Honeypot – Don’t try this at home!

 Als je last hebt van bijen deze zomer, gebruik dan een honingpot om ze te vangen. Je doet wat honing in een glazen fles met een kleine hals en bijen komen kijken wat er te halen valt. Helaas vallen ze dan door de mand, want ze zijn in de val gelokt en nu opgesloten. Dit is precies hoe een honeypot op Linux functioneert.

Hackers, malware of spam worden in de val gelokt met speciale software die zich voordoet als de IT-omgeving, server of service bij een bedrijf of op echte computer thuis. De software is er echter op gericht en voor gemaakt om de boeven in de val te lokken: het is een honeypot. Honeypots bestaan in allerlei soorten en maten en worden gebruikt voor diverse doeleinden. De truc is steeds dezelfde: je opent een systeem of service bewust aan de internetzijde om aanvallen uit te lokken en te ontdekken. 

Waarom

Wil je een (nieuw) besturingssysteem testen op kwetsbaarheden, hang het dan gewoon aan internet en monitor wat er gebeurt. Zo zijn bugs en vooral security-lekken te vinden. Wil je de nieuwe SQL-database die je website bedient, testen op security? Hang hem aan internet en volg wat op poort 80 gebeurt. De kunst is het monitoren: hoe zie je en log je welke aanvallen of hackers op welke wijze toegang verschaffen? Wil je spam tegenhouden? Definieer een speciaal e-mailadres en publiceer dat overal en vaak. Mail naar dit adres komt braaf aan, maar wordt door niemand gelezen en verwijderd. Spam-filters, anti-malware, firewalls of complexere systemen voor Intrusion Detection (IDS) of Data Loss Prevention (DLP) doen dit feitelijk. Echter, ze zijn bedoeld om hackers en malware buiten de deur te houden, niet specifiek om ze te traceren. Voor de ontwikkeling van al deze vormen van security-software zijn honeypots handig om ze te testen en doorontwikkelen. Het zal je niet verbazen dat zo best wat honeypots onzichtbaar draaien. Maar een echte honeypot heeft een diepere bedoeling: die is er bewust op uit om hackers binnen te lokken met fake data, hem het gevoel te geven dat hij door de firewall komt, te loggen wat hij doet en hem te traceren.

Black en White

Niet alle hackers zijn criminelen. De white hackers – ofwel white-hat hackers – zijn hobbyisten die hacken om lekken te vinden. Maar ze doen hiermee niemand kwaad, ze spelen de lekken braaf door aan de makers van de software, zodat die in staat zijn het lek te dichten en de software beter te maken. Hackers die wel kwaad in de zin hebben, worden black hackers – ofwel black-hat hackers – genoemd. Ze zijn op privacygevoelige data of op bedrijfsgegevens uit of simpelweg op computerresources om spam door te sturen, rekenpower of netwerkconnectivity te stelen om bijvoorbeeld een DDOS uit te voeren. Honeypots hebben vooral zin bij forensisch onderzoek naar digitale black hat criminelen.

Gericht speuren

Gericht op zoek gaan naar specifieke hackers of malware, bijvoorbeeld die op de SMTP-poort toegang proberen te verschaffen, is relatief eenvoudig. Met speciale open source software, zoals de “Honey Daemon” open je toegang tot fake besturingssystemen exact op die poorten die je wilt. Honeyd is al tien jaar oud en te downloaden op http://www.honeyd.org/. Tien jaar, dat wil zeggen uit de tijd van de 1Ghz Pentium II processor. Honeyd vangt geen netwerkverkeer af, je moet er zelf voor zorgen dat hackers op het systeem komen, bijvoorbeeld door poorten je firewall door te sturen. Dit moet overigens bij alle honeypots als je ze niet fysiek aan het internet hangt. Het is wel altijd oppassen geblazen.

