it-swarm-tr.com

Bal küpü kurma

Evimde yanımda yedek bir bilgisayar var, bu yüzden onu bal küpüne dönüştürmeye karar verdim. Şimdiye kadar, üzerine Windows XP (hizmet paketi yok) yükledim ve (bazı) bağlantı noktalarını bal küpüne iletmek için yönlendiricimde kurallar ayarladım. El ile kurallar oluşturmak zorundayım. Şu anda TCP 80, 100-140 ve 1000-1500 numaralı bağlantı noktalarını iletiyorum (Bu değerleri hemen hemen rastgele seçtim). ağ trafiğini izlemek.

Ancak, bal küpü enfekte görünmüyor. Dışarıdan çok az trafik alıyorum.

Neyi yanlış yapıyorum? Diğer bağlantı noktalarını iletmem gerekiyor mu? Bir şekilde internetteki varlığımı tanıtmam gerekiyor mu?

Herhangi bir giriş için teşekkürler!

Not: Bir ev ağının içinde bir bal küpü çalıştırmanın tehlikelerini biliyorum.

16
ryyst

Sadece bal küpü makinenizin güvenliğini ve bir botnet'in bir parçası olmasını istiyorsanız, makinede güvenlik açığı bulunan hizmetleri çalıştırmanız gerekir. Seçtiğiniz korunmasız hizmetlerin bal küpü makinesine yönlendirdiğiniz bağlantı noktalarına uyması ve solucanların aktif olarak sömürmeye çalıştığı hizmetleri eşleştirmesi gerekir.

Windows XP makinesi için, 137, 138, 139 ve 445 numaralı bağlantı noktalarının yönlendirilmesi size çok sayıda saldırı trafiği sağlamalıdır.Bu bağlantı noktaları NetBIOS ve Samba içindir ve tümü internet.

Yönlendirme bağlantı noktası 80, yalnızca bal küpü makinesinde bir web sunucusu çalıştırıyorsanız faydalı olacaktır. Bir web sunucusuyla iki yöne gidebilirsiniz; HTTP arka plan programının kendisinin bilinen güvenlik açıklarına sahip eski bir sürümünü veya geçerli bir sürümü çalıştırıp daha sonra Wordpress veya phpMyAdmin gibi eski bir sürümü) çalıştırın.

Hizmetleri çalıştırmayı ve savunmasız olduklarını ve solucanların bunlardan yararlanmaya çalıştığını ummayı deneyebilirsiniz, ancak belirli solucanların hedeflediği ve bunları çalıştıran hizmetlere bakmak daha etkili olabilir.

Bu sorunu çözmenin diğer yönü, giriş noktanızda oturum açmayı etkinleştirmek ve hangi trafiğin size çarptığını görmektir. Yukarıda bahsettiğim limanlarda çok fazla trafik göreceğinizden şüpheleniyorum ama muhtemelen diğer limanlarda da trafik göreceksiniz. Ne olduğunu öğrenin bağlantı noktaları için kullanılır makinenizde bu hizmeti çalıştırın.

Honeypot'larla ilgili buna ekleyeceğim birkaç şey var:

Bir bal küpünün amacı, bir Host'u ele geçirdiğinde saldırganın veya solucanın ne yaptığını incelemektir. Egzersizin dışında bazı yararlı bilgiler edinebilmeniz için kutunun kendisinde kapsamlı izleme ve günlük kaydı ayarlamak isteyeceksiniz. Ayrıca, ne zaman taviz verildiğini bilmeniz de önemlidir. Çoğu petek, makinenin mevcut durumunu bilinen iyi bir kopyayla karşılaştırmanız için kolay bir yol sağlamak amacıyla sanal makinelerin içinde çalıştırılır. Bunu bal küpü içinden yapmak yeterli değildir, çünkü rootkit'ler karşılaştırmayı yapmak için kullandığınız araçları değiştirebilir.

Bal küpü makinesine gelen ve giden tüm trafiği izlemek isteyeceksiniz. Bununla, tam paket yakalamaları kastediyorum. Bunu yapmanın normal yolu, anahtarınızdaki bir yayılma bağlantı noktasıdır, ancak büyük olasılıkla VM anahtarınız bu özelliğe sahip değilse hipervizöründe yapılabilir). bal küpü içinde.

