L A B Y R I N T H

Loading

Gartner Peer Insights

Informacje o wydaniu 2.0.52

  1. Strona główna
  2. Aktualności
  3. Informacje o wydaniu 2.0.52

20Jun

1. NOWOŚCI I ULEPSZENIA

1.1. Dostosowanie ustawień Punktów

To wydanie początkuje rozwój w zakresie zwiększania liczby parametrów dostosowywania Punktów, które zostaną utworzone i uruchomione w ramach procesu generowania (Generate).

Wśród wielu rzeczy, dodaliśmy możliwości obejmujące między innymi:

  1. Wybierania nazw hostów: można ustawić wartość statyczną lub użyć słownika (wordlist) dla nazw hostów;
  2. Określenia listy MAC Organization Unit Identifier, 3-bajtowej części adresu MAC, która identyfikuje dostawcę sprzętu, na podstawie której będą generowane adresy MAC dla Punktów;
  3. Zmiany portów, na których usługa lub usługi będą "nasłuchiwać" (jeśli są dostarczane przez określony typ Punktu);
  4. Ustawienia statycznej listy użytkowników i odpowiednich haseł, które zostaną utworzone w samym Punkcie lub wybranie ich ze słownika (Usernames & Passwords);
  5. Ustawienia portów, na których działają usługi sieciowe, dołączanie certyfikatów TLS;
  6. Jeśli dany typ Punktu zapewnia kilka usług, możliwe jest wyłączenie lub włączenie niektórych z nich. Na przykład, wyłączenie SNMP i HTTP i pozostawienie tylko usługi S7comm dla typu Punktu Siemens Simatic S7-1200, itp.

Pomimo zaktualizowanej funkcjonalności, wdrażanie i konfigurowanie platformy decepcji  Labyrinth pozostało prawie niezmienione.


Zaktualizowany proces konfiguracji sieci Honeynet został opisany w Podręczniku użytkownika systemu (User Guide v2.0.52).

 
 

Warto zauważyć, że to wydanie jest początkowym etapem rozwoju platformy Labyrinth w tym kierunku.

Przyszłe ulepszenia będą obejmować, ale nie ograniczać się, do następujących:

  • możliwość przesyłania plików stron trzecich do Punktu; 
  • zwiększenie liczby ustawień dla Universal Web Point;
  • możliwość przesyłania danych do wabików, które będą używane do ich wypełniania, a mianowicie PostgreSQL, MySQL, Universal Web Point, itp.

 

1.1.1. Konfigurowanie nowych typów Punktów

Ustawienia spersonalizowanych typów przynęt są prezentowane jako tekst w formacie YAML.

Aby dodać nowy typ przynęty, przejdź do Points -> Types podmenu I kliknij przycisk „+” (dodaj):

Zostanie wyświetlone okno dialogowe, w którym należy ustawić parametry konfiguracji:

Wymagane parametry opisano w tabeli poniżej:

Nazwa

Opis

ID

Symboliczny identyfikator tej konfiguracji / typ Punktu.

Name

Nazwa konfiguracji.

Description

Opis konfiguracji.

Point Type Base

 Baza typu Punktu - typ wabika, który jest używany jako podstawa.
Na przykład, SSH daemon, Universal Web, FTP Server, itp.

 

Hostnames / usernames /  passwords wordlists

Opcjonalne pole umożliwiające określenie list (słowników)
nazw hostów, nazw użytkowników i odpowiadających im haseł.
Jeśli nie zostanie zaznaczone, w razie potrzeby zostaną użyte te same listy co przy konfiguracji Honeynet.

Tags

Tagi, według których filtrowane są listy typów Punktów (wabików).


Każda baza typu Punktu posiada własny zestaw parametrów, które są opisane w samej konfiguracji w postaci komentarzy. Przykład domyślnej konfiguracji:

An example of an already customized configuration:

Przykład już dostosowanej konfiguracji:

W rezultacie otrzymujemy typ Punktu, który można wykorzystać w konfiguracji istniejących lub tworzeniu nowych sieci Honeynet:

 

Podczas tworzenia spersonalizowanego typu Punktu i wybierania bazy typu Punktu, na podstawie której chcemy utworzyć nowy typ Punktu, użytkownikowi zostanie zaproponowana konfiguracja, która w większości przypadków może działać bez modyfikacji.

Każda konfiguracja posiada szczegółowy opis, który jest przedstawiony w formie szczegółowych komentarzy. Dostarczają one dodatkowych informacji o ustawieniach i przeznaczeniu każdego parametru.

1.1.2. Modyfikacje procesu konfiguracji Universal Web Point

Główną cechą Universal Web Point jest możliwość emulowania interfejsów sieciowych dostępnych w rzeczywistej infrastrukturze, określonej w konfiguracji.

Zaktualizowany proces konfiguracji tego typu wabika wygląda następująco:

  1. Spośród opcji bazy typu Punktu wybierz Universal Web Point;
  2. W sekcji "Point config" pojawi się konfiguracja z komentarzami pomocniczymi, w której należy wprowadzić jedną zmianę - ustawić parametr "upstream_url" .
  3. Jeśli chcesz użyć nazwy domeny zamiast adresu IP w nagłówku HTTP Host, powinieneś również określić parametr "server_name".

Następnie nowy typ punktu pojawi się na liście dostępnych typów wabików w konfiguracji sieci Honeynet.
 

