BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

7Okt/090

HoneyPot goes botnetzprovider.de

Nun endlich ist es so weit, mein “Honeypot goes Botnetzprovider.de

Ich habe mir gedacht mein Blog ist eine gute Plattform um das Honeypot Projekt einmal vorzustellen. Es handelt sich dabei um mehrere “Sensoren” die ich auf der ganzen Welt verteilt habe. Dabei handelt es sich um kleinere Server die zusammen in eine “Zentrale Datenbank” (zDB) schreiben.

Bei den Honeypot handelt es sich um einen von Lukas entwickelten RFI-Honeypot mit dem Name “GlasTopf” (http://trac.1durch0.de/trac). Die Honeypots sind “low-interaction Honeypot”

Ein low-interaction Honeypot emuliert die angegriffenen Dienste nur. Es eignet sich besonders für die Analyse von automatisierten Angriffe von RFI Attacken. Diese automatisierten Angriffe werden durch einen Parser analysiert und in die “Zentrale Datenbank” (zDB) geschrieben.

Unser Honeypots sind spezialisiert auf Remote File Inclusion / Local File Inclusion (RFI/LFI) Diese werden mit Hilfe von unserem “Vulnerability Emulator” erstellt und für die Suchmaschinen aufbereitet.

Zentrale Datenbank:
Hier ist der aktuelle Counter zur zDB, dieser Counter zeigt an wie viele uniq Hits wir bis jetzt gesammelt haben.

zentrale_datenbank

3Jun/091

Hacker schlagen zurück gegen Honeypots

Wir mussten mit Erschrecken feststellen, wie schnell die Hacker auf neue Honeypots reagieren können.

Was ist passiert?
Wir haben einen modifizierten "pbot" abgefangen, welcher normalerweise als RFI genutzt wird.

Was hat sich geändert?
Prinzipiell ist der Aufbau des "pbot" immer noch gleich/ähnlich geblieben, doch es wurde eine neue Funktion eingeführt. Diese neue Funktion erlaubt es dem Hacker gewisse Domains aus dem zu scannenden Bereich zu filtern.

Wie haben die Hacker das umgesetzt?
---code snip---
// hier werden die zu "sperrenden" Domains eingetragen
$ignorelist = array(
'av.rds.yahoo.com/',
'xxxtz.com',
'xxxst.de',
'xxxy.com',
);

---snap---

// hier wird während des Scannens die Liste abgefragt
----code snip---
foreach ($ignorelist as $v) {
if(substr_count($pesanlo,strtolower($v)) > 0) {

---snap---

Wie kann man ein Blacklisting verhindern?

Zunächst ist es wichtig die eingefangenen "pbot" automatisch zu analysieren. Dadurch kann festgestellt werden, ob und in welcher Weise die Hacker die Domains blacklisten.
Wie wir feststellen konnten, blocken die Hacker nur auf Domain-Ebene, d.h. wir können einfach neue Domains in Umlauf bringen ohne gleich eine neue IP Adresse benutzen zu müssen. Leider bedeutet das auch im Umkehrschluss, dass wir wieder viel Zeit investieren müssen um die Domains bekannt zu machen. Indem wir unsere Honeypots den aktuellen Gegebenheiten anpassen, reagieren auch wir auf die von Hackern herbeigeführten Veränderungen.

Was bedeutet das für die Zukunft der Honeypots?

Wir deuten es als ein gutes Zeichen, dass die Hacker sich mit unserem Topf beschäftigen. Dies zeigt uns, dass sie unseren Honeypot als Bedrohung sehen, da sie viel Zeit investieren mussten um unser Netz zu analysieren.
In Zukunft wird es wichtig sein, ein großes und schnelll wachsendes Honey-Netz aufzubauen, um den Hackern nur einen kleinen Ausschnitt offen legen zu müssen. Somit sollten auch kleinere Rückschläge professionell und schnell gelöst werden können.  An alle Honeypot Betreiber, lasst euch davon nicht verärgern, sondern seht es als Herausforderung an weiter zu machen.
Wir werden auch nicht aufgeben ...

22Apr/090

[glastopf] Stand der Entwicklung

Was ist der Glastopf?
Der Glastopf ist ein in python geschriebener Webhoneypot.
Er baut darauf auf, dass die RFI scanner google dorks benutzen.
Anfragen an den Glastopf werden in einer Mysql-Datenbank abgelegt,
erfolgreich heruntergeladene Skripte werden mit dem Dateinamen der MD5-Summe auf der Festplatte gespeichert.
Die Rückgabe an den Angreifer wird über ein leicht zu erweiterndes parseline Modul erreicht.
Sofern die Rückgabe auf Gefallen stösst, erhalten wir auch die nachgeladenen Skripte.
Ein einfach zu bearbeitendes Webinterface ist eine weitere Komponente.
Selbstverständlich ist der Glastopf als experimentelle Software zu sehen.

Wo kann man den glastopf herunterladen?
Für das Glastopf-Projekt gibt es eine subversion-Verwaltung.
Zudem stehen tarballs zur Verfügung.
In den svn branches findet Ihr zusätzlich eine funktionsreichere Version des Webinterfaces als auch einen unstable und testing-Zweig des Honigtopfes.
Bitte besucht http://trac.1durch0.de/trac/wiki/GlastopfDocumentation.
Dort findet Ihr auch kurze Anleitungen zur Installation auf debian, winXP und OS-X.


Wer mithelfen kann
Mithelfen kann eigentlich jeder, der sich für diese Themen interessiert.
Feedback ist immer erwünscht.
Jeder, der den Glastopf probiert, sollte Rückmeldung geben.
Es steht jedem offen, ein Ticket im Trac zu erstellen.

Mehr Infos  hier

Offizielle Webseite

3Apr/090

Angriffe auswerten und weiterleiten

Dieser Artikel ist veraltet und wurde daher gelöscht.

19Mrz/092

Eigener Honeypot

Hier beschreibe ich kurz wie man sich seinen eigenen Honeypot erstellt.

Benutzen werde ich hierzu Python.

Bitte macht euch nicht zu viele Hoffnungen, der Honig-Topf wird lediglich die Angreifer IP aufzeichnen.

(honey.txt in honey.py noch umbenennen falls nötig)

Genutzt wird der Honeypot wie folgt:

  • wir machen das Script ausführbar "$ chmod +x honey.py

Nun starten wir den Honeypot:

  • $ ./honey.py 21 hacker-ip.txt

Ich habe nun einen Port angegeben, auf welchem mein Honeypot  lauschen soll. Nun muss ich nur noch eingeben, was er dem Angreifer anzeigen soll, wenn dieser sich verbindet.

  • FTP Server

Dort könnte man auch vorgeben, dass man ein Windows Ftp Server sei, oder ähnliches.

Jetzt heißt es warten und am besten lässt man den kleinen Honeypot im "screen" laufen, so dass man die Verbindung nicht permanent offen haben muss.

Hier kannst du den Honeypot downloaden.

/* google like button API */