Conoce el honeypot Cowrie, compatible con servicios como SSH y Telnet

Escrito por Sergio De Luz
Seguridad

Un honeypot es una herramienta de seguridad informática que nos permitirá detectar y obtener información de un posible atacante a nuestra red. Este tipo de programas sirven no solo para protegernos frente a un posible ataque, sino también para alertarnos, para estudiar a un posible atacante y adelantarnos a sus técnicas e incluso ralentizar un posible ataque. Cowrie Honeypot es una herramienta que simulará ser un servidor SSH y Telnet.

Principales características del Cowrie Honeypot

Esta herramienta Cowrie tiene características muy interesantes, como por ejemplo simular un sistema de archivos completo con la posibilidad de crear y borrar archivos, de esta manera, un posible atacante podrá creerse que está en el sistema operativo real, cuando en realidad está dentro del Honeypot. Otra característica interesante es que podremos añadir ficheros falsos para que si por ejemplo el atacante hace un “cat” a un archivo como /etc/passwd se crea que está leyendo todos los usuarios del propio sistema.

Todos los logs son almacenados en un formato UML compatible, de esta manera, podremos estudiar detalladamente todos los pasos que ha realizado un posible atacante. Cowrie también es capaz de guardar archivos descargados de Internet a través de wget o cURL, o también de archivos subidos a través del protocolo SFTP o SCP para posteriormente estudiar a fondo qué son esos archivos que el ciberdelincuente ha intentado colarnos en el sistema. El protocolo SFTP permite tanto la subida de archivos al servidor como también la descarga, los archivos subidos estarán en el directorio “dl/” donde también estarán todos los archivos descargados con wget.

Cowrie está basado en el honeypot Kippo, pero tiene características adicionales que lo hacen mucho más interesante. Por ejemplo, soporta comandos ejecutados a través de SSH (SSH exec), de esta manera, el atacante podrá enviar comandos.

También es capaz de hacer un log de todos los intentos de conexiones TCP que intente realizar. También es capaz de hacer un reenvío de las conexiones SMTP a un honeypot SMTP diseñado para tal fin. El único requisito para hacer funcionar esta herramienta Cowrie Honeypot es tener instalado Python 2.7, actualmente Python3 no lo soporta, y también necesitamos Python-virtualenv.

Descarga, instalación y documentación de Cowrie

En la web oficial del proyecto Cowrie en GitHub tenemos disponible todo el código fuente de este proyecto, para su instalación deberemos descargar o clonar el repositorio y ejecutarlo con Python. En la web oficial del autor de Cowrie tenéis una completa descripción de este honeypot así como ejemplos de los logs que es capaz de mostrar a los administradores, de esta forma, podrán estudiar a los atacantes en detalle.

Os recomendamos acceder a este completo manual de descarga, instalación y funcionamiento del honeypot Cowrie. En esa web encontraréis todo lo necesario para la puesta en marcha de esta gran herramienta. Os recordamos que en nuestra sección de seguridad informática también tenéis una gran cantidad de manuales sobre cómo proteger vuestra red y vuestros equipos.


Continúa leyendo
  • Akrian

    Justamente, hace unos días que probaba cowrie.

    Lo tuve corriendo en un VPS durante un par de semanas y no os podéis imaginar no ya los intentos de acceso, que se contaban por miles, si no la cantidad de malware que subieron al servidor.

    Para tener el SSH en el puerto 22 y con una contraseña débil… Yo, puerto cambiado y el único método de autenticación, clave pública.

Últimos análisis

Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10