Dionaea

Ook ongeveer uit de tijd van Honeyd stamt Dionaea (https://github.com/DinoTools/dionaea). Aan deze goed gedocumenteerde open source software wordt flink doorontwikkeld. Het voornaamste doel van Dionaea is om nieuwe malware te ontdekken en een kopie ervan te bemachtigen. De software is modulair en gebruikt Python als scripttaal. Met Python worden netwerkprotocollen geemuleerd. Omdat Dionaea met weinig rechten op bijvoorbeeld je Ubuntu-systeem draait, loopt je systeem niet veel gevaar. Naast standaard protocollen als HTTP, HTTPS en FTP is Dionaea in staat bijvoorbeeld Microsoft SQL Server op poort 1433 na te spelen en SQL-queries af te vangen of om te luisteren naar binnenkomende VoIP-gesprekken met het Session Initial Protocol (SIP). Ook het SMB-protocol wordt al lang ondersteund, maar het vangen van het WannaCrypt-virus is pas mogelijk in één van de jongste versies van de software, waar het “lek” in het SMB-protocol is toegevoegd dat Microsoft met patch MS17-010 oplost. Dionaea ondersteunt tevens (beperkt) IoT-devices, Smart TV’s en de XBOX, zodat je ook hackers vangt die het daar op gemunt hebben. De naam Dianaea komt af van Dionaea muscipula: een vleesetende plant die vliegen lokt en vangt.

Heralding 

Een simpele honeypot is Heralding. Het enige wat Heralding doet, is het monitoren en loggen van inlogpogingen. De hacker wordt gelogd. Bij elke inlogmethode (op basis van ftp, telnet, ssh, http, https, pop3, pop3s, imap, imaps en smtp.ssh, telnet) worden de loginnamen en wachtwoorden gelogd die worden uitgeprobeerd. Afhankelijk van de distro installeer je de modules:

sudo apt-get install python3-pip python3-dev build-essential libssl-dev libffi-dev 

Indien nodig even pip bijwerken: 

sudo -H pip install –upgrade pip. 

Misschien mis je:

sudo -H pip install setuptools

Dan halen we Heralding op met:

 sudo -H pip install heralding

Het is mogelijk dat standaard de oude Python wordt aangeroepen (python 2.7) terwijl heralding een nieuwere versie nodig heeft (python 3.5). Je lost dit eenvoudig op door bijvoorbeeld /usr/bin/python te linken naar /usr/bin/python3.5. Start Heralding met sudo heralding en probeer op allerlei manieren in te loggen om de werking te testen.

Virtueel

De meeste honeypot-tools draaien in een afgeschermde omgeving of bootsen slechts protocollen en besturingssystemen na. Soms is dit een gevolg van het feit dat de tools al lang bestaan en nog van voor de tijd zijn dat virtual machines populair werden. Vandaag de dag is het slim dit soort activiteiten op een virtual machine te doen. Al was het maar om na een aanval je systeem handig terug te draaien naar de eerdere situatie. Het zal je niet verbazen dat er speciale honeypot distro’s zijn samengesteld. Een mooi voorbeeld is Honeydrive uit 2014. Honeydrive is een Ubuntu distro, waar een bonte collectie honeypot applicaties aan zijn toegevoegd. Je download de distro bij http://bruteforcelab.com/honeydrive. Alle relevante tools voor een honeypot zijn in de distro opgenomen: Kippo met bijbehorende tools, Dionaea met allerhande extra scripts, Honeyd maar ook honingpotten met namen als Amun, Glastopf, Conpot, LaBrea, ‘Thug and PhoneyC’ en veel monitoringtools. Je kunt er bijna een hele studie aan wijden. Sterker nog: als security en open source je vak is, neem je misschien deel aan de HoneyNet Project Workshop 2017 later dit jaar in november https://canberra2017.honeynet.org/.

Don’t try this at home

Natuurlijk installeer je op je thuisnetwerk even honeyd of Heralding als studie-object. Experimenteer ook eens met de SSH-honeypot die Matto verderop in dit magazine beschrijft. Andere, meer complexe, honeypot software is uiteraard ook geen probleem, maar bedenk wel goed wat je doet als je experimenteert door je firewall te openen en toegang te geven tot systemen, ook op je honeypot. Een foutje is immers zo gemaakt en dan open je misschien meer dan wenselijk is. Je haalt hackers en malware binnen, oppassen dus!