May 01 2012

Honeyd2MySQL v0.1, populate a MySQL database with data from honeyd logs!

Categories:

Blog News, Honeypots

by

This is yet another simple piece of software that extracts all the basic stats from honeyd’s text-based log files and inserts them in a MySQL database.

Then you can run some queries and of course visualize the data if you want to.

This is the initial version (0.1) so many things are hardcoded or dead simple, but it does the job. The file is a modified version of “honeyd_importer” perl script originally writen by Joshua Gimer and shared through “honeypots” mailing list. This script will work in combination with a web based interface for honeyd’s results that will be created in the future along the lines of Kippo-Graph.

You will have to change the script and enter the correct paths, your MySQL credentials, have a database and a db user created beforehand, etc. It’s pretty straightforward though.

Download the perl script from here: honeyd2mysql-0.1

MD5 Checksum: 8DDCC72AD58076863A2476570567F42A
SHA-1 Checksum: E2E0B06EEBB14446EB4218108D8348A9D26C127B

For comments, suggestions, fixes, please use the Honeyd2MySQL page: http://bruteforce.gr/honeyd2mysql

Tags: ,

Status update

Tuesday May 1, 2012 — 3:15 PM

New version (0.1.2) of Kippo2MySQL, with no significant changes. You can download it from here: kippo2mysql-0.1.2

MD5 Checksum: 11C7755FB760959A24A7981E4C7BEBCB
SHA-1 Checksum: 6BB5CAC87135BD6E39651AEA87ED6496F0DBB05F

Status update

Tuesday April 17, 2012 — 1:07 AM

I have been messing around with some logfiles recently (related to honeypots as usual), and the following has been helpful whenever I wanted to extract IP addresses from them:

cat logfile.log | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' | sort -u > /tmp/unique-ips.txt

Apr 08 2012

Σαρκοβόρο για τα malware, στη διάθεσή σας!

Categories:

Honeypots, Malware

by

Στο άρθρο που αρχίζει από τη σελίδα 40 του τεύχους παρουσιάσαμε το Dionaea, ένα εξαιρετικά αποτελεσματικό malware honeypot για Linux. Η εγκατάσταση και ρύθμισή του δεν είναι ακριβώς ό,τι θα χαρακτηρίζαμε «παιχνιδάκι» (Σ.τ.Ε. ούτε κομμάτι από κέικ). Το θέμα είναι ότι για το Dionaea και τις εξαρτήσεις του δεν υπάρχουν έτοιμα πακέτα, ενώ σ’ ορισμένες περιπτώσεις το honeypot απαιτεί πολύ συγκεκριμένες εκδόσεις βιβλιοθηκών για να λειτουργήσει σωστά. Δείξαμε, μολαταύτα, αναλυτικά και βήμα προς βήμα την εγκατάσταση, τη ρύθμιση και την ενεργοποίηση του εκπληκτικού αυτού malware. Νομίζουμε ότι είναι ώρα να το δούμε και σε δράση.

Στο δικό μας σύστημα, οι πρώτες επιθέσεις από malware άρχισαν να εμφανίζονται μέσα σε λίγα λεπτά. Ας δούμε κάποιους τρόπους παρακολούθησης της κίνησης στο honeypot. Ένα πρώτο τρικ είναι η παρακολούθηση των αρχείων καταγραφής του Dionaea — ή ακόμα και του ίδιου του p0f. Για το σκοπό αυτό, μπορούμε να χρησιμοποιήσουμε το προγραμματάκι tail με την παράμετρο –f:

root@dionaea:~# tail -f /var/log/p0f.log

Με την παραπάνω γραμμή παρακολουθούμε σε πραγματικό χρόνο όσα καταγράφει το p0f. Τελικά, δεν αργήσαμε πολύ να κατεβάσουμε το πρώτο μας malware! Όπως είπαμε, όλα τα αρχεία αποθηκεύονται στον κατάλογο /opt/dionaea/var/dionaea/binaries. Τα περισσότερα από τα αρχεία που συλλέξαμε ήταν εκτελέσιμα σε περιβάλλον Windows. Το Dionaea αποστέλλει κάθε τέτοιο αρχείο σε online υπηρεσίες για malware analysis, όπως αναφέραμε και νωρίτερα. Έτσι, σε σύντομο χρονικό διάστημα, πήραμε ένα σχετικό email από το Norman Sandbox:

[ DetectionInfo ]
    * Filename: C:\analyzer\scan\64a8a34f7fcec9943132c58a89321257.
    * Sandbox name: NO_MALWARE
    * Signature name: W32/Conficker.EJ.
    * Compressed: NO.
    * TLS hooks: NO.
    * Executable type: Library(DLL).
    * Executable file structure: OK.
    * Filetype: PE_I386.
 [ General information ]
    * File length: 168480 bytes.
    * MD5 hash: 64a8a34f7fcec9943132c58a89321257.
    * SHA1 hash: f90e039a28dc045a5e41b86379e894d23f4df7a6.
    * Entry-point detection: Microsoft Visual C++ 6.0 DLL.

