Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

Furkan ÇALIŞKAN


NSM, DFIR, WebPen, coding and stuff

Honeypot maceraları

Kurban bayramı iznine geldiğim şu günlerde epeydir kafamda olan evde kullandığım uydunet bağlantımın arkasına bir honeypot yerleştirme planımı nihayet gerçekleştirebildim. Hediye modemimin, sağolsun, DMZ desteğine sahip olması işlerimi epey kolaylaştırdı.

Honeypot'a Giriş, Kurulum ve Konfigürasyonlar

İşletim sistemi olarak Debian 8 tercihim oldu. Laptopuma VMWare workstation üzerine netinstaller'la kurduğum Debian 8'in temel ayarlarını yaptıktan sonra geriye dionaea honeypot yazılımını kurmak kaldı. Bunu da yine Ubuntu depolarından apt-get yardımcı yazılımıyla kolayca hallettim. Modemimin DMZ ayarı üzerinden honeypot makineme yönlendirdiğim bağlantım sayesinde dışarıdan WAN IP'me ulaşmak isteyen saldırgan bu ayarlar sayesinde doğrudan honeypot sunucum tarafından karşılanmaya başladı.

Dionaea varsayılan olarak SMB, HTTP, SIP, TFTP, FTP, MSSQL servislerini emule ederek yakaladığı dosyaları ve oturum bilgilerini /var/lib/dionaea altına atıyor.

Aşağıda 15 saatlik çalışma sonucunda yakaladığı bazı zararlı yazılımları listeledim;
(Dosyalar direk hash'li isimleriyle çıkıyor olsa da Clamscan yazılımı zararlı türlerini bu şekilde listeletebiliyor)

Aşağıda ise dionaea'ın sqlite veritabanına (logsql.sqlite) logladığı bilgilerden çektiğim bu zararlılara ait kaynak bilgileri mevcut;

Bu ve benzeri listeleri çekmek için /var/lib/dionaea klasörüne girip bir sqlite istemcisiyle logsql.sqlite veritabanındaki verileri kurcalamanız gerekiyor. Örneğin bu görüntüdeki veriler downloads tablosundan çekilmiş halde burada.

İsterseniz tüm bu raporlama kısmını DionaeFR ile (Django ile yazılmış bir web arayüzü) de yapabilirsiniz. Oldukça faydalı grafikler ve istatistikler döküyor.

Kurulumu için buraya bakabilirsiniz

Ve bitirirken Honeypot çıktılarını tartıştığımız Yusuf'un esprileriyle yarıldığım bir muhabbetimizi koymak istiyorum;

- Abi baksana akıyor zararlılar.
+ Çok iyi ya. Hepsini honeypot mu yakaladı bunların?
- Aynen ya. Direk EXE'leri koparıyor.
+ Millet baya baya saldırıyor desene. Ne pislik bir yermiş bu internet dünyası yahu. İnsanın private networkünden dışarıya çıkası gelmiyor.
- Ahahah
+ Akşam ezanına kadar işleri halledip eve dönmek lazım.
- Ahahahaha

`


About the author

Furkan ÇALIŞKAN


Discussions

comments powered by Disqus