HoneyBOT,
bilgisayarınızda savunmasız hizmetleri taklit etmek için tasarlanmış bir dizi
dinleme soketi açarak çalışır. Bir saldırgan bu hizmetlere bağlandığında,
gerçek bir sunucuya saldırdıklarını düşünerek kandırırlar. Honeypot,
saldırganla tüm iletişimleri güvenli bir şekilde yakalar ve bu sonuçları
gelecekteki analizler için günlüğe kaydeder. Bir saldırgan bir istismar
girişiminde bulunursa veya sunucuya bir rootkit veya trojan yüklerse, honeypot
ortamı bu dosyaları bilgisayarınızda kötü amaçlı yazılımların toplanması ve
analiz amacıyla güvenle saklayabilir.
Kurulum:
İlk olarak https://www.atomicsoftwaresolutions.com/
adresine girdikten sonra aşağıdaki sarı ile işaretli linke tıklıyoruz.
Linke tıkladıktan
sonra aşağıdaki sayfa karşımıza gelmektedir. “Your Name” , “Your E-Mail” ve
“Your Usage is” bilgilerinizi girdikten sonra “Continue” butonuna tıklıyoruz.
NOT: İndirmek için gerçek
bilgilerinizi vermeniz gerekmemektedir. Fake mail kullanabilirsiniz.
Karşımıza
aşağıdaki gibi bir sayfa gelmektedir. Burada “here” sarı ile işaretli olan
linke tıkladığımızda artık HoneyBOT.exe uygulamamızı indirebiliyoruz.
Ayarlar:
İndirmiş
olduğumuz HoneyBOT.exe’ nin kurulumu klasik Windows exe kurulumu olduğu için bu
bölümü atlıyorum. Şimdi sırada kurulum tamamlandıktan sonraki bölümdeki
konfigürasyon ayarlarını yapacağız. Karşımıza kurulum tamamlandıktan sonra
gelen görüntü aşağıdaki gibidir.
Yukarıda açılan
penceresindeki soruya evet yanıtını verdikten sonra Options penceresi karşımıza
gelmektedir. Aşağıdaki ekran görüntüsünde “General” sekmesinde bulunan
seçenekleri isteklerimize göre kullanabiliriz. Biz aşağıdaki gibi seçili olarak
bırakacağız.
Email Alert
sekmesinde ise göndermek istediğimiz E-mail ayarlarını girip alarm oluştuğunda
e-mail gönderme işlemini aktif hale getirebiliriz.
Export sekmesinde
HoneyBOT’un oluşturmuş olduğu log dosyalarını dışarı aktarabilir veya
istediğiniz sunucuya yükleyebilirsiniz.
Updates
sekmesinde ise her zaman güncellenmeleri kontrol etmesi için “Check for
Updates” seçeneğinin seçili olmasına dikkat etmenizde fayda bulunmaktadır.
Yapmış olduğumuz
konfigürasyon ayarlarını kaydettikten sonra aşağıdaki gibi HoneyBOT’un otomatik
olarak kendini güncellendiğini göreceksiniz.
Kullanım:
Güncelleme
bittikten sonra HoneyBOT’u kurmuş olduğunuz makinada bulunan network adaptör
seçimi yapmamızı istemektedir.
İzlemek
istediğimiz network adaptörünü seçtikten sonra HoneyBOT server’ımız otomatik olarak
başlamaktadır. WhiteList’imizi düzenleyebilmemiz için server’ı durdurmamız
gerekmektedir. Server’ı durdurduktan sonra aşağıdaki kısayollardan sarı ile
işaretli butona tıkladığımızda karşımıza WhiteList ekranı gelmektedir.
Aşağıdaki gibi
WhiteList penceremiz açılmaktadır. Buraya takip etmesini istemediğimiz
IP adreslerini ve portlarını belirtebiliriz.
Gerekli ayarları
yaptıktan sonra HoneyBOT’ un hangi servisleri taklit ettiğine bakabilir veya
istediğimiz servisleri bizde ekleyebilir veya silebiliriz.
Yukarıdaki sarı
ile işaretli olan butona bastığımızda Services penceresi karşımıza gelecektir.
Gerekli görmüş
olduğumuz ayarlamaları tamamladıktan sonra aşağıda genel görüntü ile karşı
karşıya kalıyoruz. Artık ilgili saldırganların neler yaptığını takip etmeye
başlayabiliriz.
Senaryo:
Şimdi
HoneyBOT’umuzun yüklü olduğu IP adresine bir “nmap” taraması yapalım ve
HoneyBOT’umuzun nasıl tepki veya uyarılar verdiğini inceleyelim.
Taramamızı
başlattık artık HoneyBOT’umuz bize nasıl tepki verdiğini incelediğimizde eğer
bilgisayarınızın sesi açık ise kuş sesine benzer bir sesin sürekli çaldığını
duymaya başlamış olmalısınız. (Biraz gıcık bir ses biliyorum) Aşağıda tarama
başlattıktan sonra HoneyBOT’umuzun yakalamış olduğu isteklerin görüntüleri
bulunmaktadır.
HoneyBOT’umuzun
yakalamış olduğunu paketleri biraz detaylı bakmak için istediğimiz paketin
üzerine tıklamamız yeterli olmaktadır. Aşağıda detaylı paket örneğini
görebilirsiniz.
HoneyBOT’un
oluşturmuş olduğu logları C:\HoneyBOT\Logs dizinin altında ve oluşan logları
CSV formatında günlük export ettiği dosyalar ise C:\HoneyBOT\Exports dizinin
altında bulunmaktadır.
HoneyBOT’un
grafik arayüzü bulunmakta fakat ücretli olduğunu belirtmek isterim.
Bir sonraki makalede görüşmek üzere.
Daima güvenlik için…
