Continuando la entrada anterior hoy vamos con esas pruebas que he hecho contra Conpot y de cómo éste se ha comportado.
A continuación veremos lo sucedido cuando he accedido por el puerto 80 desde un navegador.
A partir de aquí los log que revelan nuestro acceso.
Hasta aquí podríamos interpretarlo como algo relativamente común. Pero en el ejemplo que sigue requiere conocimientos técnicos y una buena dosis de premeditación y alevosía. Si desde otro equipo ejecutamos un escáner para detectar servicios sobre la IP ejecutando conpot:
Como podemos comprobar el honeypot recoge información como el tipo de paquete, datos del contenido del mismo, IP de origen, etc.
¿Un equipo enviando un paquete a un Honeypot bajo protocolo S7comm? Esto chirría un poco…
Otra de las posibilidades que tenemos es ejecutar alguno de los escáneres disponibles en Metaesploit en auxiliary/scanner/scada
Aquí detectaremos el servicio de Modbus en lugar de S7comm.
Finalmente otras de las pruebas que hice fué sobre SNMP. Desde Metaesploit lancé una enumeración mediante este protocolo.
Y sus respectivos logs.
También podríamos cambiar un OID de SNMP. Por ejemplo la dirección de correo:
Y registro de ello.
Como podemos comprobar Conpot puede ser de gran ayuda para detectar comportamientos anómalos en nuestra red y que vayan dirigidos específicamente a nuestros sistemas de control. Obviamente esta es una Prueba de Concepto y cara a su despliegue en nuestras instalaciones deberemos personalizarla para dar una mayor credibilidad en los resultados.
Con el creciente aumento de las amenazas y publicaciones de vulnerabilidades que afectan a entornos con estos equipos, tener un Honeypot que simule uno de ellos es necesario cara a localizar posibles brechas de seguridad. Obviamente trabajamos para no tenerlas y minimizar los riesgos, pero no estamos exentos de que algo, o alguien, pueda acceder a nuestra red y lleve a cabo algún tipo de acción malintencionada. Para esos casos, aquí tenemos un aliado.
Como es lógico, esta herramienta no nos protege de nuestras vulnerabilidades, pero sí nos avisa. El uso más común será detectar tráfico y comportamientos fuera de lo común en este tipo de redes pero no estaría de más poner uno en la red de oficinas. No sea cosa que el enemigo nos venga por ahí. También nos puede ayudar cara a la realización de auditorias detectando posibles actividades no conocidas en las instalaciones de nuestros clientes y que puedan poner en peligro la disponibilidad de sus instalaciones.
En mi caso he utilizado una máquina virtual pero hay quién lo ha instalado en una RasperryPi, lo cual ya veis los recursos técnicos y económicos que requiere…
Aquí os dejo un enlace del SANS donde encontraréis una guía sobre cómo diseñar e implementar un Honeypot en un entorno SCADA.
En fin, espero que os haya gustado la entrada de hoy. Como siempre, os invito a dejar vuestros comentarios.
Un saludo!
Pingback: Moki, script para herramientas ICS/SCADA | Enredando con redes …
Pingback: Buscando ICS en la red, ZoomEye | Enredando con redes …
Pingback: Buscando ICS en la red, ZoomEye | Enredando con redes …
Excelente!! Como le haces para cambiar las configuraciones del PLC? La dirección, el contacto y eso
La aplicación tiene un fichero de texto que puedes editar y así personalizarlo. El que hago referencia en la “Parte I” es template.xml.
También las plantilla de la interfaz web.
Un saludo!