1.1.3. Migracja istniejących konfiguracji Honeynet

Podczas aktualizacji uruchomione już Punkty będą nadal działać jak zwykle. Jednocześnie system Labyrinth może zostać ponownie wygenerowany w dowolnym momencie, zgodnie ze standardową procedurą.

Konfiguracja istniejących sieci Honeynet zostanie zmigrowana automatycznie, z wyjątkiem następujących przypadków:

  • Universal Web Point

Ponieważ ustawienia adresu URL usługi internetowej, z którą współpracują Punkty tego typu, muszą być wyraźnie określone w utworzonej konfiguracji, Punkty tego typu zostaną usunięte z konfiguracji Honeynet.

Powyżej podano pobieżny opis migracji Universal Web Point, bardziej szczegółowe instrukcje są dostępne w nowej wersji Podręcznika użytkownika systemu (User Guide v2.0.52).

  • Windows 10 Host

Jeśli ten typ Punktu korzysta z proxy RDP, należy utworzyć odpowiednie typy Punktów
i zmienić ustawienia sieci Honeynet podobnie jak w przypadku Universal Web Point.

 

1.2. Nowy typ wabika (Punktu): ClientOS

Nowy typ wabika symuluje działania klienta i wykrywa próby ataków MITM oraz działania narzędzi takich jak Responder.

Głównym zadaniem tego typu Punktu jest celowe tworzenie "szumu" w sieci, co zwiększa prawdopodobieństwo przyciągnięcia atakującego.

Aby osiągnąć ten cel, ten typ Punktu wykonuje następujące typy żądań w regularnych odstępach czasu:

  1. Rozpoznawanie nazw hostów i domen poprzez DNS, mDNS, LLMNR i NetBIOS;
  2. Żądania HTTP do określonych zasobów internetowych określonych na liście w konfiguracji;
  3. Żądania listy zasobów plików za pośrednictwem protokołu SMB (Windows File Share).

Ten typ Punktu może również opcjonalnie odpowiadać na żądania rozpoznawania nazw NetBIOS w sieciach Windows.

Dodatkowo posiada mechanizmy wykrywania prób lub wykonywania ataków MITM, a mianowicie wykrywanie:

  • ARP spoofing;
  • NBT/LLMNR/mDNS resolve poisoning;
  • przechwytywanie żądań HTTPS.

Każdą ze zdefiniowanych funkcji można dostosować, a niektóre z nich można w razie potrzeby wyłączyć.

 

1.3. Usuwanie przestarzałych funkcji

1.3.1. Wycofanie skanowania sieci Honeynet

Wraz z dodaniem możliwości bardziej elastycznego konfigurowania punktów, opcja skanowania sieci w Honeynets wymaga aktualizacji i dlatego została usunięta z ustawień.

1.3.2. Wycofanie vsftpd-backdoor na rzecz nowego  wabika dla FTP

Dotychczasowy vsftpd-backdoor został zastąpiony przez nowy typ Punktu - serwer FTP (ftpd).

vsftpd backdoor to luka, która istniała w vsFTPd 2.3.4 i pozwalała atakującemu na dostanie się do serwera poprzez ustawienie hasła według określonego wzorca. Luka ta pochodzi z 2011 roku i dlatego nie jest ani istotna, ani interesująca z punktu widzenia bezpieczeństwa.

Zamiast tego, FTP Server Point może być elastycznie dostosowywany do konkretnych potrzeb i celów. Na przykład:

  1. Ustawienie portu, na którym serwer FTP będzie "nasłuchiwał";
  2. Włączenie lub wyłączenie aktywnego trybu pracy ftp;
  3. Zmiana banera usługi, który będzie wyświetlany podczas połączeń klienta;
  4. Zezwolenie lub odmowa dostępu dla użytkownika anonimowego;
  5. Ograniczanie dozwolonych lub zabronionych poleceń FTP, itp.

1.3.3. Sambacry vs nowy typ Punktu serwera plików Samba

Podobnie jak w przypadku vsftpd-backdoor, zaktualizowany typ Punktu serwera plików Samba został dodany w celu zastąpienia dotychczasowego wabika dla podatności SambaCry.

 

2. POPRAWKI

2.1. Walidacja pola wprowadzania nazwy użytkownika

Ograniczenia dotyczące znaków używanych w nazwach użytkowników zostały ulepszone. Problem, który wcześniej pozwalał nazwom użytkowników składać się wyłącznie ze znaków spacji, został rozwiązany w najnowszej aktualizacji.
  
2.2. Naprawiono błąd podczas uruchamiania procesu generowania z poziomu Mapy

Podczas generowania wszystkich sieci Honeynet z narzędzia Mapy (strona Map) występował błąd, który został naprawiony w tym wydaniu.

Teraz można generować sieci Honeynet (tj. automatycznie tworzyć Punkty) indywidualnie dla każdej sieci Honeynet z listy Honeynets lub wszystkie razem z poziomu Mapy.

2.3. Program tworzacy wielu najemców (Loader Multitenancy)

Naprawiono błąd występujący podczas ładowania listy najemców: na stronie Multitenancy brakowało programu ładującego. W pewnych warunkach nie pozwalało to użytkownikowi zrozumieć, czy lista jest ładowana, czy też jest już kompletna.

 

Zapisz się do naszego newslettera

You successfully subscribed!