Der HoneyBot der HoneyPot ;=)

Wie ihr vielleicht schon wisst interessiere ich mich sehr für forensische analysen von Malware. Um dies zu bewerkstelligen gibt es verschiedene Varianten. Eine Variante davon die ich euch erläutern möchte ist ein sogenannter Honeypot.

Ein Honeypot ist im Grunde nichts anderes als ein Simulator…. Er simuliert einem Angreifer das sein Einbruch funktioniert hat. Parallel dazu zeichnet er alles auf. Diese Aufzeichnungen können dann dazu verwendet werden Auswertungen zu erstellen um zu sehen was für neue Angriffsmethoden ausgeführt werden.

Das Tool das ich hier auf einer Virtuellen Maschine verwende nennt sich HoneyBot. Es öffnet nach dem Start ca. 1300 Ports und zeichnet alles auf was auf diesen Ports läuft. Mein HoneyPot Server ist momentan unter der Adresse http://873.25.41/ erreichbar.



Zahlreiche weitere Ports sind natürlich offen unter anderem ein SMTP Port der ein Relay simuliert.

Falls nun ein Angreifer versucht etwas illegales zu machen sieht man das in den geloggten Packeten.
Hier ein Beispiel:

Ein Angreifer Versucht zum Beispiel die /etc/passwd unseres HoneyPot auszulesen in dem er auf die Adresse:
http://84.73.225.241/../../../../../../../etc/passwd geht.
In unserm Log von HoneyBot sieht man dann genau dies und kann somit den Angriff zurück verfolgen oder eine Statistik erstellen.

Zum Download von HoneyBot: HoneyBot Download

comments powered by Disqus