Honeypot: Cowrie
Februar 29, 2024 Lesezeit: 4 Minuten
Honeypot System Cowrie
Cowrie ist ein Honeypot, der entwickelt wurde, um SSH (Secure Shell) Angriffe zu simulieren und zu protokollieren. Er ist ein mittel bis hoch interaktiver SSH- und Telnet-Honeypot, der entwickelt wurde, um Brute-Force-Angriffe und die Interaktionen von Angreifern zu protokollieren. In der mittleren Interaktionsstufe (Shell) emuliert Cowrie ein UNIX-System in Python, während es in der hohen Interaktionsstufe (Proxy) als SSH- und Telnet-Proxy fungiert, um das Verhalten von Angreifern auf ein anderes System zu beobachten.
Einige der Hauptmerkmale von Cowrie sind:
Emulation eines UNIX-Systems: In der Standardkonfiguration bietet Cowrie eine gefälschte Dateisystemumgebung, die einer Debian 5.0-Installation ähnelt.
Dateiinteraktion: Angreifer können Dateien wie /etc/passwd einsehen, und Cowrie speichert Dateien, die mit wget/curl heruntergeladen oder mit SFTP und scp hochgeladen wurden, zur späteren Inspektion.
Protokollierung: Sitzungsprotokolle werden in einem UML-kompatiblen Format gespeichert, das eine einfache Wiedergabe mit dem bin/playlog-Dienstprogramm ermöglicht.
Erweiterbarkeit: Cowrie kann als reiner Telnet- und SSH-Proxy mit Überwachungsfunktionen oder in Verbindung mit QEMU-emulierten Servern betrieben werden, um Angreifern Systeme zum Einloggen bereitzustellen.
Cowrie ist Open Source und die Dokumentation sowie der Quellcode sind auf GitHub verfügbar.
Hier sind einige weitere Details zum Cowrie Honeypot:
1. **Funktionsweise**: Cowrie ahmt einen SSH-Server nach und simuliert ein Einwahlterminal. Wenn ein potenzieller Angreifer eine Verbindung zum Cowrie-Server herstellt, zeichnet Cowrie alle Interaktionen auf, einschließlich der eingegebenen Befehle und der versuchten Anmeldeinformationen.
2. **Protokollierung**: Cowrie zeichnet eine Vielzahl von Informationen auf, darunter Benutzeraktionen, Befehlsversuche, Dateiübertragungen und mehr. Diese Protokolle können verwendet werden, um Angriffstrends zu identifizieren, Angriffsmethoden zu verstehen und Sicherheitsvorkehrungen zu verbessern.
3. **Emulation von Schwachstellen**: Cowrie kann so konfiguriert werden, dass er bekannte Schwachstellen und Sicherheitslücken in SSH-Implementierungen emuliert. Dies kann dazu beitragen, Angriffe zu verlangsamen oder zu erkennen, die auf diese Schwachstellen abzielen.
4. **Benutzerdefinierte Konfiguration**: Administratoren können Cowrie an ihre Bedürfnisse anpassen, indem sie verschiedene Einstellungen und Konfigurationsoptionen ändern. Dies umfasst die Emulation von spezifischen SSH-Servern, die Konfiguration von Authentifizierungsmethoden und vieles mehr.
5. **Integration mit anderen Sicherheitstools**: Cowrie kann mit anderen Sicherheitstools und SIEM (Security Information and Event Management)-Systemen integriert werden, um die protokollierten Daten weiter zu analysieren und zu korrelieren.
6. **Offene Quelle**: Cowrie ist ein Open-Source-Projekt, was bedeutet, dass der Quellcode frei verfügbar ist und von der Community weiterentwickelt und verbessert werden kann.
Insgesamt bietet Cowrie eine effektive Möglichkeit, SSH-Angriffe zu erfassen und zu analysieren, um die Sicherheit von Netzwerken und Systemen zu verbessern. Es dient als wertvolles Werkzeug für Sicherheitsexperten, um Angriffstrends zu verstehen und angemessene Gegenmaßnahmen zu ergreifen.
Cowrie wird von Michel Oosterhof gepflegt.
Hier sind einige zusätzliche Ressourcen, die Sie für Informationen über den Cowrie Honeypot nutzen können:
Mialikescoffee Blog: Dieser Blog bietet eine Anleitung zur Installation eines Cowrie Honeypots und diskutiert dessen Einsatz zur Erkennung von Angriffsmustern und Verhaltensanalyse.
GitHub Repository Cowrie: Das offizielle GitHub-Repository für Cowrie, wo Sie den Quellcode finden und zur Entwicklung beitragen können.
