Creando un honeypot potente en Windows Server con Wazuh

Hola a todos. 

El otro dia, se me ocurrió crear un honeypot para Windows Server con Wazuh.

La idea es crear una carpeta jugosa, de tal manera que si un usuario malevolo entra por SMB a ella nos demos cuenta enseguida y nos lo muestre nuestro Wazuh.

Al fin y a cabo, una de las primeras cosas que se hacen cuando entran a nuestra intranet corporativa es ver que recursos compartidos tenemos disponibles y que hay dentro de ellos.

Por cierto, se presupone que tenemos una instalación de Wazuh:

https://documentation.wazuh.com/current/quickstart.html


Y un equipo Windows Server 20222 unido a el:

https://documentation.wazuh.com/current/installation-guide/index.html#installing-the-wazuh-agent


Me puse manos a la obra, creé un usuario jugoso "Admin1" con una contraseña de esas que están en listas como rockyou y demas.. facilonas de averiguar..



Además, por seguridad, he puesto la cosa para que no pueda iniciar sesión en ningun lado y que el usuario esté muy limitadido..


Creé una carpeta compartida con un nombre interesante para cualquier atacante solo con acceso a este usuario:




Lo siguiente que hice, fue crear una GPO para poder auditar la carpeta, y activar la auditoría en la carpeta jugosa. No voy a explicar paso como se hace.. hay mil tutoriales en Internet de como hacerlo, aquí teneis uno:

https://www.manageengine.com/latam/active-directory-audit/how-to/auditar-los-cambios-de-acceso-a-las-carpetas-compartidas.html









Y me puse a seguir un tutorial que hay en el blog de Wazuh, donde explican como monitorizar el acceso a carpetas en Windows..

https://wazuh.com/blog/how-to-monitor-folder-access-on-windows/

Pero !NO!
!No funciona!

He echo lo imposible para que Wazuh pille el evento en cuestión y me lo muestre pero no habia manera..

He visto que hay más gente que lo ha intentado y tampoco ha podido, si alguien puede, se agradece que me lo comente..

Asi que se me ocurrio un plan B: 

Que avise a Wazuh a través de una tarea programada.

El evento que nos interesa es el 4663



Creamos una tarea programada para que cuando se desencadene el evento, ejecute un archivo que sea capaz de añadir una linea de lo que ha ocurrido a un log personalizado en C:\Logs:



El archivo log_creator.bat que será lo que ejecute la tarea programada lo tengo ubicado en C:\Scripts y tiene el siguiente contenido:





Una vez creada la tarea programada, podemos comprobar que si entramos en la carpeta monitorizada, se añaden los registros a nuestro fichero de log:


Ahora, toca el turno de configurar Wazuh.


Para que Wazuh maneje este fichero de log, debemos crear un decodificador especifico para ello.
Añadimos lo siguiente en /var/ossec/etc/decoders/local_decoder.xml

<decoder name="custom_log">
 <prematch>Alerta del evento del honeypot</prematch>
 <regex>^(\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}) - (.*)$</regex>
 <order>timestamp, log_message</order>

</decoder>



Y añadimos una regla especifca para ello en el fichero /var/ossec/etc/rules/local_rules.xml

<group name="custom_logs,scheduled_task">
  <rule id="174002" level="12">
    <decoded_as>custom_log</decoded_as>
    <description>Alerta del evento del honeypot</description>
  </rule>

</group>

Tenemos que reiniciar Wazuh para que los cambios se hagan efecto. lo podeis hacer desde la misma página de modificación de ficheros de reglas.



También, en el agente de Wazuh del equipo Windows Server que estamos monitorizando, debemos de añadir en su archivo de configuración C:\Program Files (x86)\ossec-agent\ossec.conf lo siguiente para que nos pille el archivo de log que hemos creado:





Ahora hay que reiniciar el cliente de Wazuh en el cliente  (Se puede hacer desde el mismo programa de configuracion del cliente):





!Bien!

