honeynets

Forensic Challenge 2010

Challenge 1 - pcap attack trace - (provided by Tillmann Werner from the Giraffe Chapter) is to investigate a network attack. Send submissions (please use the MS word submission template or the Open Office submission template) forensicchallenge2010@honeynet.org no later then 17:00 EST, Monday, February 1st 2010. Results will be released on Monday, February 15th 2010. Small prizes will be awarded to the top three submissions.

Skill Level: Intermediate

The Challenge:
A network trace with attack data is provided. (Note that the IP address of the victim has been changed to hide the true location.) Analyze and answer the following questions:

1. Which systems (i.e. IP addresses) are involved? (2pts)
2. What can you find out about the attacking host (e.g., where is it located)? (2pts)
3. How many TCP sessions are contained in the dump file? (2pts)
4. How long did it take to perform the attack? (2pts)
5. Which operating system was targeted by the attack? And which service? Which vulnerability? (6pts)
6. Can you sketch an overview of the general actions performed by the attacker? (6pts)
7. What specific vulnerability was attacked? (2pts)
8. What actions does the shellcode perform? Pls list the shellcode. (8pts)
9. Do you think a Honeypot was used to pose as a vulnerable victim? Why? (6pts)
10. Was there malware involved? Whats the name of the malware? (We are not looking for a detailed malware analysis for this challenge) (2pts)
11. Do you think this is a manual or an automated attack? Why? (2pts)

Download:
attack-trace.pcap_.gz Sha1: 0f5ddab19034b2656ec316875b527d9bff1f035f

Fue liberado el nuevo KYE sobre Conficker

The Honeynet Project is excited to announce the release of Know Your Enemy: Containing Conficker. In this paper we present several potential methods to contain Conficker. The approaches presented take advantage of the way Conficker patches infected systems, which can be used to remotelydetect a compromised system. Furthermore, we demonstrate various methods to detect and remove Conficker locally and a potential vaccination tool is presented. Finally, the domain name generation mechanism for all three Conficker variants is discussed in detail and anoverview of the potential for upcoming domain collisions in version .C is provided. Tools for all the ideas presented are freely available for download including source code. This paper was authored by Tillmann Werner and Felix Leder.

In addition, as a result of this paper and the hard work of Dan Kaminsky, most vulnerability scanning tools (including Nmap) should now have a plugin or signatures that allow you to remotely detect infected Conficker systems on your networks. Finally, we would like to recognize and thank the tremendous help and input of the Conficker Working Group.

Como sabrán en menos de 48 hs se activará una nueva variante del Conficker. Recién salido del horno, Tillman y Felix del Giraffe Honeynet Chapter publican una herramienta para detectar hosts infectados con el Conficker [1], cabe señalar que este scanner sera integrado en varios scanner famosos como el nmap ó Nessus. También nos envian firmas para el Snort basadas en el shellcode del virus.

y

Mas información en:

https://www.honeynet.org/node/388
https://www.honeynet.org/node/389
http://www.doxpara.com/?p=1285
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Chapter XVIII: Introduction, Classification and Implementation of Honeypots

This chapter discusses the basic aspects of Honeypots, how they are implemented in modern computer networks, as well as their practical uses and implementation in educational environments. This chapter covers the most important points regarding the characteristics of Honeypots and Honeynets. The implementation of Honeypots provides an answer to a common question posted by the field of information security and forensics: How to dissect the elements that make up an attack against a computer system. The chapter summarizes the different features and capabilities of Honeypots once they are set up in a production environment.

Pueden hacer el pedido directamente en IGI-Global con un descuento de Pre-Publicación o directamente en Amazon sin descuento

Oops, ya tenia un poco olvidado mi blog mucho trabajo e infinidad de cosas por hacer me quemaban el chip y no le daba bola al blog... pero de nuevo acá estoy.

Estuve 3 semanas en México pasando las fiestas con mi familia y amigos, ya me hacian falta unas vacaciones... las disfrute muchisimo, aunque creo que me faltaron mas días; en esas 3 semanas no pude recuperar los meses que estuve viviendo fuera de mi ciudad. Ya acercandose la hora de regresar empece la busqueda de vuelos, con la idea presente en que no lo encontraria a menos de $1,000 usd por la temporada y por los costos que en los últimos meses hemos visto todos... por suerte encontre un vuelo en aprox $600 usd (un solo viaje), el único detalle es que la conexión del vuelo sería en Nueva York... no me importo y lo compre, fué lo mas barato que encontre. Y bueno.. fueran muchas horas de viaje hasta Buenos Aires pero llegue! (gracias a la Tía Meche por su hospitalidad en la Gran Manzana)

De regreso al laburo, chequeando pendientes... cambiandome de apartamento, en fin... los últimos dias han estado un poquitín pesado, pero ahi la llevo... ya se va poniendo todo a la normalidad.