Wikipedia Cowrie: Ein kurzer Überblick über Cowrie als mittelinteraktiven SSH- und Telnet-Honeypot auf Wikipedia3.
Mobilistics Blog: Ein weiterer Blog, der die Einrichtung und Verwendung von Cowrie als Honeypot beschreibt4.
Diese Quellen bieten eine gute Grundlage, um mehr über Cowrie zu erfahren und wie Sie es für Ihre Sicherheitsforschung einsetzen können.
Honeypot: Endlessh
Februar 29, 2024 Lesezeit: 4 Minuten
Endlessh Honeypot System
Endlessh ist eine Honeypot-Software, die als SSH-Tarpit dient, welche absichtlich sehr langsam ein endloses, zufälliges SSH-Banner sendet. Das Ziel von Endlessh ist es, SSH-Clients für Stunden oder sogar Tage zu binden, indem es sie in diese Tarpit lockt, während der echte SSH-Server auf einem anderen Port betrieben wird. Da die Tarpit im Banner vor jeglichem kryptografischen Austausch stattfindet, hängt dieses Programm nicht von kryptografischen Bibliotheken ab. Es ist ein einfaches, einzelthreadiges, eigenständiges C-Programm, das `poll()` verwendet, um mehrere Clients gleichzeitig zu fangen.
Einige der Hauptfunktionen von Endlessh sind:
- **Verzögerung der Nachrichten**: Die Verzögerung zwischen den einzelnen Bannerzeilen kann in Millisekunden eingestellt werden.
- **Maximale Bannerzeilenlänge**: Die Länge jeder Zeile wird zufällig bestimmt, und es gibt eine Einstellung für die maximale Länge jeder Zeile.
- **Maximale Anzahl von Clients**: Es gibt eine Einstellung für die maximale Anzahl von Clients, die gleichzeitig akzeptiert werden.
- **Protokollierung**: Endlessh kann Protokolle auf verschiedenen Detailebenen erstellen, von ruhig bis hin zu sehr detaillierten Debugging-Informationen.
Die Hauptziele von Endlessh sind:
Reduzierung von Brute-Force-Angriffen: Indem es Angreifer beschäftigt hält, verringert es die Anzahl der Angriffe, die ein echter Server erleiden würde.Ablenkung von Angreifern: Es lenkt Angreifer von den tatsächlichen Diensten ab und erhöht so die Sicherheit des Systems.
Sammeln von Informationen: Durch das Protokollieren der Verbindungsversuche können Administratoren Muster erkennen und die Sicherheitsmaßnahmen verbessern.
Endlessh ist eine Honeypot-Software, die entwickelt wurde, um SSH (Secure Shell) Angriffe zu verlangsamen und zu vereiteln, indem sie eine scheinbar endlose SSH-Verbindung für Angreifer bereitstellt. Hier sind einige Details zur Endlessh Honeypot-Software:
1. **Zweck**: Endlessh zielt darauf ab, Angreifer aufzuhalten, die versuchen, SSH-Dienste zu scannen oder Brute-Force-Angriffe durchzuführen, indem es eine endlose SSH-Verbindung für sie bereitstellt. Anstatt eine typische SSH-Verbindung zu öffnen, die eine Authentifizierung erfordert, akzeptiert Endlessh die Verbindung und hält sie offen, ohne eine vollständige Authentifizierung durchzuführen.
2. **Funktionsweise**: Wenn ein Angreifer versucht, sich über SSH mit einem System zu verbinden, auf dem Endlessh läuft, akzeptiert Endlessh die Verbindung und antwortet mit einer scheinbar endlosen Zeichenfolge von zufälligen Daten. Da die Verbindung nicht abgelehnt wird und keine normale SSH-Interaktion stattfindet, verschwendet der Angreifer Zeit und Ressourcen, während er auf eine Antwort wartet, die niemals kommt.
3. **Verzögerung von Angriffen**: Endlessh verlangsamt nicht nur potenzielle Angriffe, sondern kann auch dazu beitragen, dass Angreifer ihre Angriffe abbrechen oder sich von dem System abwenden, da sie glauben könnten, dass die Verbindung unterbrochen ist oder das System nicht reagiert.
4. **Einfache Konfiguration und Implementierung**: Endlessh ist einfach zu konfigurieren und zu implementieren und erfordert keine komplexen Einstellungen oder Konfigurationen. Es kann auf Linux-Systemen und anderen Betriebssystemen installiert werden, auf denen SSH-Dienste ausgeführt werden.
5. **Open-Source**: Endlessh ist eine Open-Source-Software, was bedeutet, dass der Quellcode frei verfügbar ist und von der Community weiterentwickelt und verbessert werden kann.
