¿Qué es un exploit de día cero??
Para desarrollar el día cero, hay dos opciones, ya sea que desarrolle su propia o captura de día cero desarrollado por otros. Desarrollar el día cero por su cuenta puede ser un proceso monótono y largo. Requiere un gran conocimiento. Puede llevar mucho tiempo. Por otro lado, el día cero puede ser desarrollado por otros y puede reutilizarse. Muchos piratas informáticos usan este enfoque. En este programa, configuramos un honeypot que parece inseguro. Luego esperamos a que los atacantes se sientan atraídos por él, y luego su malware se captura cuando irrumpieron en nuestro sistema. Un hacker puede usar el malware nuevamente en cualquier otro sistema, por lo que el objetivo básico es capturar primero el malware.
Dionaea:
Markus Koetter fue el que desarrolló Dionaea. Dionaea lleva el nombre principalmente de la planta Carnívoro Venus Flytrap. Principalmente, es un honeypot de baja interacción. Dionaea comprende los servicios atacados por los atacantes, por ejemplo, HTTP, SMB, etc., e imita un sistema de ventanas sin protección. Dionaea usa libemu para detectar shellcode y puede hacernos atender sobre el código de shell y luego capturarlo. Envía notificaciones concurrentes de ataque a través de XMPP y luego registra la información en una base de datos SQ Lite.
Libemu:
Libemu es una biblioteca utilizada para la detección de shellcode y x86 emulación. Libemu puede dibujar malware dentro de los documentos como RTF, PDF, etc. Podemos usar eso para el comportamiento hostil utilizando la heurística. Esta es una forma avanzada de un honeypot, y los principiantes no deben probarlo. Dionaea no es seguro si se ve comprometido por un hacker todo su sistema se verá comprometido y, para este propósito, se debe utilizar la instalación delgada, se prefiere el sistema Debian y Ubuntu.
Recomiendo no usarlo en un sistema que se utilizará para otros fines, ya que las bibliotecas y los códigos serán instalados por nosotros que pueden dañar otras partes de su sistema. Dionaea, por otro lado, no es seguro si se ve comprometido todo su sistema se verá comprometido. Para este propósito, se debe usar la instalación Lean; Se prefieren los sistemas Debian y Ubuntu.
Instalar dependencias:
Dionaea es un software compuesto, y se requieren muchas dependencias que no están instaladas en otros sistemas como Ubuntu y Debian. Por lo tanto, tendremos que instalar dependencias antes de instalar Dionaea, y puede ser una tarea aburrida.
Por ejemplo, necesitamos descargar los siguientes paquetes para comenzar.
$ sudo apt-get install libudns-dev libglib2.0-Dev libssl-dev libcurl4-openssl-develLibreadline-Dev Libsqlite3-Dev Python-Dev Libtool Autoconf
subversión de construcción git-core flex bison pkg-config libnl-3-devev
Libnl-Genl-3-Dev Libnl-NF-3-Dev Libnl-Route-3-Dev SQLite3
Un guión de Andrew Michael Smith se puede descargar desde Github usando WGet.
Cuando se descarga este script, instalará aplicaciones (SQLite) y dependencias, descargará y configurará Dionaea entonces.
$ wget -q https: // raw.github.com/andremichaelsmith/honeypot-setup-script/maestro/configuración.bash -o /tmp /configuración.bash && bash /tmp /setup.intento
Elija una interfaz:
Dionaea se configurará y le pedirá que seleccione la interfaz de red que desea que el honeypot escuche después de que se descarguen las dependencias y aplicaciones.
Configuración de Dionaea:
Ahora Honeypot está todo establecido y ejecutándose. En futuros tutoriales, le mostraré cómo identificar los elementos de los atacantes, cómo configurar Dionaea en tiempos reales de ataque para alertarlo,
Y cómo mirar y capturar el shellcode del ataque. Probaremos nuestras herramientas de ataque y metasploit para verificar si podemos capturar malware antes de colocarlo en vivo en línea.
Abra el archivo de configuración de Dionaea:
Abra el archivo de configuración de Dionaea en este paso.
$ cd /etc /dionaeaVim o cualquier editor de texto que no sea esto puede funcionar. Leafpad se usa en este caso.
$ sudo Leafpad dionaea.confusiónConfigurar registro:
En varios casos, se observa múltiples gigabytes de un archivo de registro. Las prioridades de error de registro deben configurarse y, para este propósito, desplazarse hacia abajo en la sección de registro de un archivo.
Interfaz y sección de IP:
En este paso, desplácese hacia abajo hasta la interfaz y escuche una parte del archivo de configuración. Queremos tener la interfaz para estar configurada en manual. Como resultado, Dionaea capturará una interfaz de su propia elección.
Módulos:
Ahora el siguiente paso es establecer los módulos para el funcionamiento eficiente de Dionaea. Usaremos P0F para las huellas dactilares del sistema operativo. Esto ayudará a transferir datos a la base de datos SQLite.
Servicios:
Dionaea está configurado para ejecutar HTTPS, HTTP, FTP, TFTP, SMB, EPMAP, SIP, MSSQL y MYSQL
Deshabilite HTTP y HTTPS porque no es probable que los piratas informáticos sean engañados por ellos, y no son vulnerables. Deja a los demás porque son servicios inseguros y los hackers pueden atacar fácilmente.
Inicie Dionaea para probar:
Tenemos que ejecutar Dionaea para encontrar nuestra nueva configuración. Podemos hacer esto escribiendo:
$ sudo dionaea -u nadie -g nogroup -w/opt/dionaea -p/opt/dionaea/run/dionaea.pidAhora podemos analizar y capturar malware con la ayuda de Dionaea, ya que se ejecuta con éxito.
Conclusión:
Al usar el exploit de día cero, la piratería puede volverse fácil. Es la vulnerabilidad del software de computadora y una excelente manera de atraer a los atacantes, y cualquiera puede ser atraído a ella. Puede explotar fácilmente los programas y datos de la computadora. Espero que este artículo te ayude a aprender más sobre el exploit de día cero.