18 Kasım 2018

HONEYPOT (BAL KÜPÜ) – HoneyDrive

Tanıtım:


Honeypot, bilgisayar korsanlarının yakalanması veya alışılmamış veya yeni korsanlık yöntemlerinin izlenmesinde kullanılan bir bilgisayar sistemidir. Honeypots, korsanlara bilinçli olarak saldırmak ve kandırmak ve internet üzerinden gerçekleştirilen kötü amaçlı etkinlikleri tanımlamak için tasarlanmıştır.

HoneyDrive nedir?


HoneyDrive, önde gelen Honeypot Linux dağıtıcısıdır. Xubuntu Desktop 12.04.4 LTS sürümü yüklü bir sanal cihaz (OVA) 'dir.
Kippo SSH honeypot, Dionaea ve Amun malware honeypot, Honeyd düşük etkileşimli honeypot, Glastopf web honeypot ve Wordpot, Conpot SCADA / ICS honeypot, Thug ve PhoneyC honeyclient ve daha fazlası önceden yüklenmiş ve önceden yapılandırılmış honeypot yazılım paketlerini içerir. Buna ek olarak, Kippo-Graph, Honeyd-Viz, DionaeaFR, ELK yığını ve çok daha fazla yakalayabildiği verileri analiz etmek, görselleştirmek ve işlemek için birçok kullanışlı önceden yapılandırılmış komut dosyası ve yardımcı program içerir.
Son olarak, yaklaşık 90 adet malware analizi, adli tıp ve ağ izleme gibi araçlar da pakette mevcuttur.


Özellikler:

  • Xubuntu 12.04.4 LTS Masaüstü tabanlı sanal cihaz.
  • Import edilmeye hazır tek bir OVA dosyası.
  • Tam LAMP yığını yüklü (Apache 2, MySQL 5), ayrıca phpMyAdmin gibi araçlar.
  • Kippo SSH honeypot, artı Kippo-Graph, Kippo-Malware, Kippo2MySQL ve diğer yararlı scriptler.
  • Dionaea malware honeypot, artı DionaeaFR ve diğer yararlı scriptler.
  • Amun malware honeypot, artı faydalı scriptler.
  • WordPress WordPress Honeypot ile birlikte Glastopf web honeypot.
  • Conpot SCADA / ICS honeypot.
  • Honeyd düşük etkileşimli honeypot, Honeyd2MySQL, Honeyd-Viz ve diğer faydalı scriptler.
  • LaBrea sticky honeypot, Tiny Honeypot, IIS Emulator ve INetSim.
  • Maltrieve malware kollektörü ile birlikte istemci tarafı saldırı analizleri için Thug ve PhoneyC honeyclient.
  • ELK stack: Log analizi ve görselleştirme için ElasticSearch, Logstash, Kibana.
  • Tam bir güvenlik takibi için; forensics, anti-malware araçları, network monitoring, malicious shellcode and PDF analiz, ntop, p0f, EtherApe, nmap, DFF, Wireshark, Recon-ng, ClamAV, ettercap, MASTIFF, Automater, UPX, pdftk, Flasm, Yara, Viper, pdf-parser, Pyew, Radare2, dex2jar ve daha fazlası.
  • Firefox eklentileri önceden yüklenmiş, ayrıca GParted, Terminator, Admin, VYM, Xpdf ve daha fazlası gibi ekstra yardımcı yazılımlarda bulunmakta.

Kurulum:


Öncelikle https://sourceforge.net/projects/honeydrive/files/latest/download linkinden HoneyDrive dosyasını indirdikten sonra sanal makinamızı import ediyoruz.

İndirmiş olduğumuz ova uzantılı dosyayı açtığımızda sanal makinamız çalışmaya hazır olarak karşımıza aşağıdaki gibi gelmektedir.

Tavsiye: HoneyDrive sanal makinamızı çalıştırmadan önce “Description” alanındaki açıklamaları incelememiz gerekmektedir. Kullanılan bütün kullanıcı adı ve şifreler bu alanda barınmaktadır.

