© CERT-IPN © 2010 Apple Tech Talks Lisboa Neofelis High-interaction Honeypot Framework for Mac OS X João Franco - jfranco @ cert.ipn.pt
©CERT-IPN © 2010
Apple Tech TalksLisboa
NeofelisHigh-interaction Honeypot Framework for Mac OS X
João Franco - jfranco @ cert.ipn.pt
©CERT-IPN © 2010
AgendaAgenda IntroduçãoIntrodução
Conceito HoneypotConceito Honeypot
ObjectivosObjectivos
Descrição da arquitecturaDescrição da arquitectura
Cenários de estudoCenários de estudo
Trabalho realizadoTrabalho realizado
Conclusão e trabalho futuroConclusão e trabalho futuro
©CERT-IPN © 2010
IntroduçãoIntrodução Departamento de Engenharia InformáticaDepartamento de Engenharia Informática
FCTUC, Universidade de CoimbraFCTUC, Universidade de Coimbra
CERT-IPNCERT-IPN
Núcleo CSIRT do Instituto Pedro Nunes, criado Núcleo CSIRT do Instituto Pedro Nunes, criado por iniciativa interna do IPNlis em 2006 por iniciativa interna do IPNlis em 2006
VAD PortugalVAD Portugal
Representante Apple em PortugalRepresentante Apple em Portugal
©CERT-IPN © 2010
Conceito de HoneypotConceito de Honeypot
Recurso computacional constantemente Recurso computacional constantemente monitorizado, cujo o é objectivo é ser testado, monitorizado, cujo o é objectivo é ser testado, atacado e comprometido.atacado e comprometido.
Os dados recolhidos durante o ataque servirão como Os dados recolhidos durante o ataque servirão como para base para uma posterior análise.para base para uma posterior análise.
O valor de um honeypot é tanto maior quanto mais O valor de um honeypot é tanto maior quanto mais útil for a informação recolhida.útil for a informação recolhida.
©CERT-IPN © 2010
ObjectivosObjectivos
Instalar e manter um honeypot de alta-inferência para Instalar e manter um honeypot de alta-inferência para Mac OS XMac OS X
Implementar uma Implementar uma frameworkframework
Apoiar o CERT-IPNApoiar o CERT-IPN
Alertar a VAD Portugal para correcções de segurança Alertar a VAD Portugal para correcções de segurança necessáriasnecessárias
©CERT-IPN © 2010
Descrição da arquitecturaDescrição da arquitectura
©CERT-IPN © 2010
Descrição da arquitectura Descrição da arquitectura
©CERT-IPN © 2010
Cenários de estudoCenários de estudo
Inúmeros cenários possíveisInúmeros cenários possíveis
Estudados dois cenários comuns de ataque:Estudados dois cenários comuns de ataque:
Ataque por força BrutaAtaque por força Bruta Utilizador normal com credenciais fracasUtilizador normal com credenciais fracas
Exploração de um servidor HTTPExploração de um servidor HTTP Joomla/phpBB no nível de interfaceJoomla/phpBB no nível de interface
©CERT-IPN © 2010
Trabalho RealizadoTrabalho Realizado Implementação de KEXTsImplementação de KEXTs
Ocultação de ficheiros no sistemaOcultação de ficheiros no sistema
Ocultação de processosOcultação de processos
Ocultação de kext carregadosOcultação de kext carregados
Programação do NKEProgramação do NKE
Filtrar o tráfego de rede na interfaceFiltrar o tráfego de rede na interface
Implementação do KeyloggerImplementação do Keylogger
©CERT-IPN © 2010
Conclusão e Trabalho FuturoConclusão e Trabalho Futuro
Filtragem por detecção de padrões do fluxo Filtragem por detecção de padrões do fluxo de redede rede
Validação da implementação em ambiente Validação da implementação em ambiente controlado e realcontrolado e real
Análise e publicação de resultadosAnálise e publicação de resultados
©CERT-IPN © 2010
Thank you very much for your Thank you very much for your attention.attention.
Questions?Questions?
www.cert.ipn.ptwww.cert.ipn.ptjfranco @ cert.ipn.pt public @ cert.ipn.ptjfranco @ cert.ipn.pt public @ cert.ipn.pt