\n
\u00c2\u00a0\u00e2\u20ac\u0153En un per\u00c3\u00adodo de cuatro meses, hemos recogido m\u00c3\u00a1s de 15.500 binaries \u00c3\u00banicos, correspondiendo a MB cerca de 1.400 de datos. La unicidad en este contexto se basa en diversas sumas MD5 de los binaries recogidos.\u00e2\u20ac\u009d<\/div>\n
\n
En el papel, dan las tarifas de la detecci\u00c3\u00b3n para nuevamente capturan la gama del malware entre el 73% y el 84% a trav\u00c3\u00a9s de cuatro diversos motores del antivirus. Claramente, el confiar en software del antivirus no va a trabajar para cada uno, toda la hora. En este papel describimos c\u00c3\u00b3mo un honeypot particular de la bajo-interacci\u00c3\u00b3n, Nepenthes [referencia 6], se puede utilizar para alertar r\u00c3\u00a1pidamente a un administrador a un compromiso de la red. Captura el malware y puede asistir a contener y a quitar la infecci\u00c3\u00b3n.<\/div>\n
\n
\n
\n
Alarmas \u00c3\u00batiles de las identificaciones para encontrar gusanos exploraci\u00c3\u00b3n<\/strong><\/div>\n
\n
\n
\n
Algunos de los gusanos m\u00c3\u00a1s perjudiciales de a\u00c3\u00b1os recientes se han basado en defectos en los servicios de Windows. Por ejemplo, el arenador, Sasser, Welchia y Slammer tienen todas las cantidades grandes causadas de tiempo muerto y de productividad perdida a los negocios alrededor del mundo. Esperanzadamente, el vendedor del sistema de la detecci\u00c3\u00b3n de la intrusi\u00c3\u00b3n del lector (identificaciones) tiene firmas para los gusanos sabidos tales como \u00c3\u00a9stos, y tambi\u00c3\u00a9n tiene detecci\u00c3\u00b3n portscan a ayudar a descubrir gusanos nuevos. En el caso del arenador, cada anfitri\u00c3\u00b3n infectado enviar\u00c3\u00ada alrededor 10 paquetes cada segundo para virar 135\/tcp hacia el lado de babor, que era bastante para accionar una alarma de Snort que descubri\u00c3\u00b3 el problema incluso antes de que la firma del arenador fue creada.<\/div>\n
\n
\n
\n
\n
Usar honeypots para encontrar bots <\/strong><\/div>\n<\/div>\n
\n
\n
\n
Con la mayor\u00c3\u00ada de los gusanos de la exploraci\u00c3\u00b3n, y la mayor\u00c3\u00ada de los bots, los muchos del tr\u00c3\u00a1fico ser\u00c3\u00a1n dirigidos externamente. En estos casos, debes poder manchar los patrones de la exploraci\u00c3\u00b3n en grande en tus registros de las identificaciones. Sin embargo, vendr\u00c3\u00a1 eventual una \u00c3\u00a9poca en que exploran tu red interna que busca sistemas m\u00c3\u00a1s vulnerables para infectar. Mi honeypot del favorito para estos prop\u00c3\u00b3sitos se conoce como Nepenthes, nombrado despu\u00c3\u00a9s de un g\u00c3\u00a9nero de las plantas de jarra. Ver el papel de la INCURSI\u00c3\u201cN ’06\u00c2\u00a0para m\u00c3\u00a1s informaci\u00c3\u00b3n. Nepenthes funciona en un servidor del UNIX y proporciona bastante emulaci\u00c3\u00b3n de los servicios comunes de Windows a los ataques automatizados del tonto. Nepenthes procurar\u00c3\u00a1 descargar la carga \u00c3\u00batil mal\u00c3\u00a9vola y tiene una opci\u00c3\u00b3n para someterla autom\u00c3\u00a1ticamente al sandbox normando . Entonces recibir\u00c3\u00a1s un informe de las caracter\u00c3\u00adsticas del malware a tu email address dado. Si funcionas Nepenthes en una m\u00c3\u00a1quina expuesta, descubrir\u00c3\u00a1s r\u00c3\u00a1pidamente cu\u00c3\u00a1nto malware all\u00c3\u00ad est\u00c3\u00a1 flotando alrededor en la red. Los muchos de ellos son diversas variantes de algunas familias principales de bots: SpyBot, Agobot, y otros a la hora de esta escritura. Un n\u00c3\u00bamero justo de \u00c3\u00a9stos puede ser desapercibido por un producto particular del antivirus. \u00c3\u2030sta no ser\u00c3\u00a1 de inter\u00c3\u00a9s la mayor\u00c3\u00ada de la gente, pero puede tener valor funcionar un sensor de Nepenthes dentro de tu organizaci\u00c3\u00b3n para detectar gusanos el separarse internamente.<\/div>\n
