5/9/08

Valhala Honeypot

Valhala Honeypot 1.7 – Manual do usuário
Atualizado em Abril/2008

 

 

Honeypots............................................................................................................................................................................. 1

VALHALA............................................................................................................................................................................ 1

Instalação......................................................................................................................................................................... 2

Utilização.......................................................................................................................................................................... 2

Configuração.................................................................................................................................................................... 2

Opções gerais............................................................................................................................................................... 2

Opções de Honeypot.................................................................................................................................................. 2

Recursos............................................................................................................................................................................ 3

Servidor WEB.............................................................................................................................................................. 3

Servidor FTP................................................................................................................................................................. 3

Servidor Telnet............................................................................................................................................................. 3

Servidor SMTP............................................................................................................................................................. 4

Servidor TFTP.............................................................................................................................................................. 4

Servidor POP3.............................................................................................................................................................. 4

Servidor Finger............................................................................................................................................................. 4

Servidor Port Forwarding........................................................................................................................................... 4

FAQ......................................................................................................................................................................................... 4

Quando clico em monitorar aparece “Não foi possível abrir a porta... “.............................................................. 4

Meu servidor capturou lixo em vez de comandos ou deu ERRO........................................................................... 5

O e-mail / mensagem por rede não foi enviado......................................................................................................... 5

Para mais informações................................................................................................................................................... 5

 

 

Honeypots

A tradução inglês/português de Honeypot é “Pote de Mel”. Imagine a seguinte situação fictícia: você possui uma bela flor no seu quarto, e vira e mexe aparece uma ou outra abelha para dar uma “cheiradinha” nela. Você não têm a menor idéia de onde as abelhas vêm, de quantas existem por perto, ou seja, nenhuma informação. Daí você têm uma idéia. Pega um Pote de Mel  e coloca em cima de uma caixa no seu jardim. Minutos depois têm dezenas de abelhas ali. Você vai então e carinhosamente as mata utilizando Baygon. Essa é a função de um honeypot.

Com o Honeypot você pode simular serviços falsos, como SMTP, POP3, FTP, TELNET, FINGER, WEB... que à vista do “invasor” funciona de verdade. Você configura um nome de usuário e uma senha bem fáceis para o hacker “conseguir dificilmente quebrar” e entrar no sistema simulado. Assim, enquanto o espertalhão pensar que está invadindo, você estará vendo tudo o que ele faz.... os comandos que digita, os erros, enfim, tudo. Esse tipo de software é excelente para ser usado em uma rede.

Vamos supor que você têm dados importantes em vários computadores de uma rede com Ips públicos (sem NAT). Você quer evitar que um computador com importantes dados seja “varrido” à procura de métodos de invadí-lo. Daí você pega uma das máquinas, a menos útil delas, e instala o honeypot. Assim ao varrer a rede, o hacker vai achar aquele ponto “mais fácil” e esquecer dos seus dados importantes. Além de que você pode capturar o seu endereço de origem.

VALHALA

 

O Valhala é o único honeypot totalmente em português para o sistema Windows, e o melhor, é opensource. Você pode utilizar quantas cópias quiser, sem precisar adquirir nada. Ele é um honeypot de baixa interatividade, o que significa que possui um risco menor de comprometimento do que honeypots baseados em sistemas operacionais reais.

 

Instalação

Não têm mistérios. Escolha o diretório que deseja instalar e pronto. Eu recomendo Windows NT, 2000, XP ou 2003 mas... o programa ainda pode ser usado no Windows 98 e ME (95 só com Winsock 2) mas com perda de recursos (e alguns problemas de falta de memória que não ocorrem nos Windows de arquitetura NT).

Utilização

Para usar o programa é muito fácil. Abra o Valhala e clique no botão Monitorar. Pronto, seu sistema está sendo monitorado para “abelhinhas”. Claro que você precisa configurar corretamente o programa, isso vamos deixar para depois. Se quiser em qualquer momento verificar a tela do programa e ele estiver oculto, é só ir no ícone da barra de tarefas, clicar no botão direito e selecionar Mostrar. Se quiser a qualquer momento parar a monitoração e desconectar invasores conectados, clique em Parar.

Configuração

Existem três tipos de configuração no Valhala Honeypot. Vamos analisar todas.

Opções gerais

 

                Nessas opções você vai poder definir se deseja enviar as tentativas recebidas e logadas por e-mail, icq, ou para um servidor centralizado (modo console, leia o parágrafo em vermelho), se deseja que um som seja tocado na hora que as tentativas forem recebidas, se quer habilitar portas extras (falaremos do que isso significa depois, em recursos), se quer desabilitar as portas padrões com trojans, se quer o programa inicie junto com o Windows, se quer que ele já inicie monitorando e por último, um banner padrão para as portas extras, uma mensagem mostrada quando alguém se conectar nas portas extras. E não menos importante, uma opção para salvar logs automaticamente em disco.

