O que é uma exploração de dia zero?

Uma exploração de dia zero é o prêmio de hackers da Crown. Uma exploração de dia zero é onde um invasor encontra uma vulnerabilidade em um sistema que o fornecedor e o público não estão cientes de. Não há patch nem sistema para proteger contra ele, exceto remover esse serviço do sistema. É chamado de zero dia porque há zero dias para os desenvolvedores de software corrigirem a falha, e ninguém sabe sobre essa exploração que é muito perigoso.

Para o desenvolvimento de zero dias, existem duas opções que você desenvolve seu próprio ou captura de dia zero desenvolvido por outros. Desenvolver zero dia por conta própria pode ser um processo monótono e longo. Requer grande conhecimento. Pode levar muito tempo. Por outro lado, o dia zero pode ser capturado desenvolvido por outros e pode ser reutilizado. Muitos hackers usam esta abordagem. Neste programa, criamos um honeypot que parece inseguro. Então esperamos que os atacantes se atraíssem por ele e, em seguida, o malware deles é capturado quando eles invadiram nosso sistema. Um hacker pode usar o malware novamente em qualquer outro sistema, então o objetivo básico é capturar o malware primeiro.

Dionaea:

Markus Koetter foi quem desenvolveu Dionaea. Dionaea recebe principalmente o nome da planta carnívora Venus Flytrap. Principalmente, é um honeypot de baixa interação. Dionaea é composto por serviços que são atacados pelos atacantes, por exemplo, HTTP, SMB, etc., e imita um sistema de janela desprotegido. Dionaea usa Libemu para detectar o código de shell e pode nos tornar vigilantes sobre o código de shell e depois capturá -lo. Ele envia notificações simultâneas de ataque via XMPP e depois registra as informações em um banco de dados sq lite.

Libemu:

Libemu é uma biblioteca usada para a detecção de shellcode e emulação x86. Libemu pode desenhar malware dentro dos documentos como RTF, PDF, etc. Podemos usar isso para comportamento hostil usando heurística. Esta é uma forma avançada de um honeypot, e os iniciantes não devem tentar. Dionaea não é segura se for comprometido por um hacker, todo o seu sistema será comprometido e, para esse fim, a instalação enxuta deve ser usada, o sistema Debian e Ubuntu é preferido.

Eu recomendo não usá -lo em um sistema que será usado para outros fins, pois as bibliotecas e códigos serão instalados por nós que podem danificar outras partes do seu sistema. Dionaea, por outro lado, não é segura se for comprometido, todo o seu sistema será comprometido. Para esse fim, a instalação enxuta deve ser usada; Os sistemas Debian e Ubuntu são preferidos.

Instale dependências:

Dionaea é um software composto, e muitas dependências são necessárias por ele que não são instaladas em outros sistemas como Ubuntu e Debian. Portanto, teremos que instalar dependências antes de instalar o Dionaea, e pode ser uma tarefa monótona.

Por exemplo, precisamos baixar os seguintes pacotes para começar.

$ sudo apt-get install libudns-dev libglib2.0-DEV LIBSSL-DEV LIBCURL4-OPENSSL-DEV
biblioteadline-dev libsqlite3-dev python-dev lbtool Automake AutoConf
subversão de construção de construção git-core flex bison pkg-config libnl-3-dev
libnl-genl-3-dev libnl-nf-3-dev libnl-route-3-dev sqlite3

Um script de Andrew Michael Smith pode ser baixado do Github usando o WGE.

Quando este script for baixado, ele instalará aplicativos (SQLite) e dependências, baixará e configurará o dionaea então.

$ wget -q https: //.Github.com/andremichaelsmith/honeypot-setup-script/
Mestre/Configuração.bash -o /tmp /configuração.Bash && Bash /TMP /Setup.Bash

Escolha uma interface:

Dionaea se configurará e solicitará que você selecione a interface de rede que você deseja que o honeypot ouça depois que as dependências e aplicativos forem baixados.

Configurando Dionaea:

Agora o honeypot está pronto e em execução. Em futuros tutoriais, mostrarei como identificar os itens dos atacantes, como configurar Dionaea em tempos reais de ataque para alertá -lo,

E como olhar e capturar o código de shell do ataque. Testaremos nossas ferramentas de ataque e metasploit para verificar se podemos capturar malware antes de colocá -lo ao vivo online.

Abra o arquivo de configuração DionAEA:

Abra o arquivo de configuração de Dionaea nesta etapa.

$ cd /etc /dionaea

Vim ou qualquer editor de texto que não seja isso pode funcionar. LeafPad é usado neste caso.

$ sudo leafpad dionaea.conf

Configure o registro:

Em vários casos, vários gigabytes de um arquivo de log são vistos. Prioridades de erro de log devem ser configuradas e, para esse fim, role a seção de log de um arquivo.

Interface e seção IP:

Nesta etapa, role para baixo até a interface e ouça uma parte do arquivo de configuração. Queremos que a interface seja definida para manual. Como resultado, Dionaea capturará uma interface de sua própria escolha.

Módulos:

Agora, o próximo passo é definir os módulos para o funcionamento eficiente de Dionaea. Estaremos usando P0F para o sistema operacional de impressão digital. Isso ajudará a transferir dados para o banco de dados SQLite.

Serviços:

Dionaea está configurado para executar HTTPS, HTTP, FTP, TFTP, SMB, EPMAP, SIP, MSSQL e MySQL

Desative HTTP e HTTPS porque os hackers provavelmente não serão enganados por eles, e eles não são vulneráveis. Deixe os outros porque são serviços inseguros e podem ser atacados facilmente por hackers.

Comece a Dionaea para testar:

Temos que correr Dionaea para encontrar nossa nova configuração. Podemos fazer isso digitando:

$ sudo dionaea -u ninguém -g nogroup -w/opt/dionaea -p/opt/dionaea/run/dionaea.PID

Agora podemos analisar e capturar malware com a ajuda de Dionaea, pois está executando com sucesso.

Conclusão:

Ao usar a exploração de dia zero, o hacking pode se tornar fácil. É vulnerabilidade de software de computador e uma ótima maneira de atrair atacantes, e qualquer um pode ser atraído para isso. Você pode explorar facilmente programas e dados de computador. Espero que este artigo ajude você a aprender mais sobre exploração de dia zero.