Το πρώτο μας malware, λοιπόν, αφορά σ’ ένα variant του γνωστού worm Conficker. Το συγκεκριμένο worm θα σας απασχολήσει αρκετά. Αν αφήσετε το honeypot online για μερικές μέρες, θα παρατηρήσετε ότι το Conficker θα κάνει μεγάλο χαμό, παρά τις επίπονες προσπάθειες μεγάλων εταιρειών να σταματήσουν την εξάπλωση του. Μιλάμε για ένα worm το οποίο έχει υπό τον έλεγχό του χιλιάδες (αν όχι εκατομμύρια) μηχανήματα!

Διαβάστε όλο το άρθρο στο deltaHacker Απριλίου (τεύχος 007). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και security που δεν κυκλοφορεί στα περίπτερα και απευθύνεται σε όλους, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

Tags: ,

Apr 07 2012

Παγίδες για τα malware του κόσμου όλου!

Categories:

Honeypots, Malware

by

Όλοι μας θυμόμαστε κάποια προσωπική περιπέτεια, η οποία περιλαμβάνει τον υπολογιστή μας και κάποιο μολυσμένο αρχείο. Πόσοι από εμάς άλλωστε έχουμε καθαρίσει τον υπολογιστή κάποιου φίλου ή συγγενή; Αν όχι όλοι, σίγουρα οι περισσότεροι! Βλέπετε, στη γειτονιά είναι γνωστό: «Απ’ αυτά ξέρει ο Γιώργος, στους από πάνω», όπου βεβαίως στη θέση του Γιώργου μπορείτε να βάλετε το όνομά σας! Πόσα όμως ξέρει ο Γιώργος για το malware που κυκλοφορεί στις μέρες μας; Μήπως ο Γιώργος πρέπει να κάνει κάτι, ώστε ν’ αποκτήσει περισσότερες γνώσεις επί του θέματος και να συγχρονιστεί με το σήμερα;

Θα περίμενε κανείς ότι μετά από μερικά χρόνια εμπειρίας, είναι πια τόσες οι γνώσεις μας ώστε δεν κινδυνεύουμε από καμία Διαδικτυακή απειλή. Ωστόσο κάτι τέτοιο δεν ισχύει στην πραγματικότητα κι όποιος το ισχυριστεί καλά θα κάνει να ‘ναι έξτρα προσεκτικός. Βλέπετε, σχεδόν καθημερινά εμφανίζεται νέο και πιο εξελιγμένο malware (malicious software). Αναρωτιέστε τι ακριβώς είναι αυτό; Πρόκειται για λογισμικό που κατασκευάζεται με δόλια κίνητρα, το οποίο διεισδύει σε ένα σύστημα χωρίς εξουσιοδότηση και εκτελεί κάποια ανεπιθύμητη εργασία. Το μεγάλο πρόβλημα με το malware είναι το εξής: Σε αντίθεση με έναν εισβολέα, ο οποίος θα έθετε σαν στόχο του δυο-τρία μηχανήματα, το malware στοχοποιεί ολόκληρα δίκτυα! Ένα καλά σχεδιασμένο malware αναζητά ακατάπαυστα υπολογιστές με συγκεκριμένες αδυναμίες και μπορεί να εξαπολύει αυτοματοποιημένες και εξειδικευμένες επιθέσεις σε εκατοντάδες μηχανήματα. Αναρωτιέστε ποιό είναι το κίνητρο πίσω από τη συγγραφή του malware; Κύριο μοχλός ανάπτυξης αποτελεί το κέρδος. Κάθε υπολογιστής που περνάει στον έλεγχο ενός ατόμου, μέσω της μόλυνσης από κακόβουλο λογισμικό, μπορεί να «πουληθεί» σε τρίτους ή και να αξιοποιηθεί από τον ίδιο το δημιουργό του malware, για μαζικές και φυσικά παράνομες ενέργειες (βλέπε (D)DoS attacks, αποστολή spam κ.ο.κ.). Υπάρχει ένα ενδιαφέρον βίντεο από το DEFCON 18, στο οποίο ένας πρώην προγραμματιστής malware εξιστορεί το πώς αναγκάστηκε να φτάσει εκεί και τι ακριβώς περιελάμβανε η «εργασία» του…

Διαβάστε όλο το άρθρο στο deltaHacker Απριλίου (τεύχος 007). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και security που δεν κυκλοφορεί στα περίπτερα και απευθύνεται σε όλους, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

Tags: ,

Mar 30 2012

Ωραίο SSH honeypot, αλλά για το σπιτάκι!

