Honeypot: Log4Pot
Februar 29, 2024 Lesezeit: 5 Minuten
Log4Pot Honeypot System
Log4Pot ist ein Honeypot, der speziell für die Erkennung von Angriffen auf das Log4j-Framework entwickelt wurde. Log4j ist eine weit verbreitete Logging-Bibliothek für Java-Anwendungen, die von vielen Unternehmen und Organisationen verwendet wird. Aufgrund einer schwerwiegenden Sicherheitslücke, die Ende 2021 bekannt wurde (CVE-2021-44228), wurden viele Systeme mit Log4j anfällig für potenzielle Angriffe.
Im Detail funktioniert Log4Pot, indem es eine simuliert verwundbare Log4j-Instanz bereitstellt, die auf Anfragen von potenziellen Angreifern reagiert. Log4j ist eine leistungsstarke und weit verbreitete Logging-Bibliothek für Java-Anwendungen. Sie ermöglicht es Entwicklern, Logging-Funktionalität in ihre Anwendungen zu integrieren, um wichtige Ereignisse und Nachrichten während der Laufzeit zu protokollieren. Das Protokollieren von Ereignissen ist ein wesentlicher Bestandteil der Entwicklung und Wartung von Software, da es Entwicklern ermöglicht, das Verhalten ihrer Anwendungen zu überwachen, Fehler zu diagnostizieren und Leistungsprobleme zu identifizieren.
Log4j bietet eine flexible Konfiguration, die es Entwicklern ermöglicht, Lognachrichten in verschiedene Ausgabekanäle wie Dateien, Konsolen, Datenbanken und mehr zu leiten. Darüber hinaus unterstützt Log4j verschiedene Logging-Levels, darunter DEBUG, INFO, WARN, ERROR und FATAL, die es Entwicklern ermöglichen, die Granularität der protokollierten Informationen anzupassen.
Eine der bemerkenswerten Funktionen von Log4j ist seine Unterstützung für Logger-Hierarchien, die es Entwicklern ermöglichen, Lognachrichten auf verschiedene Ebenen innerhalb einer Anwendung zu organisieren und zu steuern. Dies ermöglicht eine präzise Kontrolle darüber, welche Lognachrichten protokolliert werden sollen und auf welchem Level dies geschehen soll.
Log4j wurde von der Apache Software Foundation entwickelt und wird aktiv in einer Vielzahl von Java-Anwendungen und -Frameworks eingesetzt, darunter Apache Tomcat, Apache Struts und viele andere.
Ende 2021 wurde jedoch eine schwerwiegende Sicherheitslücke in Log4j bekannt (CVE-2021-44228), die es Angreifern ermöglichte, Remote-Code-Ausführung auf betroffenen Systemen durchzuführen. Diese Sicherheitslücke führte zu einer weit verbreiteten Sicherheitskrise und zwang Organisationen weltweit dazu, ihre Systeme zu überprüfen und zu patchen, um das Risiko von Angriffen zu minimieren.
Diese Anfragen können speziell präparierten Payloads enthalten, die auf die Sicherheitslücke abzielen. Wenn ein potenzieller Angreifer versucht, die Sicherheitslücke auszunutzen, zeichnet Log4Pot alle Interaktionen auf und sammelt Informationen über den Angreifer sowie die verwendeten Angriffstechniken.
Die Hauptziele von Log4Pot sind:
1. Identifizierung von Angriffen: Log4Pot erkennt und protokolliert Angriffe, die auf die Sicherheitslücke in Log4j abzielen, um potenziell gefährdete Systeme zu schützen.
2. Analyse von Angriffsmustern: Durch die Analyse der aufgezeichneten Aktivitäten können Sicherheitsexperten Muster und Trends bei Angriffen auf Log4j identifizieren, um präventive Maßnahmen zu entwickeln und die Sicherheit zu verbessern.
3. Frühzeitige Warnungen und Reaktionen: Log4Pot ermöglicht es Organisationen, frühzeitig über potenzielle Angriffe informiert zu werden, damit sie angemessene Gegenmaßnahmen ergreifen können, um ihre Systeme zu schützen.
Insgesamt trägt Log4Pot dazu bei, die Sicherheit von Systemen, die das Log4j-Framework verwenden, zu verbessern, indem es potenzielle Angriffe erkennt, analysiert und darauf reagiert.
Hier sind einige weitere Details zu Log4Pot:
Funktionen: Log4Pot kann auf verschiedenen Ports auf Log4Shell-Ausnutzungsversuche hören. Es kann Ausnutzungsversuche in Anforderungszeilen und Headern erkennen und Exploit-Payloads rekursiv herunterladen. Es kann sowohl in Dateien als auch in Azure Blob Storage protokollieren1.
