Cowrie Honeypot

É um honeypot de SSH (secure socket shell-) e Telnet de média/alta interação feito para
registrar ataques de força bruta bem como a interação do invasor com a shell.

No modelo de média interação (SSH- protocolo criptografado específico de segurança de troca

de arquivos cliente/server) ele emula um sistema UNIX em Python e no modelo de alta
interação funciona como uma proxy SSH e Telnet (protocolo TCP/IP baseado em texto para
acesso e utilização de computadores remotos).

Para este trabalho utilizamos o modelo instalado por padrão que é o de média interação

Citrix Honeypot

Honeypot que traz em seu nome a empresa norte americana Citrix que presta serviços de
servidores, virtualização de desktops, redes, softwares como serviço e cloud service. Este
honeypot foi projetado para registrar os logs da CVE 2019-19781 (score 9.8 critical*), que
explora uma vulnerabilidade no Citrix Application Delivery Controller(ADC) e nos Gateway
10.5, 11.1, 12.0, 12.1 e 13.0. Permitindo ataque de travessia de diretório (CWE-22: limitação
imprópria de um nome de caminho para um diretório restrito ‘Path Traversal’).

Basicamente o honeypot fica escutando as requisições que chegam pela porta 443
diretamente, porém com as devidas configurações podemos redirecionar o tráfico desta porta
no firewall para escutar somente as requisições que tentam buscar o caminho /vpn em uma
porta diferente para que o honeypot faça o seu trabalho gerando automaticamente dados de
eventos no formato texto.

*CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Dionaea Honeypot

Honeypot de baixa interação que captura cargas úteis(payload) de ataque e malware. É o

sucessor do nepenthes, implementando python como linguagem de script e usando o libemu
para detectar injeção de shellcodes (termo usado para um conjunto de instruções e comandos
criados para serem executados assim que o código é injetado) suportando os protocolos ipv6 e
tls.

Cisco ASA Honeypot

Honeypot de baixa interação projetado para detectar a CVE-2018-0101 que é uma

vulnerabilidade explorada remotamente com um ataque do tipo DoS(negação de serviço). Este
honeypot é baseado no Cisco ASA que é um dispositivo de segurança que combina várias
ferramentas de segurança em uma só como firewall, antispam, inspeção de conteúdo e rede
privada virtual (VPN).

FATT análise de fluxo

É um script que extrai metadados de rede e fingerprints (técnica de levantamento de

informações para identificar o sistema operacional da máquina alvo), Crackers e Script Kids
geralmente usam ferramentas como o Nmap (através da pilha TCP/IP), Nift (ferramenta front-
end com interface gráfica), Cheops (mapeador de redes pequenas) e o Queso para este fim,
sendo o Queso específico para o fingerprint.

Referências:

https://github.com/micheloosterhof/cowrie-dev

https://cwe.mitre.org/data/definitions/22.html

https://nvd.nist.gov/vuln/detail/CVE-2019-19781#vulnCurrentDescriptionTitle

https://gitlab.com/bontchev/CitrixHoneypot/-/blob/master/docs/INSTALL.md

https://www.exploit-db.com/

https://dionaea.readthedocs.io/en/latest/introduction.html

https://github.com/Cymmetria/ciscoasa_honeypot

https://www.cxtec.com/blog/what-is-cisco-asa-security-appliance/

Dionaea – Pegando insetos – O Projeto Honeynet

http://www.inf.ufsc.br/~bosco.sobral/ensino/ine5630/material-seg-redes/Cap4-Footprint-
Fingerprint.pdf