Identificacion de un HoneyPot

Iniciamos realizando un escaneo de puertos utilizando proxychains:

Con el puerto 22 abierto, intentamos iniciar sesión en el servidor utilizando el siguiente comando básico de SSH:

Sin embargo, recibimos un error que nos impide continuar:

no matching host key type found. Their offer: ssh-rsa, ssh-dss

Este mensaje nos indica que el servidor SSH al que estamos intentando conectarnos solo ofrece ciertos tipos de algoritmos de claves de host que no son compatibles con la configuración predeterminada de nuestro cliente SSH. En este caso, los algoritmos que el servidor ofrece son ssh-rsa y ssh-dss, mientras que nuestro cliente está configurado para rechazar estos algoritmos debido a razones de seguridad (algunos de estos algoritmos han sido considerados obsoletos o inseguros en implementaciones modernas de SSH).

Para solucionar este problema, debemos forzar a nuestro cliente SSH a aceptar el algoritmo ssh-dss que está siendo ofrecido por el servidor. Además, dado que estamos trabajando detrás de un proxy (el túnel SOCKS5 que configuramos en el capítulo anterior), es necesario utilizar proxychains para que el tráfico SSH pase a través del túnel.

Después de obtener acceso a la máquina utilizando las credenciales root:toor, uno de los pasos esenciales es verificar los servicios en ejecución y las conexiones activas. Para ello, ejecutamos el siguiente comando:

Durante el escaneo inicial de Nmap realizado previamente sobre la máquina 172.16.1.6, habíamos detectado el puerto 80 (HTTP) abierto, lo que indicaba la presencia de un servidor web. Sin embargo, al revisar las conexiones activas con netstat, notamos que el puerto 80 no está presente en el listado. Esto es anómalo, ya que esperaríamos ver que el servicio HTTP esté escuchando en este puerto si efectivamente hubiera un servidor web en ejecución.

La ausencia del puerto 80 puede indicar dos situaciones posibles:

  1. Servicio cerrado o deshabilitado: El servicio HTTP pudo haberse cerrado entre el momento del escaneo y nuestra conexión.

  2. Honeypot: Esta situación sugiere que podríamos estar interactuando con un honeypot, una máquina diseñada deliberadamente para atraer y monitorizar atacantes, mostrando servicios aparentemente vulnerables, pero en realidad controlados por un entorno seguro.

Segundo Indicador: Facilidad del Acceso SSH

El segundo factor que refuerza la idea de que estamos en un honeypot es la extrema facilidad con la que logramos obtener acceso root a través de SSH utilizando las credenciales root:toor. Estas credenciales son sumamente comunes y consideradas por defecto en muchos sistemas, y encontrar una máquina en producción que las utilice sería extremadamente raro.

Los honeypots suelen configurarse con credenciales triviales o muy fáciles de adivinar para atraer a los atacantes. Al utilizar estas credenciales, el sistema podría estar monitorizando nuestros movimientos y actividades para aprender sobre nuestros métodos de ataque.

Evaluación de los Indicadores

Tomando en cuenta estos dos elementos:

  • La ausencia de servicios en los puertos esperados (como el 80).

  • El fácil acceso con credenciales root predeterminadas.

Es probable que estemos interactuando con un honeypot. Este tipo de entornos están diseñados específicamente para atraer a hackers y recopilar información sobre sus técnicas y herramientas sin comprometer sistemas reales. Los honeypots permiten a los defensores observar el comportamiento de los atacantes en tiempo real.

PreviousConfigurando BurpSuite con túnel dinámicoNextBypass de User-Agent

Last updated