Ayer me avisaron que mi artículo para un libro sponsoreado por la Academia de la Fuerza Aerea de USA será publicado en Abril 2009, ahora esta en la fase de pre-prensa. Esto me pone muy feliz ya que será mi primera publicaciñon formal que tengo. El libro se llamará "Cyber Security and Global Information Assurance: Threat Analysis and Response Solutions", el brochure pueden verlo ACÁ y el sitio del libro http://tinyurl.com/baemfs. Mi capítulo hablo sobre Honeypots y Honeynets.

El Proyecto Honeynet se complace en anunciar que esta disponible para su descarga la version beta 1.3 de Honeywall, el mensaje a continuacion...

---

The Honeywall CDROM is a bootable CD that installs onto a hard drive and comes with all the tools and functionality for you to implement data capture, control, and analysis.

For more information, see: https://projects.honeynet.org/honeywall/ wiki or contact honeywall@public.honeynet.org

Tengo varias dias en Costa Rica y los chicos del Honeynet Costa Rica me dieron un trip al Volcan Irazú cerca de San Jose (Muchas gracias!). Los paisajes aca son bellisimos, todo verdee, el clima esta excelenteeeee!! El volcan Irazu esta enormee, me dijeron que la ultima actividad fue en los años 60 en donde nadie esperaba hace estuviera activo. Hasta la fecha ya no ha tenido actividad, y es uno de los lugares turisticos en donde sin duda alguna se tiene que visitar aca en CR.

A solo unos dias de que empiece el Workshop Anual del Proyecto Honeynet, ya nos encontramos en Costa Rica algunos miembros de Honeynet Proyect. Entre ellos estamos Einar Oftedal y Tor Inge Skaar de Norwegian Honeynet Project, Andre Gregio de Brazilian Honeynet Project Chapter, Jose Bogarin y Alonso Bogarin de Costa Rica Honeynet Project, Lance Spitzner que es el fundador del Proyecto Honeynet, y un servidor de Mexican Honeynet Project Chapter. Mañana martes y miercoles llegaran los demas 25 miembros de los demas Chapters, desafortunadamente 2 miembros cancelaron por cuestiones de trabajo. Será interesante estar 32 geeks de todo el mundo reunidosss

A solo unos cuantos dias de ir al Workshop Anual del Proyecto Honeynet que se llevará a cabo en San José, Costa Rica del 4 al 9 de Diciembre. Somos 34 asistentes los ya confirmados para el evento, de los cuales solo conozco a 2.. jajaja sera una muy buena oportunidad de charlar, intercambiar, escuchar y aprender de los demas miembros de la Alianza de Investigacion Honeynet.

Habra charlas chidas y podremos compartir las investigaciones que tenemos con los demas miembros, y mejor lo mas bonito es que todos vamos en el mismo canal: Honeypots & Honeynets. esperen noticias..!!

Pura Vidaaa!!!

Un dia antes del Congreso de Telemática la Plataforma SELF se lanzo en paralelo con Europa, India y America Látina, aqui en Ciudad Victoria le correspondio a Bea Busaniche de Fundacion ViaLibre hacer la presentación. El proyecto SELF (Science, Education and Learning in Freedom), financiado por la Unión Europea, es un proyecto internacional que planea proveer una plataforma para, colaborativamente, compartir y crear materiales libres para educación y capacitación en Software Libre y Estándares Abiertos.

SELF es

1. un repositorio con materiales de educación y capacitación libres sobre Software Libre y estándares abiertos 2. un ambiente de creación colaborativa para nuevos materiales

La presentación se transmitio por videoconferencia via Internet 2 a varias universidades.

Como toda la tarde la tendriamos libre, decidi llevar a Bea a unas cascadas que estan cerca de Victoria llamadas "Juan Capitan"... una de las maravillas naturales (sarcasmo!) de Cd Victoria. Fuimos Carlos, Bea, Jessica y Yo... lastima que no llevamos los trajes de baño, porque el agua estaba de lujo! El dia estaba especial... solecito, cervezas, buena platica.

El Jueves 6, inicio el 1er Congreso Internacional de Telemática en donde a las 3 pm iniciaban las charlas sobre Software Libre, Bea comenzo con su charla Software Libre y Estandares Abiertos, abordo el tema sobre la estandarización de OOXML como norma ISO asi tambien como las 4 libertades del Soiftware Libre, estuvo muuuy interesante la charla

A mi me toco a las 4.30 pm por parte del Proyecto Honeynet México, hubo varios detallitos como la imagen del proyector que no se alcanzaba a ver bien las topologías de Honeynets... pero bueno. Salio todo muy bien, tuve muy buenos comentarios de la charla y es lo que importa.

