Tanıtım:
Honeypot,
bilgisayar korsanlarının yakalanması veya alışılmamış veya yeni korsanlık
yöntemlerinin izlenmesinde kullanılan bir bilgisayar sistemidir. Honeypots,
korsanlara bilinçli olarak saldırmak ve kandırmak ve internet üzerinden
gerçekleştirilen kötü amaçlı etkinlikleri tanımlamak için tasarlanmıştır.
HoneyDrive nedir?
HoneyDrive, önde
gelen Honeypot Linux dağıtıcısıdır. Xubuntu Desktop 12.04.4 LTS sürümü yüklü
bir sanal cihaz (OVA) 'dir.
Kippo SSH
honeypot, Dionaea ve Amun malware honeypot, Honeyd düşük etkileşimli honeypot,
Glastopf web honeypot ve Wordpot, Conpot SCADA / ICS honeypot, Thug ve PhoneyC honeyclient
ve daha fazlası önceden yüklenmiş ve önceden yapılandırılmış honeypot yazılım
paketlerini içerir. Buna ek olarak, Kippo-Graph, Honeyd-Viz, DionaeaFR, ELK
yığını ve çok daha fazla yakalayabildiği verileri analiz etmek, görselleştirmek
ve işlemek için birçok kullanışlı önceden yapılandırılmış komut dosyası ve
yardımcı program içerir.
Son olarak, yaklaşık
90 adet malware analizi, adli tıp ve ağ izleme gibi araçlar da pakette
mevcuttur.
Özellikler:
- Xubuntu 12.04.4 LTS Masaüstü tabanlı sanal cihaz.
- Import edilmeye hazır tek bir OVA dosyası.
- Tam LAMP yığını yüklü (Apache 2, MySQL 5), ayrıca phpMyAdmin gibi araçlar.
- Kippo SSH honeypot, artı Kippo-Graph, Kippo-Malware, Kippo2MySQL ve diğer yararlı scriptler.
- Dionaea malware honeypot, artı DionaeaFR ve diğer yararlı scriptler.
- Amun malware honeypot, artı faydalı scriptler.
- WordPress WordPress Honeypot ile birlikte Glastopf web honeypot.
- Conpot SCADA / ICS honeypot.
- Honeyd düşük etkileşimli honeypot, Honeyd2MySQL, Honeyd-Viz ve diğer faydalı scriptler.
- LaBrea sticky honeypot, Tiny Honeypot, IIS Emulator ve INetSim.
- Maltrieve malware kollektörü ile birlikte istemci tarafı saldırı analizleri için Thug ve PhoneyC honeyclient.
- ELK stack: Log analizi ve görselleştirme için ElasticSearch, Logstash, Kibana.
- Tam bir güvenlik takibi için; forensics, anti-malware araçları, network monitoring, malicious shellcode and PDF analiz, ntop, p0f, EtherApe, nmap, DFF, Wireshark, Recon-ng, ClamAV, ettercap, MASTIFF, Automater, UPX, pdftk, Flasm, Yara, Viper, pdf-parser, Pyew, Radare2, dex2jar ve daha fazlası.
- Firefox eklentileri önceden yüklenmiş, ayrıca GParted, Terminator, Admin, VYM, Xpdf ve daha fazlası gibi ekstra yardımcı yazılımlarda bulunmakta.
Kurulum:
Öncelikle https://sourceforge.net/projects/honeydrive/files/latest/download
linkinden HoneyDrive dosyasını indirdikten sonra sanal makinamızı import ediyoruz.
İndirmiş
olduğumuz ova uzantılı dosyayı açtığımızda sanal makinamız çalışmaya hazır
olarak karşımıza aşağıdaki gibi gelmektedir.
Tavsiye: HoneyDrive sanal makinamızı çalıştırmadan önce “Description” alanındaki açıklamaları incelememiz gerekmektedir. Kullanılan bütün kullanıcı adı ve şifreler bu alanda barınmaktadır.
