Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Kom i gang med HoneyDrive Honeypot
17-04-2015, 03:19 (Denne besked var sidst ændret: 19-05-2015, 00:33 af iTick.)
#1
Kom i gang med HoneyDrive Honeypot
Indledning:
Der er blevet ønsket nogle informationer om honeypots, så her er en lille guide til at hjælpe dem i gang, der gerne vil have et indblik i, hvordan det virker.
Jeg har med vilje valgt en færdigbygget distro, for at slippe for at skulle beskrive installation og opsætning af denne.

Produktet vi vil se lidt på, er HoneyDrive version 3 fra Bruteforce.gr. Bemærk at den første version hed 0.1 og den næste version hed 0.2, men da både brugerne og ophavsmanden synes det var lidt underligt, sprang man der efter direkte til version 3. Det er en VM og er bygget til Oracle VirtualBox.

Om Honeydrive:
HoneyDrive er en samlig af honeypots, så man skal vælge hvad man vil køre. Der er et overlap i de porte de forskellige honeypots lytter på, alt efter hvilke services de virker med. Og der er forskellige typer honeypots. Her til, er der nogle scripts og nogle web interfaces til at se statistikker osv med. HoneyDrive er baseret på Ubuntu. Brugeren og koden til Honeydrive er honeydrive:honeydrive, dog bliver man automatisk logget på, når den booter. Denne bruger er en sudo bruger.

Kippo:
Kippo er en medium-interaction SSH honeypot. Dette betyder, at en bruger/hacker der f.eks. har held med at brugeforce koden, faktisk kan indtaste kommandoer og få nogen lunde realistisk output tilbage. Outputtet er statisk, så det er ret nemt at se, det er en honeypot, hvis man bare er opmærksom på det. Man kan godt ændre disse statiske ting, og ændre i filsystemet, som f.eks. lave nye mapper, og definere nye kommandoer, ændre i nuværende osv., men det er ikke just en dans på roser.
Når man bruger Kippo, vil hele brugerens session blive gemt, og man kan så afspille denne log, for at se alt hvad brugeren gør. Man kan få et indblik i, hvordan hackerne arbejder. De filedownloads brugeren udfører, vil blive gemt, så du kan se på dem efterfølgende.
Selv om brugeren forsøger at eksekvere de filer, der bliver downloaded, sker der ikke noget, så man skal ikke være bange for at blive inficeret med noget.

Kippo startes med følgende kommando:
Citer:$ sh /honeydrive/kippo/start.sh
Og stoppes med:
Citer:$ sh /honeydrive/kippo/stop.sh

Så vidt jeg husker, vil Kippo ikke køre som root.
Når først Kippo er kørende, er det bare at vente på, nogen bider på krogen.
Det sjove er selvfølgelig at se de data der bliver samlet.
Man skal selvfølgelig huske at hive HoneyDrive af nettet, da det kræver man startet Apache2 og det gøres med:
Citer:$ service apache2 start

Start en browser og besøg "http://127.0.0.1/kippo-graph/".

Jeg har sat nogle screenshots ind, men det giver selvfølgelig et bedre billede, hvis man selv kan kigge. Jeg viser heller ikke det hele, så se det som en appetitvækker.


.png   ki_gra_7.PNG (Størrelse: 102,93 KB / Downloads: 42)


.png   ki_gra_3.PNG (Størrelse: 37,76 KB / Downloads: 25)

Kippo gemmer downloaded filer i "/honeydrive/kippo/dl/" og de aktivitetslogs der bliver dannet, når en logger ind på Kippo "ssh server", ligger i "/honeydrive/kippo/log/tty/".

Dionaea:
En anden form for honeypot er Dionaea og denne virker helt anderledes. Det er ikke meningen, den skal have nogen interaktion med brugeren.
Den er bygget til at samle malware med. Oftest noget der kommer fra bots, der "surfer" nettet efter ofre, den kan angribe automatisk.
Derfor lytter den efter bestemte services, og når der kommer en request, svarer den så godt den kan, med det for øje, at få maskinen "inficeret". Maskinen bliver selvfølgelig ikke inficeret, men Dionaea downloader malwaren, så den kan researches. Det er selvfølgelig mest interessant, hvis man gerne vil reverse malwaren og undersøge malware trends. Og selvfølgelig evt. samle 0-days op til analyse.

Dionaea startes med:
Citer:$ sh /honeydrive/dionaea-vagrant/runDionaea.sh

For a se statistikker fra Dionaea, bruger jeg DionaeaFR og dette startes med:
Citer:/honeydrive/DionaeaFR$ python manage.py runserver

Start så en browser og besøg "https://127.0.0.1:8000/".

Jeg kan ikke huske om DionaeaFR kun lytter på localhost, men det er selvfølgelig en god idé at sørge for, den ikke kan nås fra Internettet, når man kigger på disse data.


.png   dio_binary.PNG (Størrelse: 83,42 KB / Downloads: 24)


.png   dio_fr_5.PNG (Størrelse: 39,47 KB / Downloads: 16)

Dionaea gemmer malware, den har hentet/modtaget i "/opt/dionaea/var/dionaea/binaries/", så det kan være en god idé at holde lidt øje her.

Netstat med Kippo og Dionaea kørende:


.png   honey_netstat.PNG (Størrelse: 135,48 KB / Downloads: 22)

Som man kan se, kan der være ret meget traffik.
Jeg har faktisk også været ude for, at et helt klasse C netværk kørte SSH bruteforce eller dictionary attack mod min honeypot. Det må man sige at være organiseret kriminalitet.