Insgesamt bietet Endlessh eine einfache und effektive Möglichkeit, SSH-Angriffe zu verlangsamen und zu vereiteln, indem es eine endlose SSH-Verbindung für Angreifer bereitstellt. Durch die Verzögerung von Angriffen kann Endlessh dazu beitragen, die Sicherheit von Systemen zu verbessern und potenzielle Bedrohungen zu reduzieren.
Weitere Informationen und der Quellcode sind auf dem offiziellen GitHub-Repository von Endlessh verfügbar.
Honeypot: Heralding
Februar 29, 2024 Lesezeit: 3 Minuten
Heralding Honeypot System
Die Heralding Honeypot-Software ist eine spezialisierte Lösung, die entwickelt wurde, um Angreifer zu erkennen, die spezifische Schwachstellen oder Angriffsmuster in Netzwerken oder Systemen ausnutzen.
Das Einsatzszenario für das Heralding Honeypot-System ist die Sammlung von Anmeldeinformationen von Angreifern, die versuchen, sich über verschiedene Protokolle wie FTP, Telnet, SSH, HTTP(S), POP3(S), IMAP(S), SMTP, VNC, PostgreSQL und SOCKS5 zu verbinden¹. Heralding wird typischerweise eingesetzt, um:
1. **Angriffsversuche zu erkennen**: Es identifiziert und protokolliert Versuche, sich mit falschen Anmeldeinformationen anzumelden.
2. **Angriffsmuster zu analysieren**: Durch die Aufzeichnung der Anmeldeversuche können Muster und häufig verwendete Anmeldeinformationen erkannt werden.
3. **Netzwerksicherheit zu verbessern**: Die gesammelten Daten helfen dabei, die Sicherheitsmaßnahmen zu verstärken und aufkommende Bedrohungen zu verstehen.
Hier sind einige Details zur Heralding Honeypot-Software:
1. **Zweck**: Heralding ist darauf ausgerichtet, Angriffe zu "herauszufordern" oder zu "provozieren", indem es gezielt bestimmte Schwachstellen oder Dienste emuliert, die häufig von Angreifern ausgenutzt werden. Durch die Bereitstellung dieser Köderdienste können Sicherheitsfachleute potenzielle Angriffe frühzeitig erkennen und auf sie reagieren.
2. **Funktionsweise**: Heralding emuliert oder simuliert bestimmte Dienste oder Systeme, die als attraktive Ziele für Angreifer dienen sollen. Dies können bekannte Schwachstellen, ungeschützte Dienste oder potenzielle Angriffsvektoren sein. Wenn ein Angreifer versucht, auf den simulierten Dienst zuzugreifen oder ihn zu kompromittieren, zeichnet Heralding die Aktivitäten des Angreifers auf und alarmiert Sicherheitsteams über potenzielle Bedrohungen.
3. **Vielseitigkeit**: Heralding kann verschiedene Dienste und Protokolle emulieren, darunter Webserver, Datenbanken, FTP-Server, DNS-Server und mehr. Durch die Flexibilität und Anpassungsfähigkeit von Heralding können Sicherheitsfachleute die Köderdienste an die spezifischen Anforderungen ihres Netzwerks oder ihrer Anwendungen anpassen.
4. **Alarme und Benachrichtigungen**: Heralding kann Warnmeldungen und Benachrichtigungen generieren, wenn verdächtige Aktivitäten erkannt werden. Diese Benachrichtigungen können an Sicherheitsteams gesendet werden, um eine schnelle Reaktion auf potenzielle Angriffe zu ermöglichen.
5. **Integration**: Heralding kann in bestehende Sicherheitsinfrastrukturen integriert werden, einschließlich SIEM-Systemen (Security Information and Event Management), Intrusion Detection- und Präventionssystemen (IDPS) und anderen Überwachungstools.
6. **Open Source**: Heralding ist eine Open-Source-Software, was bedeutet, dass der Quellcode frei verfügbar ist und von der Community weiterentwickelt und verbessert werden kann.
Insgesamt bietet Heralding eine leistungsstarke Lösung zur Früherkennung von Angriffen, indem es gezielt potenzielle Angreifer anlockt und ihre Aktivitäten überwacht. Durch die Bereitstellung von Köderdiensten können Sicherheitsteams proaktiv auf Bedrohungen reagieren und die Sicherheit ihrer Netzwerke und Systeme verbessern.
Sie können mehr über den Heralding Honeypot auf dem offiziellen GitHub-Repository Heralding erfahren oder die Software über PyPI herunterladen. Für eine Bewertung und weitere Details können Sie auch den Linux Security Expert besuchen.