Muchas gracias a los organizadores del Congreso por la invitación!!

Por fin las fotos del 1er aniversario del Grupo de Usuarios de GNU/Linux de La Laguna llevado a cabo en la ciudad de Torreon, Coahuila.

Con la gente del GULAG

En la charla...

(cortesía crojas)

UPDATE: Reseña GULAG

Despues de varios días de ausencia, ya estoy de regreso en mi rancho. El Primer aniversario del GULAG fué todo un éxito. Estuvimos 3 ponentes invitados, Hugo dando la plática de nepenthes & Arania, Paola la charla "Vida libre aplicada", que por cierto me gusta mucho... en muchos aspectos que aborda en la charla me senti muy identificado, y un servidor dando la charla de Honeynets; y Guillermo con un Taller de Inkscape.

Muchas gracias a los organizadores por la invitación al evento, y por todas las atenciones que nos dieron antes, durante y despues del evento. La ciudad de Torreon me gusto mucho, tiene muchos lugares muy chidos. Esperemos que la ida a Cuatrocienegas ó Parral se haga realidad el próximo año para el segundo aniversario del GULAG. Me invitan nuevamente, ehh!!!

Fotos del Evento:

- de RIVE - de LinuxMan - de guivaloz

Hace unas cuantas semanas salio al aire la 3er Revista Bimestral Ciencia UAT, en donde al Proyecto Honeynet Mexico nos dieron la oportunidad de poder publicar un artículo llamado "Aplicaciones Prácticas de los Honeypots en la Protección y Monitoreo de Redes de Información". Me di la tarea de escanear el artículo para que lo vean como quedo.

Pueden descargar el pdf dando click en la imagen. (11 mb)

Tambien el artículo esta acá.

La version 1.2 de Honeywall ha sido liberada, ahora basado en FC6!! enseguida les paso el correo de Earl.

''The Honeynet Project and Research Alliance are excited to announce the release of Honeywall 1.2. This new version addresses a variety of bugs and adds new features, including

o Based on Fedora Core 6 o Newer version of Snort including VRT Ruleset & automated ruleset updates o Additional options for controlling the level of detail of data captured. o Build environment was updated to make it easier to build an entire roo from SVN (coming soon)

You can learn more at

HW 1.2 Download http://www.honeynet.org/tools/cdrom

HW 1.2 Manual http://www.honeynet.org/tools/cdrom/roo/manual

Bug Reporting https://bugs.honeynet.org (CDROM-roo-1.2)"

Pues sali a las 12 de la noche de hoy rumbo a Puebla, despues de 14 horas de viaje por fin llegue a Puebla... (demasiado cansado el viaje) para las 2 de la tarde ya estaba en la central y organizadores del evento ya me estaban esperando ahi. Fuimos a la BUAP, sede del Encuentro.. me comi una rica torta.. jaja traia muchisima hambre.

Hoy en la noche va a haber una fiesta del ENLi con los asistentes y los ponentes en un antro, que segun esto esta muy nice... haber que tal. Ahorita me encuentro en el hotel y mas de rato saldremos al antrillo. No creo desvelarme mucho, porque mi ponencia es a las 10 de la mañana. Ya mañana subire las fotos desde la BUAP.

Veo en la pagina oficial del ENLi 2005 (Encuentro Nacional de Linux 2005) que mi ponencia de Honeypots ha sido aceptada! =o)

Este Congreso esta siendo organizado por el Grupo de Usuarios de Linux en Puebla. La sede del evento es en la Facultad de Ciencias de Computacion de la Benemerita Universidad Autonoma de Puebla. Los dias en que se llevara a cabo el Congreso son del 19 al 21 de Octubre del 2005. Pueden checar los precios y demas conferencias que habra en el pagina oficial del evento.

El Lunes 23 de Mayo di una Conferencia sobre Honeypots en el 1er Simposium de Sistemas Computacionales del Tecnologico de Cd Victoria. Hubo muchos participantes en la conferencia. Me puse un poco nervioso :/ pero bueno, creo que salio bien la conferencia.

La presentacion esta en linea en esta direccion: Click AQUI!

Tambien rife un libro entre los participantes, que por cierto se lo gano Alexis.

Ayer me confirmaron la fecha del Simposium que tendra el Tec en donde dare una conferencia. Hablare sobre los Honeypots.. que son, como se manejan, metodos para monitorearlos, etc... ya tengo casi listo la presentacion. Va haber mas ponencias, pero no se de que trataran. Haber que tal se pone... =o)