Stella, una honeypot virtual de alta interacción para Windows XP

De
Publicado por


En este proyecto se ha llevado a cabo el análisis, diseño e implementación de un prototipo de honeypot virtual de alta interacción para Windows XP. A esta honeypot se le ha bautizado con el nombre de STELLA. STELLA ha servido de “cebo” para posibles atacantes en Internet durante las diversas fases de experimentación que se describen en esta memoria, y que corresponden a periodos de tiempo espaciados desde 2007 hasta 2009. En este trabajo se detallan algunas de las intrusiones detectadas y se realiza un análisis en profundidad de las mismas. Actualmente, STELLA se encuentra operativa y realizando capturas de posibles intrusos.
Ingeniería de Telecomunicación
Publicado el : miércoles, 01 de julio de 2009
Lectura(s) : 78
Etiquetas :
Fuente : e-archivo.uc3m.es
Licencia: Más información
Atribución, no uso comercial, sin cambios
Número de páginas: 161
Ver más Ver menos


UNIVERSIDAD CARLOS III DE MADRID


ESCUELA POLITÉCNICA SUPERIOR


INGENIERÍA DE TELECOMUNICACIÓN










PROYECTO FIN DE CARRERA



STELLA, UNA HONEYPOT VIRTUAL DE
ALTA INTERACCIÓN PARA WINDOWS XP







Autora: BEATRIZ MARTÍNEZ SANTOS

Tutora: ALMUDENA ALCAIDE RAYA

Cotutor: JULIO CÉSAR HERNÁNDEZ


Julio de 2009


Título: STELLA, UNA HONEYPOT VIRTUAL DE ALTA
INTERACCIÓN PARA WINDOWS XP.


AUTORA: Beatriz Martínez Santos

TUTORA: Almudena Alcaide Raya

COTUTOR: Julio César Hernández


La defensa del presente Proyecto Fin de Carrera se realizó el día
28 de Julio de 2009, siendo evaluada por el siguiente tribunal:

PRESIDENTE:

SECRETARIO:

VOCAL:


Habiendo obtenido la siguiente calificación:


CALIFICACIÓN:





Presidente Secretario Vocal
Agradecimientos


Son muchos los que me han ayudado, ya sea por su trabajo, sus cuidados o su
mera compañía. Familia y amigos que espero siempre estén a mi lado y, por
supuesto, yo al suyo.

Mi hermano, que siempre me hizo rabiar cuando era pequeña, pero que también
estuvo en las risas y juegos.

Mis abuelos, tíos, primos y demás familiares, tanto a los que están como a los que
se echa de menos.

Mis amigos, con los que tan buenos ratos he pasado.

Mi tutora, Almudena, por toda la ayuda e ilusión que ha puesto en este proyecto, y
Julio, que estuvo en su inicio, guiándome cuando el camino era oscuro. Sin ellos
jamás habría acabado lo que parecía no tener fin.

Pero, sobre todo a mis padres, lo que más quiero en esta vida.
Resumen
En este proyecto se ha llevado a cabo el análisis, diseño e implementación de un
prototipo de honeypot virtual de alta interacción para Windows XP. A esta honeypot
se le ha bautizado con el nombre de STELLA.
STELLA ha servido de “cebo” para posibles atacantes en Internet durante las
diversas fases de experimentación que se describen en esta memoria, y que
corresponden a periodos de tiempo espaciados desde 2007 hasta 2009. En este
trabajo se detallan algunas de las intrusiones detectadas y se realiza un análisis en
profundidad de las mismas.
Actualmente, STELLA se encuentra operativa y realizando capturas de posibles
intrusos. STELLA, Una Honeypot Virtual de Alta Interacción para Windows XP 8
Índice

Glosario de términos.....................................................................................17

1 INTRODUCCIÓN...............................................................................21
1.1 Introducción a la Seguridad..............................................................21
1.2 Seguridad en Internet......................................................................21
1.2.1 Tipos de ataques ......................................................................22
1.2.2 Herramientas más utilizadas para los ataques ..............................25

1.3 Honeypots......................................................................................29
1.3.1 Tipos de Honeypots. .................................................................29

1.4 Objetivos y Motivación de este Trabajo ..............................................31
1.4.1 Motivación ...............................................................................31
1.4.2 Objetivos.................................................................................32

1.5 Estructura del Documento ................................................................33


PARTE I ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE STELLA

2 STELLA-HONEYPOT .............................................................................34
2.1 Fase de Planificación........................................................................34
2.1.1 Análisis de objetivos .................................................................34
2.1.2 Análisis de recursos y componentes ............................................34
2.1.2.1 Sistema de detección de intrusiones de red (N-IDS)...............35
2.1.2.2 Sistema de detección de intrusiones de host (H-IDS) .............36
2.1.2.3 Herramientas de análisis forense .........................................36