Verwendung: Sie können das Installationsdokument überprüfen, um weitere Informationen darüber zu erhalten, wie Sie den Honeypot ordnungsgemäß installieren, konfigurieren und ausführen können.
Ergebnisse: Mit Log4Pot wurden verschiedene Angriffstechniken und -absichten beobachtet, darunter Standard-Exploits, erhöhte Verschleierung, Versuche, Metasploit Meterpreter-Payloads oder Reverse Shells bereitzustellen, Cryptominers und Botnet-Erweiterungen.
Ein Honeypot ist ein Sicherheitsmechanismus, der dazu dient, Hacker zu täuschen und Cyberangriffe ins Leere laufen zu lassen. Er simuliert Netzwerkdienste oder Anwendungsprogramme, um Angreifer anzulocken und das Produktivsystem vor Schäden zu schützen.
Die Funktionsweise eines Honeypots ist ebenso raffiniert wie einfach. Im Kern handelt es sich um eine nach außen hin anfällig erscheinende, aber sorgfältig überwachte und kontrollierte Umgebung. Ihr primäres Ziel ist es, Angreifer anzulocken und dabei wertvolle Informationen über deren Methoden und Absichten zu sammeln.
Link zum Artikel: Honeypotting Log4Shell Exploitation Attempts
Honeypot: Mailoney
Februar 29, 2024 Lesezeit: 3 Minuten
Mailoney HoneyPot System
Mailoney ist ein Honeypot, der entwickelt wurde, um Angriffe auf E-Mail-Server zu erkennen und zu analysieren. Genauer gesagt zielt Mailoney darauf ab, Angriffe auf das Simple Mail Transfer Protocol (SMTP) und andere mit E-Mails verbundene Dienste zu simulieren und Angreifer zu identifizieren, die Schwachstellen in diesen Diensten ausnutzen wollen.
Hier sind einige Details zum Funktionsprinzip von Mailoney:
1. **Simulation eines verwundbaren E-Mail-Servers**: Mailoney simuliert einen E-Mail-Server, der anfällig für bestimmte Arten von Angriffen ist. Dies kann bedeuten, dass der Honeypot bestimmte Schwachstellen aufweist oder bewusst fehlerhaft implementiert wurde, um Angriffe anzulocken.
2. **Überwachung eingehender Verbindungen und Anfragen**: Mailoney überwacht eingehende Verbindungen von potenziellen Angreifern sowie die von ihnen gesendeten Anfragen. Dies umfasst das Protokollieren von SMTP-Transaktionen, das Aufzeichnen von Datenverkehr und das Sammeln von Informationen über die Angreifer.
3. **Analyse von Angriffsmustern**: Durch die Analyse der aufgezeichneten Aktivitäten kann Mailoney Muster und Trends bei Angriffen auf E-Mail-Server identifizieren. Dies ermöglicht es Sicherheitsexperten, potenzielle Bedrohungen zu erkennen und entsprechende Gegenmaßnahmen zu entwickeln.
4. **Warnung und Reaktion**: Basierend auf den erfassten Daten kann Mailoney Warnungen ausgeben, wenn verdächtige Aktivitäten festgestellt werden, und Sicherheitspersonal oder Administratoren benachrichtigen, damit sie angemessen reagieren können.
Durch die Bereitstellung eines simulierten, aber realistisch aussehenden E-Mail-Servers kann Mailoney dazu beitragen, potenzielle Angriffe auf E-Mail-Infrastrukturen zu erkennen und zu analysieren, um die Sicherheit von Organisationen zu verbessern.
Mailoney ist ein SMTP-Honeypot, der von Phin3has entwickelt wurde. Hier sind einige technische Details zu Mailoney:
Funktionen: Mailoney kann verschiedene Arten von Modulen oder Typen bereitstellen, die benutzerdefinierte Modi für Ihre Bedürfnisse bieten. Es gibt drei Arten von Modulen für Mailoney:
open_relay - Ein generischer offener Relay, der versucht, vollständige Text-E-Mails zu protokollieren, die versucht wurden zu senden.
postfix_creds - Dieses Modul protokolliert einfach Anmeldeinformationen aus Anmeldeversuchen.
schizo_open_relay - Dieses Modul protokolliert alles und wurde von @botnet_hunter entwickelt.
Verwendung: Sie können das Installationsdokument überprüfen, um weitere Informationen darüber zu erhalten, wie Sie den Honeypot ordnungsgemäß installieren, konfigurieren und ausführen können.
Voraussetzungen: Ein funktionierender MySQL-Server ist erforderlich, wenn Sie das MySQL-Ausgabe-Plugin verwenden.
Ein Honeypot ist ein Sicherheitsmechanismus, der dazu dient, Hacker zu täuschen und Cyberangriffe ins Leere laufen zu lassen. Er simuliert Netzwerkdienste oder Anwendungsprogramme, um Angreifer anzulocken und das Produktivsystem vor Schäden zu schützen.