Honeypot: qHoneypots
Februar 29, 2024 Lesezeit: 3 Minuten
qHoneypots Honeypot System
qHoneypots ist ein Honeypot System. Diese Systeme sind Sicherheitsmechanismen, die als Köder dienen, um Angreifer anzulocken und ihre Aktivitäten zu überwachen. Sie simulieren echte Systeme oder Netzwerkdienste, um Informationen über Angriffsmuster und Angreiferverhalten zu sammeln. Dadurch können Sicherheitsexperten Schwachstellen identifizieren und die Verteidigungsstrategien verbessern.
Die Honeypots antworten non-blocking zurück und können als Objekte verwendet oder direkt mit den integrierten Auto-Konfigurationsskripten aufgerufen werden! Außerdem sind sie einfach einzurichten und anzupassen; es dauert 1-2 Sekunden, um einen Honeypot zu starten. Sie können mehrere Instanzen desselben Typs hochfahren. Für eine einfache Integration kann die Ausgabe in eine Postgres-Datenbank, Dateien, die Konsole oder Syslog protokolliert werden.
Dieses Honeypots-Paket ist das einzige Paket, das alle folgenden Funktionen enthält: DHCP, DNS, Elastic, FTP, HTTP-Proxy, HTTPS-Proxy, HTTP, HTTPS, IMAP, IPP, IRC, LDAP, Memcache, MSSQL, MySQL, NTP, Oracle, PJL, POP3, PostgreSQL, RDP, Redis, SIP, SMB, SMTP, SNMP, SOCKS5, SSH, Telnet, VNC.
1. **Zweck und Ziel**: Das qHoneypots-Projekt zielt darauf ab, Sicherheitsfachleuten eine Sammlung von Honeypot-Werkzeugen und -Konfigurationen bereitzustellen, die verwendet werden können, um potenzielle Angriffe auf Netzwerke und Systeme zu erfassen und zu analysieren. Die Tools und Konfigurationen sind darauf ausgerichtet, verschiedene Arten von Angriffen und Angriffsvektoren zu simulieren und Angreifer zu erkennen, die versuchen, auf die bereitgestellten Köderdienste zuzugreifen.
2. **Verfügbarkeit**: Die qHoneypots-Sammlung ist als Open-Source-Projekt auf GitHub verfügbar, was bedeutet, dass der Quellcode frei zugänglich ist und von der Community weiterentwickelt und verbessert werden kann. Dies fördert die Zusammenarbeit und den Austausch von Ideen zwischen Sicherheitsexperten und Entwicklern.
3. **Tools und Konfigurationen**: Die Sammlung enthält verschiedene Honeypot-Tools und Konfigurationen, die entwickelt wurden, um bestimmte Dienste oder Protokolle zu emulieren und potenzielle Angreifer anzulocken. Dazu gehören beispielsweise HTTP-Honeypots, SSH-Honeypots, FTP-Honeypots und andere.
4. **Flexibilität und Anpassungsfähigkeit**: Die Tools und Konfigurationen in der qHoneypots-Sammlung sind flexibel und anpassbar, um den spezifischen Anforderungen und Bedürfnissen von Sicherheitsfachleuten gerecht zu werden. Sie können je nach Bedarf konfiguriert und eingesetzt werden, um eine Vielzahl von Angriffsszenarien zu simulieren und zu überwachen.
5. **Community-Beitrag**: Die qHoneypots-Sammlung ermutigt zur aktiven Beteiligung und Mitwirkung der Community. Benutzer können Fehler melden, Vorschläge machen und Codebeiträge einreichen, um zur Weiterentwicklung und Verbesserung der Tools und Konfigurationen beizutragen.
Insgesamt bietet das qHoneypots-Projekt eine nützliche Ressource für Sicherheitsexperten, die Honeypots einsetzen möchten, um potenzielle Angriffe zu erkennen und zu analysieren. Durch die Bereitstellung von Tools und Konfigurationen erleichtert es die Implementierung und Nutzung von Honeypot-Technologien zur Verbesserung der Sicherheit von Netzwerken und Systemen.
Sie können Informationen zu qHoneypots auf GitHub finden. Es gibt ein Repository namens “honeypots” von qeeqbox, das 30 verschiedene Honeypots in einem Paket anbietet. Dieses Paket scheint eine Vielzahl von Protokollen zu unterstützen und kann für die Überwachung von Netzwerkverkehr, Bot-Aktivitäten und Anmeldeinformationen verwendet werden. Für weitere Details können Sie das Repository direkt auf GitHub besuchen