Hallo.

Ich wollte heute einmal erklären, wie man sich einen Amun Honeypot auf einem Linux System installiert. (Getestet wird hier in einer VM mit Debian 5.0 Lenny)

Vorneweg: Ich erkläre das ganze anhand der aktuellen Amun Version 0.1.7, da mir das am sinnvollsten erscheint. Vorraussetzungen für die erfolgreiche Einrichtung sind Basiskenntnisse im Umgang mit Linux, besonders Debian Systemen.

Was benötigt man dafür?

Als allerstes natürlich ein funktionierendes Hostsystem. Hierbei empfiehlt sich ein kleiner vServer, den man dann ausschließlich nur für den Honeypot verwendet. Oder alternativ auch ein kleiner HomeServer. Extra einen teuren Rootserver würde ich dafür nicht kaufen.

Dazu basiert Amun auf der Python Skriptsprache. Sollte der passende Interpreter noch nicht installiert sein, könnt ihr diesen sehr einfach nachinstallieren:

$ su -
$ apt-get install python

Desweiteren braucht Amun noch die Psyco Erweiterung für Python, welche ebenfalls im Debian Repository zu finden sein sollte.

$ su -
$ apt-get install python-psyco
$ exit

Und zu guter letzt noch den eigentlich Amun Honeypot, welcher hier zu finden ist: http://sourceforge.net/project/platformdownload.php?group_id=221628

Möchtet ihr submit-mysql oder log-mysql nutzen, wird außerdem noch MySQLdb benötigt. Wenn ihr log-surfnet nutzen möchtet, wird psycopg2 genutzt.

Vorbereitungen & Konfiguration

Ihr steht jetzt vor eurem frischen Debian System und habt Python und Python-Psyco installiert. (Falls die beiden Module genutzt werden, auch die anderen Pakete.)
Legt einen neuen User “Amun” an und meldet euch mit diesem an. Geht in das Homeverzeichnis des Users und ladet euch per wget die aktuelle Amun Version.
Extrahiert das tar.gz Archiv und begeht euch in den Ordner. Ihr findet weitere Unterordner wie config/, log-modules/ usw. vor. Doch bevor wir uns der Konfiguration widmen, werden wir dem System erstmal sagen, das Amun beim Systemstart mitgestartet werden soll. Dazu benötigen wir ein kleines Startscript:

#!/bin/sh
# Amun Honeypot Startscript

# path to amun server
amuncommand=”/usr/bin/env python /home/amunserver/amun/amun_server.py”

case “$1″ in
start)
echo -n “Starting Amun Honeypot… ”
start-stop-daemon –start –quiet –pidfile /var/run/amunserver.pid –make-pidfile –background –exec $amuncommand
echo “done.”
;;
stop)
echo -n “Stoping Amun Honeypot… ”
start-stop-daemon –stop –quiet –pidfile /var/run/amunserver.pid
echo “done.”
;;
*)
echo “Usage: /etc/init.d/amun {start|stop}”
exit 1
;;
esac

exit 0

In der Variable amuncommand gebt ihr den Pfad zum amun_server.py, samt Pythonumgebung an. Speichert das Script als amun unter /etc/init.d/amun ab.
Nun könnt ihr Amun jederzeit per /etc/init.d/amun {start|stop} starten oder stoppen.

Jetzt müssen wir dem System noch sagen, er soll es bei jedem Systemstart starten.

$ su -
$ update-rc.d amun defaults
$ exit

Fertig. Ab sofort startet Amun jedesmal beim booten des System mit. Endlich können wir mit der Konfiguration des Amun Honeypots beginnen.

Geht wieder in das Verzeichnis, wohin ihr den Amun Honeypot entpackt habt. Dort cd’t ihr in das conf/ Verzeichnis.
Passen wir jetzt zuerst einmal die amun.conf an. Dazu öffnet ihr diese mit einem beliebigen Editor. (vim oder nano)

### define the amun server ip
ip: 0.0.0.0

Dort könnt ihr, falls der Server mehrere IP Adressen besitzt eine von diesen eintragen, oder per 0.0.0.0 einfach auf allen Adressen horchen lassen.

### define submission modules
submit_modules:
submit-md5,
#    submit-anubis,
#    submit-cwsandbox,
#    submit-joebox

Solltet ihr eure Malware an verschiedene Sandbox-Dienste schicken wollen, nehmt die # vor submit-anubis und/oder submit-cwsandbox und/oder submit-joebox weg.