2.2 Fase de Diseño ...............................................................................36
2.3 Fase de Implementación ..................................................................39
2.3.1 VMware Workstation .................................................................39
2.3.2 IDS de red basado en Snort.......................................................45
2.3.2.1 Instalación de Snort ...........................................................45
2.3.2.2 Base de datos MySQL .........................................................49
2.3.3 ACID.......................................................................................51
2.3.3.1 Instalación de ACID y sus complementos..............................51
2.3.3.2 Instalación de PHP .............................................................51
2.3.3.3 Instalación de Apache........................................................52
2.3.3.4 Instalación de ACID............................................................52 STELLA, Una Honeypot Virtual de Alta Interacción para Windows XP 9
2.3.3.4.1 Modificaciones sobre el código fuente de ACID. ................55
2.3.4 IDS de host basado en Sebek ....................................................59
2.3.4.1 Arquitectura Sebek ............................................................60
2.3.4.2 Instalación de Sebek ..........................................................62
2.3.5 Análisis forense basado en InstallWatch ......................................64
2.3.5.1 Instalación y utilización de InstallWatch................................64
2.3.5.2 Descripción de Registros.....................................................67



PARTE II CAPTURAS Y ANÁLISIS FORENSE EN STELLA

3 STELLA EN FUNCIONAMIENTO ............................................................70
3.1 Ejemplo .........................................................................................70
3.2 Metodología de las Capturas .............................................................75
3.3 Metodología del Análisis Forense .......................................................76
4 CAPTURAS DEL 2007...........................................................................77
4.1 Intrusión 1. ....................................................................................77
4.1.1 Caracterización ........................................................................77
4.1.2 Análisis forense ........................................................................78

4.2 Intrusión 2. ....................................................................................78
4.2.1 Caracterización ........................................................................78
4.2.2 Análisis forense ........................................................................81

4.3 Intrusión 3. ....................................................................................82
4.3.1 Caracterización ........................................................................82
4.3.2 Análisis forense ........................................................................84

4.4 Intrusión 4. ....................................................................................85
4.4.1 Caracterización ........................................................................85
4.4.2 Análisis forense ........................................................................86

4.5 Intrusión 5. ....................................................................................87
4.5.1 Caracterización ........................................................................87
4.5.2 Análisis forense ........................................................................89
4.6 Intrusión 6. ....................................................................................90
4.6.1 Caracterización ........................................................................90
4.6.2 Análisis forense ........................................................................93

4.7 Intrusión 7. ....................................................................................95
4.7.1 Caracterización ........................................................................95 STELLA, Una Honeypot Virtual de Alta Interacción para Windows XP 10
4.7.2 Análisis forense ........................................................................97

4.8 Resumen Capturas 2007 ................................................................102
4.8.1 Análisis de estas intrusiones en 2009 ........................................103

5 CAPTURAS DEL 2009.........................................................................107
5.1 FileMon........................................................................................107
5.2 Intrusión 1 ...................................................................................109
5.2.1 Caracterización ......................................................................109
5.2.2 Análisis Forense .....................................................................110
5.2.2.1 Infección inicial y primeras mutaciones...............................110
5.2.2.2 El intruso controla parte de STELLA....................................113
5.2.2.3 El intruso sigue evolucionando...........................................113
5.2.2.4 Técnicas de ocultación y supervivencia del intruso ...............114
5.2.2.5 El intruso intenta infectar otras máquinas ...........................115

5.3 Intrusión 2 ...................................................................................117
5.3.1 Caracterización ......................................................................117
5.3.2 Análisis forense ......................................................................118

5.4 Resumen Capturas 2009 ................................................................124
5.4.1 Intrusión 1.............................................................................124
5.4.2 Intrusión 2.............................................................................126


PARTE III CONCLUSIONES FINALES

6 CONCLUSIONES ................................................................................127
6.1 Resumen de Contribuciones............................................................127
6.2 STELLA ........................................................................................128
6.3 Las Capturas ................................................................................130
6.3.1 Análisis forense ......................................................................137

6.4 Tiempo De Desarrollo de Este Trabajo..............................................137
6.5 Costes Económicos........................................................................138

ANEXO I. Fichero Create_MySQL ..................................................................139
ANEXO II. Intrusión 1 – 2009: Caracterización por los motores antivirus. ..........142

¡Sé el primero en escribir un comentario!

13/1000 caracteres como máximo.