El Producto

Honeypots

¿Cómo funcionan los Honeypots de XDRnet?

Los honeypots de XDRnet reproducen servicios y protocolos utilizados en entornos corporativos reales (DNS, Kerberos, LDAP, SMB, WinRM, LLMNR/NetBIOS, ClearPass, vSphere). Estas simulaciones atraen consultas, autenticaciones y tráfico malicioso para registrar la metodología del atacante sin exponer la infraestructura productiva.

1. Simulación fiel de servicios corporativos

Cada honeypot replica el comportamiento de un servicio real utilizado en redes IT, OT e infraestructuras híbridas.

Estos módulos simulan:

  • Servidores DNS de Active Directory (CoreDNS)

  • Kerberos y autenticación AS-REQ

  • Directorios LDAP con usuarios y estructuras organizativas

  • Servicios SMB con pipes MSRPC

  • Protocolos LLMNR y NetBIOS para resolución de nombres

  • Endpoints WinRM para capturar credenciales NTLM

  • Entornos ClearPass y vSphere para login y sesiones

Su objetivo es reproducir interacciones reales que los atacantes esperan encontrar durante fases de reconocimiento y explotación.

2. Captura de reconocimiento y enumeración del atacante

Cada servicio registra de forma estructurada las acciones realizadas por el adversario:

  • Consultas DNS (dig, enumeraciones de dominio)

  • Solicitudes Kerberos vulnerables a AS-REP Roasting

  • Búsquedas LDAP y extracción de atributos

  • Enumeración SMB, directorios y llamadas RPC

  • Tráfico LLMNR/NBNS utilizado para spoofing

  • Intentos de autenticación WinRM y envío de credenciales

  • Accesos o sesiones dentro de interfaces simuladas

Toda la actividad queda reflejada en logs JSON para análisis y correlación.

3. Detección temprana mediante comportamiento ofensivo realista

Los honeypots están diseñados para atraer:

  • Fuerza bruta y abuso de Kerberos (GetNPUsers, kinit, impacket)

  • Enumeración de directorios y servicios (ldapsearch, enum4linux)

  • Spoofing y captura de hashes NTLM (Responder)

  • Exploración de SMB, MSRPC y recursos compartidos

  • Intentos de conexión remota a WinRM mediante evil-winrm

  • Accesos a paneles simulados (ClearPass, vSphere)

El atacante cree estar interactuando con sistemas reales, revelando así sus tácticas y herramientas.

4. Registro detallado para análisis forense y Threat Intelligence

Los honeypots generan evidencia precisa del comportamiento del atacante:

  • Hashes NTLM y credenciales enviadas

  • Consultas dirigidas a servicios clave

  • Sesiones, movimientos internos y errores capturados

  • Intentos de acceso a recursos inexistentes

  • Comandos o intentos de enumeración

  • Actividad SMB o RPC anómala

  • Accesos a paneles o interfaces emuladas

Esta información permite reconstruir la metodología ofensiva, identificar TTPs y generar nuevos IOCs.

5. Aislamiento total y cero riesgo para entornos productivos

Los módulos operan como servicios señuelo completamente separados de la infraestructura real.

Esto garantiza:

  • No afectan al dominio ni a sistemas críticos

  • No exponen información legítima

  • No requieren agentes en producción

  • Aíslan por completo la interacción con el atacante

  • Permiten estudiar ataques reales sin impacto operativo

Los honeypots funcionan como una capa adicional de seguridad basada en engaño estratégico.

6. Integración con la plataforma y valor estratégico

Los honeypots enriquecen todo el ecosistema de XDRnet:

  • Mejoran la detección de amenazas avanzadas

  • Complementan Digital Twin y Detección/Respuesta

  • Reducen falsos positivos al identificar actividad inequívocamente maliciosa

  • Aportan inteligencia útil para SOC, SIEM y análisis de incidentes

  • Permiten anticipar patrones de ataque dentro de la red

Son una pieza clave para entender cómo opera un atacante dentro de un entorno corporativo antes de que alcance objetivos reales.