Nepenthes en Debian Etch


Como trabajo escolar me dejaron que instalara una honeypot, debido a los bajos conocimientos de seguridad, mi equipo y yo pusimos Nepenthes esta tarde, que es un un “recolector ” de malware. Tambien lo usamos con Norman Sandbox que es un analizador de malware. Lo que hicimos esta en esta liga esperemos que mañana ya tengamos resultados. Resumo los pasos:

1. Instalar una maquina virtual (nosotros usaremos qemu en el futuro) o una jailroot (instalas debootstrap), si es que temes que algo se salga de control. De momento solo capturaremos malware asi que creemos que no es tan importante.

2. Configuras tu tarjeta de red con IP fija (recomendado) y en tu firewall abres los puertos más comunes para el malware (los de windows jaja) como el puerto 80, 25 ó el 445.

3. Desinstalamos exim4 para tener disponible el puerto 25: “# apt-get remove exim4”

4. # apt-get install nepenthes

5. Configuramos para usar Norman Sandbox:

# gedit /etc/nepenthes/nepenthes.conf
Las siguientes lineas no deben estar comentadas
“submitfile.so” “submit-file.conf”
“submitnorman.so” “submit-norman.conf”
“logdownload.so” “log-download.conf”
replace_local_ips cambialo a “0”

6. Los archivos de configuración de nepenthes estan en /etc/nepenthes. El archivo submit-file.conf contiene la dirección del que será nuestro deposito de malware, en submit-norman.conf debemos poner el correo al cual deseamos que Norman Sandbox nos envie las notificaciones de análisis y en log-download.conf indicaremos la ruta donde se almacenarán nuestros logs.

Reiniciamos nepenthes y estará funcionando, solo queda esperar para hacer extensa nuestra colección de bichos.

Actualización 29-agosto-2007

Pues resulta que cuando dejamos nepenthes funcionando, se fue la luz, por lo que no capturó nada. Lo malo es que nos hemos dado cuenta de un error en la configuración, por lo que Norman (Memo) y yo, tratamos de arreglarlo, pero solo pudimos ver que nepenthes no captura nada. Es decir, si revisa los paquetes pero no captura el malware, esperemos que mañana podamos arreglar el fallo.

Actualización 16-septiembre-2007

Ya revisamos que pasa con nepenthes, resulta que si esta bien configurado pero no lo suficietemente expuesto, porque no captura lo que debería. En su lugar ha capturado algunos archivos pero ninguno malicioso, tendremos que buscar otro lugar donde instalarlo.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s