### define logging modules
log_modules:
#    log-surfnet

Hier sind die logging Module. Standard steht hier nur das log-surfnet Modul auskommentiert drinne. Hier könnt ihr noch nach belieben log-blastomat, log-mail, log-mysql und log-syslog adden. (Auf die Konfiguration dieser Dienste gehe ich aber nicht weiter ein.)

Unter den vuln_modules usw. braucht ihr nichts verändern. Solltet ihr allerdings hinter einem Router oder einer Firewall sitzen, müsst ihr diese Ports die bei den vuln_modules angegeben sind dort forwarden, da euer Honeypot sonst keine Angriffe erhalten kann. (Wie auch, wenn der “Zutritt” zum System nicht gewährt ist? :p)
Als einfachste Methode empfiehlt sich hier einfach eine DMZ für den Server zu öffnen.

Schauen wir uns jetzt die Konfiguration der submit Module an.

### define the email address reports should be sent to
### (set to None if only logging to submission.log should be enabled)
reportToEmail: None

Ersetzt das None mit einer eurer E-Mail Adressen um die Logs an diese E-Mail geschickt zu bekommen. (Achtung, nutzt ein extra Postfach für die Logs, da es sehr viele werden.)
Dies tut ihr in allen 3 submit Modulen, falls ihr alle 3 nutzen möchtet.

Soweit, so gut. Was die log Module angeht, müsst ihr selber mal schauen, da ich sie nie wirklich genutzt habe. Sollte aber nicht sonderlich schwer sein, da alles in den Files kommentiert ist.

Voil’a. Euer Amun Honeypot ist soweit erfolgreich konfiguriert. Ihr könnt diesen jetzt per /etc/init.d/amun start zum Leben erwecken.

Viel Spaß nun mit eurem frischen Amun Honeypot. :]

Anmerkungen, Probleme, usw. bitte als Kommentar verfassen.

© duke for Piraten in der Wüste, 2009. | Permalink | 5 comments | Add to del.icio.us
Post tags: Amun, tutorial

Feed enhanced by Better Feed from Ozh

Viele werden sich sicher fragen, wie man sich überhaupt solch einen Honeypot, oder auch liebevoll “honeyboi” von Kollegen genannt, am besten und am schnellsten aufsetzt.

Im Prinzip ist alles recht einfach und folgt den Prinzipiellen Linux Kompiliermethoden (./configure, make, make install…)

Aber ich werde die ganze Prozedur trotzdem einmal für blutige Anfänger und jenen, welche Interesse am lesen von Tutorials haben aufschreiben. Wer sich jedoch nicht durch das ewige kompilieren des Tutorials quälen möchte, dem kann durch ein inoffizieles Debian Package verholfen werden. (Download hier.)
(Alternativ kann diese Version auch glaube bei Debian Lenny per Aptitude geladen werden.)

Desweiteren werde ich, wie ihr sicher schon erkannt habt, dass ganze an Debian erklären. Es sollte sich aber nicht als schwieriger erweisen, dies bei anderen Distributionen durchzuführen. Allerdings beläuft sich die ganze Installation auf den “Standard”. Das heißt, der Honeypot startet, loggt sich auf einem IRC Server für den Report ein, sendet die gesammelte Malware an CWSandbox und das war’s.

Nun okay. Fangen wir an.

Ihr braucht auf dem Server, wo ihr den Honeypot installieren wollt, uneingeschränkte root Rechte.
Es werden ein paar Pakete benötigt, ohne diese kann eine Installation nicht gewährleistet werden.

Loggt euch zunächst per “root” oder per Befehl “su” auf eurem Server ein. Stellt sicher, dass eure “sources.list” auf dem neusten Stand ist. Solltet ihr dessen nicht sicher sein, führt ein “apt-get update” aus, dann seid ihr auf der sicheren Seite. Stellt außerdem jetzt sicher, ob gewisse Programme, die zum kompilieren notwendig sind, auf dem Server vorhanden sind.
Installiert diese per: “apt-get install make g++”

Desweiteren brauch der Honeypot auch noch einige Pakete, die per “apt-get install libcurl3-dev libmagic-dev libpcre3-dev libadns1-dev libpcap0.8-dev iptables-dev” nachinstalliert werden können.

Sollte dies getätigt sein, fügt einen neuen User per “useradd nepenthes -d /var/lib/nepenthes/ -m -s /bin/bash” hinzu. Gebt dem User jetzt noch ein neues Passwort per “passwd nepenthes”.