Categories:

Honeypots

by

Είμαστε σίγουροι πως η ιδέα των honeypots, τα οποία παρουσιάσαμε στο άρθρο που αρχίζει από τη σελίδα 12 του παρόντος, σας κέντρισε το ενδιαφέρον και με το παραπάνω! Κατανοητό κι αναμενόμενο, μιας και πρόκειται για ένα πραγματικά ξεχωριστό concept στον τομέα της ασφάλειας. Θα χαρείτε επομένως με το νέο ότι μπορείτε εύκολα να στήσετε μια διαδικτυακή παγίδα στο οικιακό σας δίκτυο, χάρη στην οποία θα καταγράφετε τις κινήσεις οποιουδήποτε κακόβουλου χρήστη επιχειρεί να σας επιτεθεί από το Internet!

Για να δημιουργήσουμε το δικό μας honeypot χρειάζονται οπωσδήποτε δύο πράγματα: Πρώτον, έναν υπολογιστή που θα χρησιμοποιηθεί γι’ αυτόν το σκοπό και, δεύτερον, το λογισμικό που θα προσομοιώσει τη λειτουργία μιας επιθυμητής, δικτυακής υπηρεσίας.

Ο υπολογιστής αυτός μπορεί να ‘ναι είτε μια φυσική μηχανή που έχουμε ξεχασμένη κάπου στο σπίτι είτε μια εικονική μηχανή που θα δημιουργήσουμε και θα τρέχουμε στο υπάρχουν μηχάνημά μας είτε ένα VPS (βλ. και deltaHacker 005, σελ. 44). Για το δικό μας παράδειγμα, η διαδικασία θα πραγματοποιηθεί χρησιμοποιώντας μια εικονική μηχανή (virtual machine, VM) που θα δημιουργηθεί με τη βοήθεια του δημοφιλούς VirtualBox, σε φυσικό υπολογιστή (host machine) με Windows 7. (Αν είστε νεοφερμένος στον κόσμο του virtualization γενικότερα ή/και του VirtualBox ειδικότερα, πριν συνεχίσουμε παροτρύνεστε να διαβάσετε σχετικό άρθρο που έχουμε δημοσιευμένο online — και να δείτε τα συνοδευτικά screencasts).

Διαβάστε όλο το άρθρο στο deltaHacker Μαρτίου (τεύχος 006). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και infosec που δεν κυκλοφορεί στα περίπτερα, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

Tags: ,

Mar 27 2012

Γλυκές παγίδες!

Categories:

Honeypots

by

Είναι δυνατόν να προστατευτείς από έναν άγνωστο εχθρό; Μάλλον όχι! Γι’ αυτό άλλωστε δημιουργήθηκε και η έκφραση μάθε τον εχθρό σου και οι Rage Against the Machine την έκαναν τραγούδι: Know your enemy. Εμείς, από την πλευρά μας, λέμε να την εφαρμόσουμε στους υπολογιστές και γι’ αυτό θα στήσουμε δικτυακές παγίδες, ώστε να μελετήσουμε τη συμπεριφορά των επιτιθέμενων!

deltaHacker Μαρτίου (τεύχος 006) | Γλυκές παγίδες!

Οι ιστορίες δικτυακών επιθέσεων μου προκαλούσαν πάντα το ενδιαφέρον. Είχα την απορία για το πώς ακριβώς δρουν αυτοί οι διαβόητοι attackers, όπως επίσης και για το τι κάνουν αργότερα, με τα συστήματα που καταφέρνουν και παραβιάζουν. Είναι βλέπετε δύσκολο –και μάλλον παράξενο–, να προσπαθείς να προστατευτείς από κάτι για το οποίο δεν γνωρίζεις σχεδόν τίποτα! Ας σκεφτούμε όμως και κάτι ακόμα: Δεν θα ήταν χρήσιμο να εμπλουτίζαμε τη σκέψη μας, με τα τεχνάσματα που σκέφτεται ή/και χρησιμοποιεί στην πράξη ένας εισβολέας; Δεν θα ‘χε ενδιαφέρον να μαθαίναμε πώς καταφέρνει, ό,τι καταφέρνει; Ε, λοιπόν, υπάρχει ένας ασφαλής τρόπος να ανακαλύψουμε τα παραπάνω, μαθαίνοντας πολλά νέα πράγματα και διασκεδάζοντας! Αναρωτιέστε πώς; Η απάντηση είναι απλή και ακούει στο όνομα honeypot!

Διαβάστε όλο το άρθρο στο deltaHacker Μαρτίου (τεύχος 006). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και infosec που δεν κυκλοφορεί στα περίπτερα, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

Tags:

Page 22 of 29« First...10...2021222324...Last »