İstersenizde HoneyDrive masaüstünde bulunan README.txt dosyasında da aynı bilgileri bulabilirsiniz.
Masaüstü
görünümü:
README.txt
dosyasının içeriği; İncelemenizde fayda var HoneyDrive sanal makinasının
içeriği hakında bilgi sahibi olmanız için.
HoneyDrive sanal
makinamızı çalıştırdıktan sonra HoneyDrive’ ın IP adresini öğrenelim.
ifconfig (Sanal
makinenin ingilizce klavye olduğuna dikkat edelim)
Yukarıda
görüldüğü gibi IP adresimiz 192.168.152.15
olduğunu gördük.
Şimdi sıra
HoneyDrive makinamızın içerisinde yüklü olan Kippo’yu çalıştırmada, kippo’yu
çalıştırmak için /honeydrive dizinine gitmemiz gerekiyor. Dizine geldikten
sonra ls komutunu kullanarak dosyanın içeriğini inceleyelim.
/honeydrive
dizinini incelediğimizde içerisinde kullanabileceğimiz honeypot yazılımların
olduğunu görebiliyoruz.
Şimdi biz
kippo’yu çalıştırmak istediğimiz için kippo dizinine girelim ve dizin içeriğini
görüntüleyelim.
/kippo dizinin
içerisinde olduğumuza göre artık kippo’yu çalıştırabiliriz.
sh start.sh yazarak kippo’yu çalıştırıyoruz.
Kippo’muz
çalışmaya başladığına göre üzerinde hangi portların açık olduğuna bakalım.
HoneyDrive’ımızın
çalıştığı IP adresini yukarıda öğrenmiştik. Kali’mizi açıp HoneyDrive IP
adresine bir nmap taraması yapalım.
Tarama sonucunda
http (80) portunun açık olduğunu görüyoruz. Şimdi HoneyDrive IP adresine bir
istek yapalım.
Evet
çalıştığından emin oluyoruz. Artık saldırganların neler yaptığının kayıtlarını
grafikler halinde görmek için http://HoneyDriveIP/kippo-graph/
adresine gitmemiz gerekiyor.
Karşımızda Kippo
– Graph burayı biraz incelemek isterdim fakat şimdilik içerisinde herhangi bir
veri olmadığı için tab’larda bulunan sayfaların içerikleri boş göründüğünden
bir anlam ifade etmemektedir. İleride bu sekmelerin üzerinde duracağım.
Dionaea:
Şimdi Dionaea
tool’un kurulumuna geçelim,
Dionaea’yı
çalıştırmak için yine /honeydrive dizinine gelelim ve dosya içeriğini
görüntüleyelim.
/honeydrive
dizinin içeriğindeki DionaeaFR dizininin içeriğine girelim ve görüntüleyelim.
/dionaeaFR
dizinine girdikten sonra manage.py dosyasını çalıştırmamız gerek. Burada dikkat
etmemiz gereken bir adım var. Aşağıdaki komutu yazarak manage.py dosyamızı
çalıştırmamız gerek.
Python manage.py
collectstatic
Tyepe ‘yesy’ to
continue, or ‘no’ to cancel: yes cevabını vermemiz gerek.
Tabi ki bu kadar
değil yapmamız gereken adımlar var. Şimdi aşağıdaki kodları yazmamız gerek:
python manage.py runserver HoneyDriveIP:8000
Artık Dionaea
verileri toplamaya başladığına göre yönetim paneline bakabiliriz.
Yönetim paneline
http://HoneyDriveIP:8000 yazdığımızda karşımıza aşağıdaki gibi bir sayfa
açılmaktadır.
Artık
saldırganımızı izleyebileceğimiz bir panelimiz daha hazır hale geldi.
HoneyDrive sanal
makinamızda bir den fazla tool olduğu için README.txt dosyasını ayrıntılı
olarak incelerseniz faydalı olabilir.
Bir sonraki
makalede görüşmek üzere.
Daima güvenlik
için…
