Modern Honeypot Network – Teil 1: Kommandozentrale auf DigitalOcean

Letztens kam mir die Idee einen Honeypot aufzusetzen, um Daten über das Vorgehen von Hackern zu sammeln. Also habe ich mich damit beschäftigt und mir mit Modern Honeypot Network (MHN) ein passendes Framework gesucht. Da ich keinen lokalen Honeypot aufsetzen wollte, habe ich eine cloudbasierte Variante mit DigitalOcean realisiert. In diesem Beitrag beschreibe ich kurz was ein Honeypot ist und wie man den MHN-Server einrichtet. In Teil 2 beschreibe ich dann exemplarisch die Einrichtung eines Sensors (des eigentlichen Honypots).

DOCH WAS GENAU IST EIGENTLICH EIN HONEYPOT?

Den Sinn eines Honeypots kann man sich aus der Übersetzung des Worts ins Deutsche eigentlich schon erschließen: Honigtopf. Ja okay.. Vielleicht bedarf es doch einer kleinen Erklärung. Ein Honeypot ist eine Netzwerkkomponente, die einen Angreifer gezielt anlocken soll. D.h. entweder soll der Angreifer von anderen wichtigen Netzwerkkomponenten ferngehalten und abgelenkt werden oder man möchte, so wie ich, gezielt sein Verhalten analysieren. Daher legt man den Köder aus, der ihm den Weg “erleichtert”, gleichzeitig aber auch in eine Sackgasse führt. Schlau oder?!

Und warum habe ich nun MHN gewählt? Ganz einfach… es ist Open Source, auf Github erhältlich und ermöglicht eine leichte Installation auf Linux-Systemen.

UND WIE IST MHN AUFGEBAUT?

MHN ist im Grund eine zentralisierter Server der als Kommandozentrale dient (sog. MHN-Server). Um ihn herum bauen wir verschiedene Sensoren, die unsere eigentlichen Honeypots sind. Auf meinem MHN-Server werden dann die ganzen Daten gesammelt. Also let´s go!

EINRICHTEN VON MHN AUF DIGITALOCEAN

Ich verzichte hier darauf, euch jetzt genau zu erklären, wie man sich bei DigitalOcean anmeldet. Das dürfte jeder hinbekommen 🙂

Wenn ihr dann ein Konto angelegt habt, müsst ihr ein neues Droplet anlegen. Als Image wählt ihr Ubuntu 18.04. aus, wählt die kleinste Größe und als Serverstandort “Frankfurt” aus (kleiner Disclaimer: die kleinste Größe reicht völlig aus, kostet aber ca. 5 Euro im Monat!). Die weiteren Optionen bleiben unbearbeitet. Dann könnt ihr das Droplet anlegen und bekommt per Mail die Zugangsdaten geschickt.

VERBINDUNGSAUFBAU ZUM DROPLET MIT PUTTY

Um nun MHN auf dem Droplet zu installieren, müsst ihr euch mit dem Protokoll SSH über PuTTY damit verbinden. Nach Öffnen von PuTTY müsst ihr einfach die in der E-Mail erhaltene IP-Adresse unter “Host Name” eingeben und “SSH” (Port: 22) auswählen. Dann solltet ihr mit “Open” die Verbindung öffnen. Danach wird man in der Shell nach dem Passwort gefragt. Dieses am besten aus der Mail kopieren und per Rechtsklick in die Shell einfügen. Dann solltet ihr ein neues Passwort festlegen, welches ihr euch natürlich merken müsst. War dies erfolgreich, seid ihr auf dem Droplet!

EINRICHTEN VON MHN AUF DEM DROPLET

Für die Einrichtung müsst ihr folgende Befehle (am besten unter dem “root” über den Befehl sudo su) eingeben:

sudo apt-get upgrade         ###Maschine auf neuen Stand bringen
sudo apt-get update          ###Updaten
cd /opt/                     ###Wechsel in Ordner /opt/
apt-get install git -y       ###Git installieren
git clone https://github.com/threatstream/mhn.git   ###Download von MHN
cd mhn                       ###Wechsel in Verzeichnis /mhn/
sudo bash install.sh         ###Installationsskript ausführen

 

Danach läuft der Installationsprozess ab, der eine Weile benötigt. Die in Bild 3 angezeigten Eingaben müsst ihr für die ersten Schritte gleich machen, sonst könnte es zu Fehlermeldungen kommen. Diese können danach in der Datei mhn/server/config.py ändern. Achtet darauf, dass ihr bei “Superuser email” auch eure Mailadresse eintragt, mit der ihr euch später bei der Kommandozentrale anmelden wollt. Beim Passwort müsst ihr ebenfalls ein eigenes für die Anmeldung wählen. Ubuntu hat die Eigenheit, dass die Eingabe nicht angezeigt wird (also nicht wundern, wenn kein Text bei der Eingabe erscheint…).

MHN Config Honeypot
Bild 3: MHN-Configuration

Ist dies erfolgreich verlaufen, so haben wir nun MHN auf dem Server installiert!! Einfach oder? Ihr habt also nun eure Kommandozentrale eingerichtet. Danach könnt ihr euch im Webbrowser unter der IP-Adresse eures Droplets einwählen und eure Daten einsehen oder neue Honeypots einrichten. Wie ihr das macht? Das zeige ich euch in Modern Honeypot Network – Teil 2: Honeypot einrichten. Euer Web-Interface müsste wie in Bild 4 aussehen.

Bild 4: Web-Interface von MHN (Login-Seite)