Honeyfiles: Diseño y detección para mejorar la seguridad interna

blackpist0lblackpist0l
3 min read

Table of contents

1. ¿Qué es un honeyfile?

Es un archivo falso diseñado para detectar intrusos. Este suele ser dejado a la vista de un atacante para llamar su atención y que interactúe con él, de manera que dispara una alerta al equipo de seguridad.[1]

Un ejemplo podría ser el archivo reporte-pentest-agosto-2025.pdf en el equipo de algún miembro de TI. ¿Por qué sería relevante?

Bueno... Un atacante podría pensar que contiene vectores de ataque o vulnerabilidades sin parchear.

2. Diseñando el archivo

Lo más importante de un buen honeyfile es que sea atractivo y no evidente. Un mal honeyfile, puede lucir así: Un archivo llamado ssh-pass-server.txt en un equipo de RH.

Por lo tanto, te escribo algunas buenas prácticas y malas prácticas.[2]

Buenas prácticas

  • Usa nombres con referencia a otros sistemas en la red, manuales de usuario, documentación de la seguridad, propiedad intelectual, predicciones de mercado, inteligencia, información financiera, lista de correos, etc.

  • Todo el archivo debe de ser falso pero coherente; desde el nombre, metadatos y contenido.

  • Rota los archivos y mantelos actualizados: un archivo intacto por mucho tiempo pierde credibilidad.

Malas prácticas

  • Evita nombres genéricos que no encajan con el equipo.

  • Ubicaciones poco realistas. Ejemplo: C:\Users\Public\important_data.xlsx

  • Contenido inverosímil. Ejemplo: archivo users.txt con admin:superpassword

3. Evitando falsos positivos

Las alertas que llegan al equipo SOC por medio de los SIEM son bastantes y es necesario optimizar cada de una de las reglas para evitar falsos positivos; pero en este caso sobre nuestros honeyfiles, por lo tanto, considere lo siguiente:

  • Coloque los honeyfiles en directorios poco frecuentes para el usuario.

  • Excluye el disparo de la alerta en usuarios que normalmente interactuan con el Honeyfile.

Para entornos avanzados, considera el uso de sistemas EDR que permitan correlacionar eventos en torno al honeyfile.

4. Que hacer con tus Honeyfiles

Lleva un inventario centralizado de los honeypots en la red, es muy posible que dentro de unas semanas te olvides de al menos unos, si tienes cientos de estos. Prioriza datos como:

  • Equipo ubicado

  • Ruta

  • Fecha de creación

  • Archivo

  • ¿Quién lo creo?

  • Status

5. ¿Como detectar un honeypot?

Pues bien, ahora que tiene noción de cómo diseñar un honeyfile, puede empezar a discernir con los archivos que se encuentre en algún pentest, considera lo siguiente:

  • Revisar los metadatos en busca de incongruencias.

  • Permisos muy liberales del tipo (Everyone:Full Control o 777) en archivos claramente importantes.

Si no está seguro de si se enfrenta a un archivo legítimo o falso, puede probar con:

  • Descargar el archivo (quizás esto no detone la alerta) e interactúe en un entorno aislado.

Referencias

  1. [Imagen de portada] Magritte, R. (1953). Golconda [Pintura]. Museo de Arte Moderno de Metz, Francia.

  2. https://docs.rapid7.com/insightidr/honey-files/

  3. Jim Yuill, Mike Zappe, Dorothy Denning, and Fred Feer. 2004.Honeyfiles: Deceptive files for intrusion detection. In Proceedings the 5th Annual SMC Information Assurance Workshop. IEEE, 116–122. (https://faculty.nps.edu/dedennin/publications/honeyfiles.pdf)

0
Subscribe to my newsletter

Read articles from blackpist0l directly inside your inbox. Subscribe to the newsletter, and don't miss out.

blueteamHoneypot

Written by

blackpist0l
blackpist0l