Die Funktionsweise eines Honeypots ist ebenso raffiniert wie einfach. Im Kern handelt es sich um eine nach außen hin anfällig erscheinende, aber sorgfältig überwachte und kontrollierte Umgebung2. Ihr primäres Ziel ist es, Angreifer anzulocken und dabei wertvolle Informationen über deren Methoden und Absichten zu sammeln2.
Honeypot: SentryPeer
Februar 29, 2024 Lesezeit: 4 Minuten
SentryPeer (SENTRYPEER is a registered trademark of Gavin Henry) ist ein Honeypot, der speziell entwickelt wurde, um SIP-Server vor schädlichen Akteuren zu schützen. Hier sind einige Details zu SentryPeer:
Funktionen: SentryPeer ist ein Betrugserkennungstool. Es lässt schädliche Akteure versuchen, Telefonanrufe zu tätigen und speichert die IP-Adresse, von der sie kamen, und die Nummer, die sie versucht haben anzurufen.
Verwendung: Sie können das Installationsdokument überprüfen, um weitere Informationen darüber zu erhalten, wie Sie den Honeypot ordnungsgemäß installieren, konfigurieren und ausführen können.
Voraussetzungen: Ein funktionierender MySQL-Server ist erforderlich, wenn Sie das MySQL-Ausgabe-Plugin verwenden
SentryPeer ist ein fraud detection tool. Es ermöglicht es böswilligen Akteuren, Telefonanrufe zu tätigen, und speichert die IP-Adresse, von der aus sie stammen, sowie die Nummer, die sie anzurufen versucht haben. Diese Details können dann verwendet werden, um Benachrichtigungen im Netzwerk des Dienstanbieters zu generieren, und das nächste Mal, wenn ein Benutzer/Kunde versucht, eine gesammelte Nummer anzurufen, können Sie entsprechend handeln.
Beispiel:
Angenommen, Sie betreiben Ihre eigene VoIP-Telefonanlage vor Ort. Was SentryPeer Ihnen in diesem Zusammenhang ermöglicht, ist der Zugriff auf die Liste der Telefonnummern (über die RESTful API), wenn Ihre Benutzer ausgehende Anrufe tätigen. Wenn Sie einen Treffer erhalten, erhalten Sie eine Vorwarnung, dass möglicherweise ein Gerät innerhalb Ihres Netzwerks versucht, bekannte Sondierungs-Telefonnummern anzurufen, die entweder von:
- Nummern, die von Ihren eigenen SentryPeer-Knoten gesammelt wurden
- Nummern, die von anderen SentryPeer-Knoten gesehen wurden und über das Peer-to-Peer-Netzwerk an Ihren Knoten repliziert wurden
Dies würde es Ihnen ermöglichen, eine Benachrichtigung von Ihren Überwachungssystemen zu generieren, bevor Sie teure Anrufe tätigen oder etwas Schlimmeres passiert.
Was würde zu diesem Szenario führen?
- Potenzieller Voicemail-Betrug. Dies kann passieren, wenn Sie das Anrufen einer eingehenden Nummer (Ihre DID/DDI) zulassen, um zu Ihrem Voicemail-System zu gelangen, und dann nach einer PIN fragen. Diese PIN ist schwach und das Voicemail-System ermöglicht es Ihnen, '*' zu drücken, um die Caller-ID zurückzurufen, die eine Voicemail hinterlassen hat. Der Angreifer hat eine Voicemail hinterlassen, und sie raten dann Ihre PIN und rufen sie zurück. Die CLI ist eine bekannte Nummer, die von SentryPeer gesehen wurde. Sie können darauf alarmieren.
- Ein Gerät wurde entführt und/oder ein Softphone oder ähnliches verwendet die Anmeldeinformationen, die sie vom GUI des Telefons gestohlen haben, um sich bei Ihrem System anzumelden und Anrufe an eine von SentryPeer gesehene Nummer zu tätigen.
- Ein unschuldiger Benutzer ruft eine Phishing-Nummer oder eine bekannte teure Nummer usw. an, die SentryPeer zuvor gesehen hat.
Traditionell wird diese Daten an einen zentralen Ort gesendet, sodass Sie die von Ihnen gesammelten Daten nicht besitzen. Dieses Projekt dreht sich um das Peer-to-Peer-Sharing dieser Daten. Der Benutzer, der die Daten besitzt, und verschiedene Service Provider / Netzwerkprovider-bezogene Feeds der Daten sind der Schlüsselaspekt für mich. Ich bin es leid, dass alle Dienste da draußen sie behalten und verkaufen. Wenn Sie es gesammelt haben, sollten Sie die Wahl haben, es zu behalten und/oder es mit anderen Mitgliedern der SentryPeer-Community über P2P-Methoden zu teilen.