Todo configurado..

¿Lo probamos?

Entramos al portal de Wazuh, nos vamos al equipo monitoriado, Threat Hunting y events..








Aparece el evento en Wazuh!

Ahora, si un malechor entra a la carpeta señuelo, nos deberia de alertar Wazuh.

Si entramos en los detalles del evento, nos dirá que está pasando.

Una vez que Wazuh nos avisa del tema, se nos puede ocurrir mil ideas para gestionar esta alerta como la posibilidad de que nos avise por correo:

https://wazuh.com/blog/how-to-send-email-notifications-with-wazuh/

O alguna respuesta personalizada con Active Response como hacer algo con el firewall de Windows..

O cualquier cosa que se nos ocurra..

Espero que les haya gustado este artículo.

Gracias.

Un saludo.



Entradas populares de este blog

Protección en el protocolo SMB

Imagen
  Tipos de Versiones SMB y su Impacto en la Seguridad en Windows Server Message Block (SMB) es un protocolo esencial en los sistemas Windows que permite compartir archivos, impresoras y otros recursos a través de una red además de ser necesario para el buen funcionamiento del Directorio Activo. A lo largo de los años, SMB ha pasado por diversas actualizaciones que han mejorado su funcionalidad y seguridad. Sin embargo, la coexistencia de versiones antiguas y modernas en redes empresariales plantea importantes desafíos de seguridad. SMB 1.0: Una Amenaza Persistente Lanzada en los años 80, SMB 1.0 fue ampliamente utilizada en sistemas como Windows NT y Windows 95. Aunque fue fundamental en su época, esta versión presenta varias vulnerabilidades que la hacen inadecuada para redes actuales: Sin cifrado: Los datos se transmiten en texto claro, lo que facilita su interceptación por parte de atacantes. Autenticación débil: Usa métodos obsoletos como NTLMv1, que son susceptibles a ataq...
Leer más

No useis direcciones IP en Windows. !Usad nombres de red!

Imagen
Conexión remota en Escritorio Remoto con una dirección IP.   El uso de nombres de red en vez de direcciones IP en entornos Windows ofrece beneficios importantes en términos de seguridad, especialmente cuando se utiliza Kerberos para la autenticación como viene siendo por defecto. Detallamos las razones clave por las que esta práctica es recomendable; 1. Compatibilidad con Kerberos Kerberos, como protocolo de autenticación en Active Directory, depende de los nombres de red para realizar su función de autenticación segura. Cuando se intenta establecer una conexión con direcciones IP, Kerberos no puede verificar la identidad del servidor, lo que lleva a un posible retroceso a métodos de autenticación menos seguros, como NTLM (un protocolo inseguro). Esta degradación disminuye la protección ya que Kerberos ofrece autenticación mutua basada en el uso de nombres de dominio completos. Microsoft ya anunció en octubre de 2023  su intención de desaprobar todas las versiones de NTLM, inc...
Leer más

Uso de múltipes proveedores de ciberseguridad e identidad

Imagen
¿Es mejor usar las herramientas de gestión de identidad y seguridad de un único proveedor o es mejor usar diferentes vendors?   Algunas veces nos vemos en la necesidad de establecer una estrategia en la adopción de las soluciones de seguridad y del uso de identidades en la empresa.    ¿Es más beneficioso trabajar con un solo proveedor para todas las soluciones de seguridad o es mejor adoptar una estrategia con múltiples proveedores? Ambas opciones tienen sus pros y contras.   Por un lado, la estrategia de un único proveedor nos permite beneficiarnos de una mayor integración, unificación y control desde plataformas centralizadas de herramientas como EDR , MFA, firewalls, etc.).  Esta puede resultar en una experiencia de administración más sencilla, una mayor compatibilidad entre aplicaciones y una rápida implementación. Además de una visión de la seguridad más unificada, en situaciones de emergencia, contar con un solo punto de contacto puede acelerar la resoluc...
Leer más