OBS:
For at få noget traffik på en honeypot, skal den selvfølgelig kunne tilgås fra Internettet. Enten direkte på nettet, eller via NAT eller lign.
Vær opmærksom på at Apache automatisk starter på HoneyDrive, så vis man booter HoneyDrive, og maskinen er direkte på nettet, vil alle i verden kunne se Kippos statistikker. Og det må siges at være et lidt for tydeligt hint for en hacker, om at det er en honeypot. Et andet problem med dette er, at hvis man bruger en anden honeypot som lytter på port 80, vil porten allerede være i brug af Apache. Det anbefales at slå dette fra.
En lille fodnote: Hvis du sætter den direkte på Nettet og host operativsystemet er windows, skal du sikre dig, din windows maskine ikke får en offentlig IP, og ikke kan tilgås fra Internettet. Desværre kan man ikke bare deaktivere hostens netkort, så vil guest operativsystemet (HoneyDrive) heller ikke være tilgængelig. Et trick kan være at lade netkortet på hosten (windows) være aktivt, men slå IPv4 og IPv6 fra.
Disse udfordringer har man ikke med Linux som host operativsystem.
Når HoneyDrive er bootet, så vil jeg anbefale at lave en "netstat -antp" og en "netstat -anup", så man kan kontrollere, der ikke kører services der ikke skal kunne tilgås fra Internettet. Nogle services vil altid køre og det er ok, så længe de kun lytter på localhost/127.0.0.1.

Mere:
Ud over det vi har været i gennem, indeholder HoneyDrive følgende:
Honeyd, Amun, Glastopf, Conpot, Wordpot. Thug, PhoneyC, LaBrea, Tiny Honepot, IIS Emulator, INet Sim, Maltrive, en masse interfaces til at se statistik med, og en del andre tools.
Jeg har dog kun erfaring med Kippo Og Dionaea og kører altid disse to samtidig.
Den readme file der er under download linket, sammen med HoneyDrive, er et must-read.
Lige når man har bootet HoneyDrive, vil der være en hel del opdateringer. Om man vil opdatere det hele eller ej, er valgfrit, man skal dog være opmærksom på, at opdateringer muligvis gør, at noget ikke fungerer.
Er man interesseret i det, findes der en masse på nettet om disse ting. Det er et stort område, og denne guide er meget kort. Det er min intention at få folk i gang, og at i får lidt blod på tanden. Og så selv finde nogle flere informationer om de enkelte elementer.

Det kan anbefales at lave nogle små scripts, der viser interessante mapper, starter eller stopper den eller de honeypots, man ønsker at køre. Det har jeg gjort.

Links:
Bruteforce.gr/honeydrive
Sourceforge Download
VirtualBox Download
Kippo
Dionaea
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
17-04-2015, 07:19
#2
RE: Kom i gang med HoneyDrive Honeypot
Super guide!
Find alle beskeder fra denne bruger
Citer denne besked i et svar
17-04-2015, 12:57
#3
RE: Kom i gang med HoneyDrive Honeypot
(17-04-2015, 07:19)iloveshellsec Skrev: Super guide!

Tak. Jeg håber folk kan bruge det og de kommer i gang med at rode med honeypots.
Der er flere lag sjov i det, når man ser folk navigere rundt på Kippos "SSH server".

Dette er ikke min video, men det er utroligt, hackeren ikke ser alle de tegn der er, der siger det er en honeypot. Der er endda en bruger der hedder kippo på maskinen. lol.
https://www.youtube.com/watch?v=f5EwDXJJaG4
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
20-04-2015, 11:17 (Denne besked var sidst ændret: 20-04-2015, 11:44 af iloveshellsec.)
#4
RE: Kom i gang med HoneyDrive Honeypot
(17-04-2015, 12:57)iTick Skrev: Tak. Jeg håber folk kan bruge det og de kommer i gang med at rode med honeypots.
Der er flere lag sjov i det, når man ser folk navigere rundt på Kippos "SSH server".

Dette er ikke min video, men det er utroligt, hackeren ikke ser alle de tegn der er, der siger det er en honeypot. Der er endda en bruger der hedder kippo på maskinen. lol.
https://www.youtube.com/watch?v=f5EwDXJJaG4

https://www.youtube.com/watch?v=Mb5cyGG4NJY part 1
https://www.youtube.com/watch?v=TgKUa0nSBLE part 2
Dagen kan kun blive god, efter sådan en film
Find alle beskeder fra denne bruger
Citer denne besked i et svar
22-04-2015, 01:09
#5
RE: Kom i gang med HoneyDrive Honeypot
(20-04-2015, 11:17)iloveshellsec Skrev: https://www.youtube.com/watch?v=Mb5cyGG4NJY part 1
https://www.youtube.com/watch?v=TgKUa0nSBLE part 2
Dagen kan kun blive god, efter sådan en film

Haha. Jeg har faktisk set dem begge før. Han er dum på et helt exceptionelt niveau.
Jeg kan slet ikke forstå, nogen kan gøre sådan noget. Da jeg så dem, var jeg tom for ord. lol.
---
Writing a shellcode decoder stub in assembly is like talking gibberish in such a way that it is still perfectly intelligible. - iTick
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)