İstersenizde HoneyDrive masaüstünde bulunan README.txt dosyasında da aynı bilgileri bulabilirsiniz.




Masaüstü görünümü:


README.txt dosyasının içeriği; İncelemenizde fayda var HoneyDrive sanal makinasının içeriği hakında bilgi sahibi olmanız için.


HoneyDrive sanal makinamızı çalıştırdıktan sonra HoneyDrive’ ın IP adresini öğrenelim.
ifconfig (Sanal makinenin ingilizce klavye olduğuna dikkat edelim)


Yukarıda görüldüğü gibi IP adresimiz 192.168.152.15 olduğunu gördük.

Şimdi sıra HoneyDrive makinamızın içerisinde yüklü olan Kippo’yu çalıştırmada, kippo’yu çalıştırmak için /honeydrive dizinine gitmemiz gerekiyor. Dizine geldikten sonra ls komutunu kullanarak dosyanın içeriğini inceleyelim.


/honeydrive dizinini incelediğimizde içerisinde kullanabileceğimiz honeypot yazılımların olduğunu görebiliyoruz.

Şimdi biz kippo’yu çalıştırmak istediğimiz için kippo dizinine girelim ve dizin içeriğini görüntüleyelim.


/kippo dizinin içerisinde olduğumuza göre artık kippo’yu çalıştırabiliriz.

sh start.sh yazarak kippo’yu çalıştırıyoruz.


Kippo’muz çalışmaya başladığına göre üzerinde hangi portların açık olduğuna bakalım.

HoneyDrive’ımızın çalıştığı IP adresini yukarıda öğrenmiştik. Kali’mizi açıp HoneyDrive IP adresine bir nmap taraması yapalım.


Tarama sonucunda http (80) portunun açık olduğunu görüyoruz. Şimdi HoneyDrive IP adresine bir istek yapalım.


Evet çalıştığından emin oluyoruz. Artık saldırganların neler yaptığının kayıtlarını grafikler halinde görmek için http://HoneyDriveIP/kippo-graph/ adresine gitmemiz gerekiyor.



Karşımızda Kippo – Graph burayı biraz incelemek isterdim fakat şimdilik içerisinde herhangi bir veri olmadığı için tab’larda bulunan sayfaların içerikleri boş göründüğünden bir anlam ifade etmemektedir. İleride bu sekmelerin üzerinde duracağım.

Dionaea:


Şimdi Dionaea tool’un kurulumuna geçelim,
Dionaea’yı çalıştırmak için yine /honeydrive dizinine gelelim ve dosya içeriğini görüntüleyelim.


/honeydrive dizinin içeriğindeki DionaeaFR dizininin içeriğine girelim ve görüntüleyelim.


/dionaeaFR dizinine girdikten sonra manage.py dosyasını çalıştırmamız gerek. Burada dikkat etmemiz gereken bir adım var. Aşağıdaki komutu yazarak manage.py dosyamızı çalıştırmamız gerek.

Python manage.py collectstatic

Tyepe ‘yesy’ to continue, or ‘no’ to cancel: yes cevabını vermemiz gerek.


Tabi ki bu kadar değil yapmamız gereken adımlar var. Şimdi aşağıdaki kodları yazmamız gerek:

python manage.py runserver HoneyDriveIP:8000


Artık Dionaea verileri toplamaya başladığına göre yönetim paneline bakabiliriz.

Yönetim paneline http://HoneyDriveIP:8000 yazdığımızda karşımıza aşağıdaki gibi bir sayfa açılmaktadır.


Artık saldırganımızı izleyebileceğimiz bir panelimiz daha hazır hale geldi.

HoneyDrive sanal makinamızda bir den fazla tool olduğu için README.txt dosyasını ayrıntılı olarak incelerseniz faydalı olabilir.

Bir sonraki makalede görüşmek üzere.
Daima güvenlik için…