In meiner letzten Seminararbeit habe ich mich intensiv mit der Funktionsweise, Installation und dem Betrieb diverser Honeypots beschäftigt.
Das Ergbnis war, mit Verbindung eines weiteren Teils zum Thema Intrusion Detection Systeme eine über 40 Seiten lange Seminararbeit.

„A honeypot is a security resource, whose value lies in being probed, attacked, or compromised“.

Anders als andere Intrusion Detection Systeme ist das primäre Ziel eines Honeypots die Analyse des Angreifers. Dabei werden Honeypots im Regelfall nicht auf produktiven Systemen, sondern auf speziell präparierten Server installiert. Die Erkennung eines Angreifers erfolgt durch den Zugriff auf den Honeypot, eine Falschmeldung ist daher nicht möglich.

Zwischenzeitlich habe ich 3 verschiedene Honeypots betrieben, mittlerweile läuft davon nurnoch einer.

  • Thug
  • Dionaea
  • Kippo

Thug Honeypot (Link)

Thug ist ein in Python geschriebener Low-Interaction Client Honeypot. Er gibt mimt das Verhalten von Webbrowsern nach, um beim Besuch von infizierten Webseiten Schadsoftware einzufangen. Dabei müssen die Webseiten vom Nutzer angegeben werden, es erfolgt keine automatische Suche nach Malware.

Thug lieferte einige Ergebnisse bereits mit den verwendeten Standardoptionen. Unter Verwendung anderer Optionen ist es möglich, durchaus mehr Schadsoftware einzufangen.

DIe Webseite zeigt einen XMLHTTP Exploit

Klicken für ein Größeres Bild

Thug lieferte bei 15 Zufällig von den Malwareseiten ausgewählten Webseiten stets aussagekräftige Ergebnisse. So wurden Drive-By Downloads, Exploits und anderer Schadcode erkannt und zurück verfolgbar gemacht.

Nachteil ist sicher, dass man manuell nach den Webseiten suchen muss. Ebenfalls kann Thug prinzipiell nur den Verlauf eines Webseitenaufrufs erkennen. Durch Webseiten ausgeführte Verdächtige Aktionen, wie unbefugte Weiterleitungen, bekannte Exploits oder Downloads werden von Thug erkannt. Ob es sich dabei um eine Schadsoftware handelt, kann Thug nicht überprüfen.

Dionaea Honeypot (Link)

Dionaea ist ein Low Interaction Server Honeypot, welcher Standard Dienste emuliert um Malware zu erhalten. Diese Malware kann automatisch an Analysedienste wie www.virustotal.com gesendet und entsprechend analysiert werden.
Dionaea versucht Malware zu erhalten, indem es vermeintliche Schwachstellen von Diensten emuliert und offenlegt. Dazu simuliert es die folgenden Protokolle und zugehörige Ports:

  • ftp (port 21/tcp)
  • http/https (port 80/tcp and 443/tcp)
  • dns (port 42/tcp)
  • msrpc (port 135/tcp )
  • smb (port 445/tcp)
  • tftp (port 69/udp)
  • ms-sql (port 1433/tcp)
  • mysql (port 3306/tcp)
  • sip/sip-tls (ports 5060/tcp and 5061/tcp)

Verbindungen zum Dionaea-Server werden stets erlaubt und dem Angreifer so eine Möglichkeit gegeben, Schadcode dort abzulegen

Dionaea bietet eine große Vielfalt an Schwachstellen, die von Angreifern ausgenutzt werden können.

Dionaea erkannte über einen Zeitraum von 8 Tagen knapp 1000 Angriffe von 163 verschiedenen IP-Adressen. Dabei wurden zwei Schadsoftware Exemplare eingefangen, wovon eine bei www.virustotal.com noch unbekannt war. Auf das Jahr gerechnet macht das mehr als 45.000 Angriffe, bei einem neuen, unbekannten Server.

Anzahl der Angriffe nach 8 Tagen

Klicken für größeres Bild

Dies zeigt die Gefährdung, welche einem Server im Internet droht. Die unbekannte Schadsoftware wurde bei virustotal gemeldet und befindet sich mittlerweile auf der Liste der erkannten Schadsoftware.

Kippo Honeypot (Link)

Kippo ist ein Medium Interaction Server Honeypot, welcher ein komplettes Linux System emuliert, auf welches per SSH zugegriffen wird. Er ist dafür designed, Brute Force Angriffe aufzuzeichnen und die gesamte Interaktion mit dem Server des Angreifers zu speichern. Kippo möchte gehackt werden, daher ist er mit dem Standard Benutzer „root“ und dem einfachen Password „123456“ ausgestattet. Ein Brute Force angriff stösst so schnell auf das Passwort und gewährt dem Angreifer zugriff.

Zu seinen Features gehören

  • Ein falsches, jedoch komplettes Linux Debian Dateisystem, welches jedoch das hinzufügen und entfernen von Dateien ermöglicht.
  • Es besteht die Möglichkeit, selbst Dateien in diesem falschen System anzulegen.
  • Sessions der Angreifer werden im UML Format gespeichert, sodass diese in Originalzeit abgespielt werden können.
  • Dateien, die mittels wget heruntergeladen wurden, werden zusätzlich gespeichert, um sie zu analysieren.
Schadsoftware, die per SSH auf Kippo geladen wurde

Klick für ein größeres Bild

Auswertung aller Versuchen Kombinationen von Passwörtern und Benutzernamen

Klicken für größeres Bild

Kippo hat sich auf das SSH Protokoll spezialisiert. Entsprechend ergiebig sind die auswertbaren Daten. Als Beispiel verringert die Verwendung eines anderen Benutzernamens als „root“ die Wahrscheinlichkeit für einen erfolgreichen Bruteforce Angriff um mehr als 90% (der ausgewerteten Versuche).

Weiterhin kann Kippo als Research Honeypot zur Analyse der Malware verwendet werden, die auf ihm heruntergeladen wird.

Eine Besonderheit des Kippo Honeypots ist die Möglichkeit des „playlogs“. Die von Kippo erstellten Log-Files können in Echtzeit wiedergegeben werden. So kann z.B. erkannt werden, ob die Eingaben manuell oder per einfügen geschehen sind. Daraus lässt sich wiederrum auf einen tatsächlich menschlichen Angreifer oder auf ein automatisiertes Skript schließen.

 

Leider konnte ich den Artikel erst veröffentlichen, nachdem meine Seminararbeit korrigiert und ich meine Note erhalten habe.

Mein Kippo läuft noch weiterhin, bisher wurden 34236 Login Versuche (!) registriert.

Wer mehr zum Thema Honeypots erfahren möchte, dem lege ich das Project Honeynet ans Herz!

banner