\n
\n
\n
Resultados usando Nepenthes<\/strong><\/div>\n
\n
\n
El proyecto de Nueva Zelandia Honeynet instal\u00c3\u00b3 un honeypot de Nepenthes usando el funcionamiento de la versi\u00c3\u00b3n 0.17 en Debian inestable. Esto escuchaba en 255 direcciones del IP, un prefijo de la red de \/24. Durante cinco d\u00c3\u00adas, hab\u00c3\u00ada recogido 74 diversas muestras como distinguido por el MD5 hashes de los binaries. De \u00c3\u00a9stos, solamente 48 fueron identificados como malware por un producto particular del antivirus en el final del per\u00c3\u00adodo de cinco d\u00c3\u00adas. De las muestras sabidas, muchos eran gusanos tales como Korgo, Doomjuice, Sasser y Mytob. El resto era bots del IRC de una clase o de otra, como SDBot, Spybot, Mybot y Gobot. La mayor\u00c3\u00ada de binaries, est\u00c3\u00a1 clasificado, pues los gusanos o los bots ten\u00c3\u00adan cierta clase de funcionalidad backdoor del IRC. El an\u00c3\u00a1lisis adicional de estas muestras se puede tambi\u00c3\u00a9n realizar por el lector seg\u00c3\u00ban lo deseado.<\/div>\n
\n
\n
Conclusi\u00c3\u00b3n<\/strong><\/div>\n
\n
\n
\n
Hay una gran cantidad de remiendos que se han publicado para Windows que han fijado ediciones alejadas de la explotaci\u00c3\u00b3n. Incluso con un buen sistema de gerencia del remiendo, algunos de los anfitriones internos del lector pueden faltar estos remiendos, debido al misconfiguration, error humano o porque est\u00c3\u00a1n en curso de reinstalaci\u00c3\u00b3n. Una gran cantidad de diversos binaries del malware existen que pueden explotar algunos de estos defectos para acceder a estas computadoras. Puesto que el c\u00c3\u00b3digo de fuente para algo de este malware es f\u00c3\u00a1cilmente disponible a los blackhats, un grande muchas variaciones existe y no todos son detectados por el software com\u00c3\u00ban del antivirus. Un honeypot de la bajo-interacci\u00c3\u00b3n como Nepenthes es f\u00c3\u00a1cil de instalar y requiere mantenimiento m\u00c3\u00adnimo. Puede proporcionar la informaci\u00c3\u00b3n valiosa en caso de una infecci\u00c3\u00b3n dentro de tu organizaci\u00c3\u00b3n. Cuando est\u00c3\u00a1 utilizada conjuntamente con un sistema de la detecci\u00c3\u00b3n de la intrusi\u00c3\u00b3n, la informaci\u00c3\u00b3n valiosa sobre el comportamiento del malware, las capturas y el malware binario s\u00c3\u00ad mismo del paquete pueden ser obtenidos.<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Introducci\u00c3\u00b3n En el pasado pocos a\u00c3\u00b1os, un n\u00c3\u00bamero de defectos serios en Windows se han expuesto, incluyendo MS03-026 , el defecto que el arenador\u00c2\u00a0separaba en 2003, hasta que el gusano reciente de Mocbot\/Wargbot que explot\u00c3\u00b3 MS06-040 [referencia 4] a partir del agosto de 2006. El n\u00c3\u00bamero de los pedazos distintos de malware que explotaban estos […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[3],"tags":[],"class_list":["post-66","post","type-post","status-publish","format-standard","hentry","category-articulos"],"_links":{"self":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/66","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/comments?post=66"}],"version-history":[{"count":0,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/66\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/media?parent=66"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/categories?post=66"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/tags?post=66"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}