                O programa também seleciona e prioriza quais logs serão enviados por e-mail, para que você não receba lixo.

 

                Também tem a opção de enviar logs para o servidor. Isso é útil se você quiser instalar várias cópias do Valhala em uma rede e utilizar um computador para monitorar todos os programas. Isso é simples:

 

- Para enviar os logs, configure o endereço IP da máquina e a porta em “enviar logs para o servidor”.

- Para funcionar como servidor, escolha uma porta para escutar na opção “porta para o modo console”. Depois disso é só clicar o botão “modo console” na janela principal do Valhala. A partir daí, estará recebendo os logs de todos as cópias do programa (que estiverem devidamente configuradas).

Opções de Honeypot

Aqui você pode habilitar os servidores WEB, FTP, TELNET ,SMTP, POP3 , FINGER E TFTP e configurá-los quanto à número de portas, banner (mensagem mostrada na hora que a pessoa conecta, o ideal é colocar algo para enganar o invasor como por exemplo: “Linux Conectiva “ ou “Windows 2003”), nomes de usuários

e senhas (devem ser fáceis para que a abelhinha caia na armadilha. Um exemplo é: Usuário root e senha root.

Obs: Cuidado para não habilitar os servidores para portas que já estejam abertas nas portas extras e vice-versa.

Recursos

Vou explicar agora como o programa funciona e seus recursos. Primeiramente existem 7 portas que o programa abre de modo padrão. São portas utilizadas por 7 trojans conhecidos, que são: Netbus 1, Netbus 2, WinCrash 1, WinCrash 2, SubSeven, HackATack e Back Orifice 2000. Todas essas portas não possuem recursos e nem interagem com o usuário, são apenas armadilhas. A pessoa se conecta ali (com más intenções) a porta automaticamente loga o endereço IP do invasor e o desconecta. São portas “vazias”.

Assim também são as quatro portas extras que você pode habilitar. Por exemplo: se você habilitar a porta extra 22, o invasor (ao scannear o seu computador) achará que você possui recurso de SSH (Secure Shell) e tentará entrar. A porta novamente o desconectará.  Nas opções gerais, pode-se configurar o banner para o que você quiser (ex: Welcome to Linux).

Essas portas “vazias” só se preocupam em pegar o IP do invasor no momento que ele se conecta. Isso não acontece com as portas de serviços.

Os servidores interagem com o usuário, ele pode digitar nome e senha, digitar comandos, “tentar” baixar arquivos, e você pegar tudo o que ele faz. Mais ao contrário das portas vazias, os servidores até logam conexões e desconexões , mas dão uma maior enfase em logar apenas comandos. Qual a diferença disso?

O Valhala não é mostrado na tela, nem toca sons quando uma conexão é feita ou alguém se desconecta de um servidor. Por quê isso? Presume-se que uma pessoa que se conecte a qualquer servidor, COM CERTEZA ela irá digitar algum comando, nem que seja tentar o nome de usuário e a senha. Vamos supor que você configurou para enviar os LOGS por ICQ de modo instantâneo. Toda conexão das portas vazias é enviada, já dos servidores são enviados apenas os comandos, para não encher demais de mensagens para o destinatário (já que é instantâneo). Já por e-mail, todos os logs são enviados.

Vamos entender agora todos os servidores, um a um, o seu papel.

Servidor WEB

O Servidor WEB é um servidor de homepages. Sua porta padrão é 80. Você deve configurar o diretório padrão e um arquivo padrão (exemplo: index.htm ou index.html) que será sua página principal. O Servidor não têm muitos recursos, já que a intenção é pegar usuários maliciosos, não servir como um servidor web completo. Como funciona a detecção aqui?

Quando um usuário malicioso tentar scannear seu servidor web (usando programas específicos como N-Stealth por exemplo) e tentar abrir URLs maliciosas (ex: TEST.CGI , WEBSENDMAIL, etc) o Valhala mostrará o IP do invasor e que URL ele tentou abrir no sistema. Tudo isso de modo instantâneo (mesmo você podendo gravar os logs para serem lidos depois)

Servidor FTP

Esse servidor é utilizado para trocas de arquivos (por exemplo, para colocar arquivos em um computador que depois serão utilizados pelo servidor WEB).  Inicialmente você deve configurar a porta e o diretório padrão onde o atacante vai “cair”. Ele captura os comandos que a pessoa digita (ex: Usuário, senha, pegar, apagar, colocar).

* Até na versão 1.6.1 não era permitido baixar nem colocar nada no servidor FTP, com exceção do arquivo armadilha. Da versão 1.6.2 em diante, o servidor FTP está semi-funcional para aumentar o nível de interação do honeypot. Ele permite fazer download e upload de arquivos, mas não permite mudar o diretório corrente Cuidado então com o diretório que irá configurá-lo.

