Chameleon - Honeypot - Demostración y Uso

Descubre como instalar Chameleon, un honeypot que integra grafana para visualizar los resultados de los ataques.

Chameleon - Honeypot - Demostración y Uso

Cuando un ladrón ingresa a nuestro hogar, al desconocer el ambiente, busca en todos los cajones que tenemos con la finalidad de encontrar algo valioso. Un honeypot es eso exactamente, un cajón mimetizado con un peculiar acabado para que sea irresistible para el ladrón registrarlo. 

Un atacante, si desconoce el entorno donde se encuentra buscará al azar, tal vez escaneando múltiples equipos para poder discriminar y conducir su ataque (o desarrollando su fase de enumeración).

Si se cruza con nuestro honeypot, este registrará esos intentos de escaneo, registrando origen y graficando. 

Se pueden colocar honeypots distribuidos en diferentes redes, con la finalidad de registrar escaneos de curiosos, de profesionales, malintencionados, red teams o cualquier origen.

En esta ocasión utilizaremos "Chameleon", un honeypot que integra grafana para graficar los intentos e incluye varios servicios emulados, entre ellos: 

  • DNS
  • HTTP Proxy
  • HTTP
  • HTTPS
  • SSH
  • POP3
  • IMAP
  • STMP
  • RDP
  • VNC
  • SMB
  • SOCKS5
  • Redis
  • TELNET
  • Postgres
  • MySQL
  • MSSQL
  • Elastic
  • ldap

En nuestro ejemplo, desplegamos Chameleon en un Ubuntu 20.04 y utilizamos los comando descritos por "qeeqbox"  en su repositorio de github. Cabe mencionar que Chameleon utiliza dockers para ejecutarse, asi que lo instalaremos y como Chameleon también monitorea el puerto 22 (ssh) es necesario realizar el cambio de puerto default por uno personalizado (2222) para nuestra administración a través de ssh.

Una vez completados los prerrequisitos, utilizamos los comandos descritos a continuación.

git clone https://github.com/qeeqbox/chameleon.git
cd chameleon
sudo chmod +x ./run.sh
sudo ./run.sh deploy

Una vez instalado, iniciamos desde nuestro navegador la ruta https://IP:3000 para ingresar a la interfaz de grafana, donde "IP" es la dirección ip correspondiente al equipo donde instalamos chameleon.

Las credenciales para iniciar sesión dentro de grafana son:

Usuario:  changeme457f6460cb287
Contraseña: changemed23b8cc6a20e0

A continuación, realizamos algunas pruebas utilizando nmap e hydra para generar tráfico y ver como son representados los datos.

Podemos ver que se representan datos como el origen del ataque, los intentos fallidos, las credenciales que se utilizaron durante el ataque y puertos que estuvieron involucrados durante el evento. 

Si utilizamos las bondades de grafana, podemos crear alertas en los diferentes canales con los que cuenta, como son correo electrónico o telegram. 

Bien hasta aqui nuestro hands on, espero que esta herramienta les sea de interés