Defensa activa contra ataques maliciosos.

He estado jugando con una herramienta que nos ofrece es verificar y obtener información del atacante.  Aunque puede ser bueno para un auditor y malo para el atacante. Bueno esta herramienta se llama “maltrail”.

Se preguntarán: ¿Qué es Maltrail?

Maltrail es un sistema de detección de tráfico malicioso, utilizando listas públicamente disponibles (negro) que contienen rastros maliciosos y/o generalmente sospechosas, además recopila diversos informes de AV y las listas definidas por el usuario personalizados, en los que las excursiones se puede con el nombre de dominio (por ejemplo zvpprsensinaix.com para Banjori malware), URL (por ejemplo, para http://109.162.38.120/harsh02.exe ejecutable malicioso conocido), la dirección IP (por ejemplo, 185.130.5.231 para el atacante conocida) o valor de encabezado HTTP User-Agent (por ejemplo, para sqlmap automática la inyección de SQL y la herramienta de toma de control de base de datos). Además, se utiliza (opcional) avanzados mecanismos heurísticos que pueden ayudar en el descubrimiento de amenazas desconocidas (por ejemplo, nuevo malware).

68747470733a2f2f692e696d6775722e636f6d2f53643965716f612e706e67

Ahora vamos a explicar sobre su sensor.

Maltrail se basa en el tráfico –> Sensor <-> Servidor <-> Arquitectura cliente. Sensor(s) es un componente independiente que se ejecuta en el nodo de control (por ejemplo, la plataforma Linux conectados de forma pasiva a la SPAN/duplicación de puertos o de forma transparente en línea en un puente Linux) o en la máquina autónoma (por ejemplo Honeypot), donde “monitores” el tráfico que pasa para los artículos de la lista negra/rutas (es decir, nombres de dominio, URL y/o direcciones IP). En caso de un resultado positivo, envía los detalles del evento al servidor (central) en el que se almacenan en el directorio de registro adecuado (es decir LOG_DIR se describe en la sección de configuración). Si el sensor se está ejecutando en la misma máquina que servidor (configuración por defecto), los registros se almacenan directamente en el directorio de registro local. De lo contrario, están siendo enviados a través de mensajes UDP al servidor remoto (es decir servidor de registro se describe en la sección de configuración).

68747470733a2f2f692e696d6775722e636f6d2f324950394d68322e706e67

Ahora vamos a ejecutarlo.

 

 sudo apt-get install python-pcapy
git clone https://github.com/stamparm/maltrail.git
cd maltrail
sudo python sensor.py

Ahora

Screenshot from 2016-03-09 00-26-08

Como vemos en la imagen usamos los comandos anteriores para ejecutarlo y el resultado esta claro que es la lista negra que anteriormente he explicado.

Screenshot from 2016-03-09 00-30-16

Ejecuta el servidor en forma grafica.

Screenshot from 2016-03-09 00-31-14

Esta corriendo el server en el cual nos muestra en forma gratica tenemos muchas opciones en el cual puede localizar o pedir informes con que herramienta esta haciendo el ataque. Pero antes de ingresar tenemos que ingresar con el usuario y la contraseña admin:changeme!

Ahora puedes usar una herramienta para un ataque como por ejemplo nmap y verificas que te muestra sobre el atacante.