Besorgt euch jetzt den Sourcecode von nepenthes.
Dies wird durch ein
“wget http://dfn.dl.sourceforge.net/sourceforge/nepenthes/nepenthes-0.2.2.tar.gz && tar xvf nepenthes-0.2.2.tar.gz” ausgeführt. Es sollte nun ein Ordner “nepenthes-0.2.2″ erstellt worden sein, geht nun per “cd nepenthes-0.2.2″ in diesen Ordner. Durch ein “ls” vergewissert ihr euch, ob alle Dateien im Ordner sind.

Ein “./configure –prefix=/” stellt erst einmal sicher, ob alle Programme die benötigt werden vorhanden sind. Außerdem gibt der Parameter “–prefix=/” an, dass das ganze im Rootverzeichnis (etc/, var/, usw.) installiert wird. Kompilieren wir das Teil nun endlich mit dem Befehl “make”. Sollte alles geklappt haben, wird alles ordentlich per “make install” in seine Verzeichnise installiert und per “make clean” werden alle jetzt unbrauchbaren Dateien gelöscht.  Herzlichen Glückwunsch, der erste Teil des Honeypots hast du erfolgreich geschafft. Erinnerst du dich noch an den neu erstellten User? Der wird jetzt benötigt. Es müssten Besitzerrechte vergeben werden, damit der Honeypot die gesammelte Malware speichern kann und nicht etwa vor verschlossenen Türen steht. Das tut ihr aber auch mit einem einzigen Befehl: “chown nepenthes -R /var/lib/nepenthes”. Soweit, so gut. Die Konfiguration muss angepasst werden. Macht euch zunächst mit einem Konsolentexteditor wie “vi” oder “nano” vertraut. Hierbei muss ich sagen, das nano für Anfänger einfacher zu verstehen ist. Gut, fahren wir fort. Die erste Konfigurationsdatei die angepasst werden muss, ist die “/etc/nepenthes/nepenthes.conf”.
Ihr öffnet diese also nun mit eurem bevorzugten Texteditor und springt zu Zeile 35, wo einem als allererstes zwei //  und dahinter ein “submitnorman.so” in die Augen fällt. Die beiden // dürfen jedoch nicht sein, löscht sie weg und euer Honeypot wird die gesammelten Malwarebinarys an die CWSandbox senden, von welcher ihr dann eure Reports zu der jeweiligen Malware an eure E-Mail Adresse erhaltet.
Zeile 42 beherbergt ebenfalls noch zwei dieser Auskommentierungszeichen (//). Die werden auch wieder terminiert und euer Honeypot sollte alle Aktivitäten in einen IRC Channel loggen. Dies ist aber nicht unbedingt von Nöten, der Honeyboi wird auch so alles in einer Logdatei aufschreiben. Nun gut. Speichert den ganzen Kram jetzt erstmal ab und widmet euch der nächsten Configdatei “/etc/nepenthes/submit-norman.conf”. Hier müsst ihr eigentlich nicht viel einstellen, lediglich in Zeile 4, welche “email” seien sollte, eure E-Mail angeben, an die die Reports der CWSandbox verschickt werden. Erneut speichern und dann sind wir fast am Ziel. Wenn ihr euren Honeypot im IRC loggen lassen wollt, editiert die “/etc/nepenthes/log-irc.conf”. Dort sollte ebenfalls alles klar seien, tragt in Zeile 3 bei use-tor eine 0 ein, andernfalls wird euer Honeypot nicht im IRC joinen, da kein TOR Daemon auf eurem Server läuft.
Weiter unten, im server-Block (Zeile 14, 15 und 16) sind die Serverinformationen, sprich die Hostname oder IP vom Server, der Port, welcher Standard 6667 ist und falls gebraucht, ein Server Passwort. Der user-Block (Zeile 21, 22, 23 und 24) sind für die Identifikation von Nöten. Also der Nickname, die Ident, die Userinfo und die Usermodes, die der Bot setzen soll. Der channel-Block (Zeile 29 und 30) hat nur einen Raum und eventuell das Passwort für diesen. Darunter in Zeile 34 ist noch ein Individueller Connect Command, der beim verbinden mit dem Server getätigt werden kann. (zB. eine Identifikation beim NickServ.)
Dort müsst ihr aber vorher die beiden // löschen, damit das ganze nicht mehr auskommentiert ist.