Servidor Telnet

Esse é o mais interessante dos servidores, por ser totalmente simulado. Após a pessoa “descobir” o login e a senha, ela cai em um prompt do DOS fictício, totalmente simulado. Lá ela poderá dar os comandos: DIR, VER, CLS e mais algumas brincadeirinhas para que a pessoa caia na armadilha. Todo comando que ela digitar é capturado por você. Assim você pode saber o que um invasor faria (que comandos iria rodar) se conseguisse realmente invadir o seu computador e cair no prompt do DOS.Possui configurações avançadas para que você possa personalizar os diretórios que irão aparecer para o invasor, a data e hora de sua criação, a letra do drive, o volume, o número serial e até especificar arquivos reais para que o invasor “leia”. Possui uma opção “Sem login” que quando marcada, não mostra a tela de login e senha.               

Servidor SMTP

Servidor de envio de e-mail. Captura e-mail de origem e destino, texto da mensagem e outras informações de cabeçalho. Não chega a enviar o e-mail do invasor (claro) mas vai dar a impressão de ter enviado. É interessante para descobrir endereços IPs de Spammers.

Servidor TFTP

Servidor de Trivial FTP (FTP por UDP sem autenticação). Ele nega os pedidos de envio e recebimento de arquivos e lhe mostra quais informações foram solicitadas. Bem interessante.

* A partir da versão 1.6.2 foi incluido um modo funcional. Habilitando-o, vai permitir que seu servidor TFTP funcione normalmente para enviar e receber arquivos sem restrições, no seu computador inteiro ! Recomendo ativar apenas se você estiver rodando o Valhala Honeypot em um PC preparado apenas para servir de pote de mel, ou máquina virtual do mesmo fim.

Servidor POP3

Servidor de recebimento de e-mail. Configure um nome de usuário e senha para que o invasor descubra e também crie um e-mail falso, colocando os cabeçalhos: De, Para, Assunto e claro, a mensagem em si. O invasor poderá baixar essa mensagem falsa de qualquer cliente de e-mail ou diretamente via telnet, conectando-se ao servidor.

Servidor Finger

Servidor de informações finger. Informa para o invasor os usuários (falsos) do sistema , ex: (root , admin, etc...).  Esses nomes de usuários são interessantes para você cadastrar nos servidores FTP e TELNET, pois serão os primeiros que o invasor tentará usar para ganhar acesso ao sistema.

 

Servidor Port Forwarding


Adicionado na versão 1.7. Possui dois servidores: um para realizar PORT FORWARDING para um site da web (http), e outro para um site FTP. Existe a opção para mostrar o tráfego remoto que foi capturado, mas como pode trazer muito lixo (especialmente no caso do web), use-o apenas se necessário. A utilização é simples: o invasor vai se conectar na sua porta local, e depois será redirecionado para o site remoto, com o valhala intermediando a conexão.

 

FAQ

Quando clico em monitorar aparece “Não foi possível abrir a porta... “

Existem vários motivos para isso. Vamos enumerá-los:

-          Existem outros programas de proteção utilizando a porta (ex: Xô Bo Bus, Anti-Trojans)

-          Existe um cavalo de tróia ou trojan instalado nessa porta.

-          Você configurou uma mesma porta para portas extras e servidores. Cheque.

-          Você usa Windows 95/98/ME e o programa não conseguiu memória suficiente para rodar. Nessa caso tente desabilitar as portas padrões de trojans e deixar os servidores ou vice-versa.

-          Utilize o programa Active Ports (baixe-o em www.superdownloads.com.br) para descobrir qual programa está utilizando essa porta (desligue o Valhala antes).

 

Meu servidor capturou lixo em vez de comandos ou deu ERRO

Isso acontece também por vários motivos. Por exemplo: pode ser que lá no servidor de telnet, a pessoa errou um comando e tentou apagar com backspace e escrever por cima. Como um soquete não é exatamente um processador de texto ele mostra um pouco de lixo na tela. Mas sempre no fim do lixo dá pra ver o que a pessoa digitou.

O e-mail / mensagem por rede não foi enviado

 

Cheque os seguintes pontos:

 

-          O e-mail ou servidor estão corretamente?

-          As configurações de NAT/Firewall permitem o envio da sua rede?

-          Seu servidor pede login e senha?

Para mais informações

Visite www.defhack.com
          www.sourceforge.net/projects/valhalahoneypot
         www.youtube.com/defhack
         www.via6.com/mflavio2k
     

Marcos Flávio Araújo Assunção

 mflavio2k@yahoo.com.br
 marcosflavioaraujo@gmail.com
 mflavioaa@hotmail.com