Balgamınızı ev ağınızda çalıştırmanın tehlikelerinin farkında olduğunuzu söylediniz. Bu, çevrimiçi duruma getirmeden önce almanız gereken önlemlerin de farkında olduğunuz anlamına gelir. Özellikle, ağınızı ve güvenlik duvarınızı, bal küpü makinesinin yerel ağınızın geri kalanına erişemeyeceği şekilde yapılandırın. Ayrıca, hangi giden bağlantıların internete başlamasına izin verdiğiniz konusunda dikkatli olmak da iyi bir uygulamadır. Sıklıkla yapmaya çalışacağı ilk şey, muhtemelen ilgilendiğiniz bir rootkit ve çalışan programları indirmektir, ancak bir sonraki şey genellikle daha fazla hedefe saldırmaya başlamaktır ve bu normalde izin vermek istediğiniz bir şey değildir.

Ayrıca var bal küpü oluşturmak için özel araçlar . Bu araçlar, tüm hipervizörü ve VM yığınları içerir.) Aynı sitede günlük, izleme ve analiz araçları ve ayrıca bir yük bir bal küpünün nasıl çalıştırılacağı hakkında bilgi ve kime saldırdığını görebilirsiniz.

17
Ladadadada

Yarattığınız şey yüksek etkileşimli bir bal küpüdür, yani bir adli tıp müfettişi tarafından ele geçirilmeyi ve daha sonra analiz edilmeyi bekleyen canlı bir sistemdir (tabii ki sizsiniz). Linux tabanlı, düşük etkileşimli bir bal küpü ile başlardım. Sanal bir dosya sistemi ve saldırganların (veya otomatik araçlarının) bunun "gerçek" bir sistem olduğuna inanmasını sağlayan sahte hizmetler yaratırken, sadece bir bal küpü hizmeti çalıştırırsınız. Probları kurmak ve yakalamak için çok kolay bir araç Kippo , bir SSH bal küpüdür. Bunun için de ilginizi çekebilecek bir görselleştirme aracı geliştiriyorum (ve elbette verilerinizin güzel bir sunumunu alacaksınız). Bir diğer iyi bilinen düşük etkileşimli bal küpü honeyd , ancak elbette ne yapmak istediğinize bağlı olarak kurmak biraz daha zor (honeyd, yönlendiriciler, sunucular, iş istasyonları, vb.).

7
Ion

Bu cevapların çoğu doğru olsa da, bazı bilgi eksiklerini hissediyorum.

Öncelikle, yüklediğiniz Honeypot türüne bağlı olduğunu açıklığa kavuşturmak istiyorum, daha sonra Düşük Etkileşimli Honeypot'ta olduğu gibi kapsamlı bir izleme yüklemek isteyip istemediğinize karar verir, genel olarak herhangi bir kapsamlı yapılandırma yapmak istemezsiniz. . ancak çoğunlukla Araştırma kategorisinde kullanılan kendi IP'si ile Yüksek Etkileşimli veya Fiziksel Honeypot kullanıyorsanız.

Bu, bir bal küpü olarak ne adlandırırsanız adlandırın, sistemin incelenmesini, saldırıya uğramasını ve potansiyel olarak sömürülmesini beklediğiniz ve hedefiniz olan Honeybot, 1000'den fazla UDP ve TCP dinleme soketlerinizi bilgisayar ve bu soketler savunmasız hizmetleri taklit etmek için tasarlanmıştır.Ayrıca küçük bir değeri olan önleme yerine bir algılama ve yanıt aracıdır.

Kullandığınız yazılıma bağlı olarak bunların çoğu e-posta ve bildirim uyarıları ile sağlanır. honyed, mantrap, honeynets gibi. Hangi güvenlik duvarları daha iyi dağıtılır.

Akılda tutulması gereken bir şey daha, Honeypot'lar saldırıya uğramazlarsa değersizdir, eğer belirtildiği gibi iseniz veya yakalamak istiyorsanız Tam paketleri, bu da Hijack'e yetenekli bir saldırgan fırsatı verdiğiniz anlamına gelir. senin bal küpü. Ve eğer bir saldırgan bal küplerinizden birini tehlikeye atmayı başarırsa, kontrolünüz altında olmayan diğer sistemlere saldırmaya çalışabilir. Bu sistemler internetin herhangi bir yerinde bulunabilir ve saldırgan hassas sistemlere saldırmak için bal küpünü basamak taşı olarak kullanabilir.

1
amrx