Gut, alles geschafft. Ah, okay. Vergesst nicht, wenn ihr den Server zu Hause stehen habt, besitzt ihr sicher einen Router mit eingeschalteter Firewall. Nein, die müsst ihr nich ausschalten, jedoch einige Ports für den Honeypot freigeben. Welche das sind, seht ihr nachfolgend:

Port       Vuln            Module

42    MS04-006     vuln_wins
80    MS03-007     vuln_asn1
135   MS03-039     vuln_dcom
139                vuln_netbiosname
443   FIXME        vuln_iis
445   FIXME        vuln_asn1
1023               vuln_sasserftpd
1025  FIXME        vuln_dcom
1434  MS02-039     vuln_mssql
2103  MS05-017     vuln_msmq
2105  MS05-017     vuln_msmq
2107  MS05-017     vuln_msmq
2745               vuln_bagle
3127               vuln_mydoom
3140               vuln_optix
5000  MS01-059     vuln_upnp
5554               vuln_sasserftpd
17300              vuln_kuang2
27347              vuln_sub7

Startet nun euren frisch installieren Honeypot über “/bin/nepenthes -u nepenthes”.
Es sollte euch nun die Fleischfressende Pflanze entgegen kommen und erfolgreich starten. Es kann passieren, dass rote Meldungen erscheinen, sprich Fehler. Manche sind weniger kritisch, andere schon. Haltet Ausschau nach diesen. Wenn Fehler wie “ERROR Binding :21 failed” erscheinen, belegt ein anderes Programm diesen Port. Wenn es nicht gerade ein wichtiger Dienst ist, lasst euch per “lsof” die Prozesse mit jeweiligen Bindings anzeigen und killt danach den Prozess. Wenn Konfigurationsprobleme erscheinen, schaut die jeweiligen Konfigurationsdateien nach Fehlern durch. Das zweite ist nun, dass ihr kein Init.d Script besitzt, womit ihr den Honeypot nun jedes mal beim Systemstart mitstarten lassen könntet, bzw. als Daemon laufen lassen. Ihr werdet bemerken, dass wenn ihr eure Shell ausmacht, auf die der Honeypot gerade läuft, auch der Honeypot ausgehen wird. Für jene, die keine Ahnung von Bash haben, habe ich ein kleines Script gefunden, welches von Surfnet erstellt wurde.
Download: nepenthes

Ladet das Script einfach herunter und packt es nach “/etc/init.d/” und macht die Datei per “chmod +x /etc/init.d/nepenthes” ausführbar.
Wenn ihr euren Potty nun per Systemstart starten möchtet, setzt die Einträge per “update-rc.d nepenthes defaults” in die Runlevels. Andernfalls, startet euren Honeypot nun über “/etc/init.d/nepenthes”.

Fertig. Euer Honeypot sollte jetzt glücklich laufen und jeden Angriff auf euer System bemerken und die dazugehörige Malware sammeln. Nach kurzer Zeit sollte die CWSandbox diese Malware analysiert haben und euch einen Report per E-Mail zukommen lassen.

Der Honeypot hat auch noch andere Zusatzmodule in seinen Modulordner, jedoch hab ich dort nichts weiter groß zum laufen gebracht. (Was wohl auch an meine Faulheit liegt, nachzuforschen, welche Pakete usw. fehlen.)
Probiert einfach ein wenig herum, vielleicht findet ihr ein paar Interessante Features.

Ich hoffe ihr versteht das Tutorial und könnt dadurch euren nepenthes aufsetzen. Über Kommentare und Kritiken würde ich mich sehr freuen. Nutzt dazu einfach die Kommentarfunktion.

~ duke

Edit:
Ich wurde darauf hingewiesen, dass die Portliste in dem Tutorial (welche von der nepenthes doku stammt) nicht mehr aktuell ist. Um dies zu umgehen, geht auf euren Server und schaut, welche Ports nepenthes für sich verwendet. (Das tut ihr mit “lsof -P | grep nepenthes | grep *:”. Stellt sicher das ihr dies mit Root Rechten ausführt, da es sonst zu Permission Denied Fehlern kommen kann.)
Gebt die weiteren Ports dann noch in eurem Router/Firewall frei.

© duke for Piraten in der Wüste, 2008. | Permalink | One comment | Add to del.icio.us
Post tags: honeypot, nepenthes, tutorial

Feed enhanced by Better Feed from Ozh