PC & Mobile

Apprenez à déployer un pot de miel et à visualiser ses données étape par étape

Apprenez à déployer un pot de miel et à visualiser ses données étape par étape


1. Installer et peaufiner Cowrie:

Commencez par déployer sur Digital Ocean un Droplet de base à 5 USD par mois avec 1 Go de RAM / 1 CPU: j'ai trouvé Ubuntu 18.10 x64 a bien fonctionné:

Vous serez recevoir un email avec le nom d'utilisateur / mot de passe pour SSH dedans immédiatement.

-N'oubliez pas de modifier les paramètres de votre terminal en fonction de la palette de couleurs Matrix pour améliorer vos compétences en piratage informatique-

Je suivrai les étapes détaillées dans la page GitHub du projet Cowrie, mais voici quelques conseils simples pour l’ajout de copier-coller:

sudo apt-get update
sudo apt-get install git python-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbind

Ajoutez ensuite un utilisateur Cowrie et passez à celui-ci. Nous ne pouvons pas (et ne voulons vraiment pas) exécuter Cowrie en tant que root:

sudo adduser --disabled-password cowrie
sudo su - cauris

Télécharger le code de Cowrie:

git clone http://github.com/cowrie/cowrie

Configurez l'environnement virtuel pour le pot de miel (faux système d'exploitation):

cd / home / cauris / cauris
virtualenv --python = python3 cowrie-env
source cowrie-env / bin / activate
(cowrie-env) $ pip install --upgrade pip
(cowrie-env) $ pip install --upgrade -r exigences.txt

Localisez le cowrie.cfg.dist fichier et copiez-le dans le même fichier mais nommé cowrie.cfg, c’est celui-ci que nous allons éditer.

cp /home/cowrie/cowrie/etc/cowrie.cfg.dist /home/cowrie/cowrie/etc/cowrie.cfg

Ceci est le fichier de configuration pour Cowrie, si vous voulez activer Telnet, faire changer le nom d'hôte du serveur (ça ne ressemble donc pas au pot de miel générique de Cowrie), et untel ... nous ferons les changements ici.

Par exemple, changeons le nom d’hôte: modifie la ligne nom-hôte. Facile. La plupart des champs sont explicites, changez la ligne hostname pour qu'elle ressemble à ceci:

nom d'hôte = UbuntuServer4

Pour que le Honeypot écoute sur le port 22 (par défaut, le pot de miel écoute 2222 qui nous fera rater beaucoup de choses) nous devons faire quelques changements:

Sur le fichier cowrie.cfg:

listen_endpoints = tcp: 22: interface = 0.0.0.0

Remarque: Cowrie a besoin d'un redémarrage chaque fois que vous apportez des modifications dans le fichier de configuration.

Puis exécutez ces commandes pour qu’un utilisateur non root puisse écouter sur le port 22 (bloqué par défaut et nous ne pouvons pas exécuter Cowrie en tant que root, ce qui sera nécessaire):

sudo apt-get install authbind
sudo touch / etc / authbind / byport / 22
sudo chown cauris: cauris / etc / authbind / byport / 22
sudo chmod 770 / etc / authbind / byport / 22

Puis éditez le fichier / etc / ssh / sshd_config, modifiez la ligne de port pour que votre vrai port SSH de honeypot écoute sur un port aléatoire (ne prenez pas 2222 come on!) et effectuez un redémarrage du service ssh:

vim / etc / ssh / sshd_config // Décommenter la ligne de port et changer le numéro
service ssh redémarrer

Enfin: mettre en place Cowrie sous surveillant afin que vous puissiez démoniser il:

apt install supervisor
cat> /etc/supervisor/conf.d/cowrie.conf << EOF
[program:cowrie]
commande = / opt / cowrie / bin / cowrie start
répertoire = / opt / cowrie
stdout_logfile = / opt / cowrie / var / log / cowrie / cowrie.out
stderr_logfile = / opt / cowrie / var / log / cowrie / cowrie.err
autostart = true
autorestart = true
stopasgroup = true
killasgroup = true
utilisateur = cowrieEOF
mise à jour de supervisorctl

Résoudre maintenant si cela a été démonisé correctement:

root @ Cowrie: ~ # supervisorctl
cauris FONCTIONNEMENT pid 1007, disponibilité 0:16:44

Agréable.

Vérifiez également que netstat vérifie que le processus correct est en cours d’écoute sur chaque port:

root @ Cowrie: ~ # netstat -tanpl
Connexions Internet actives (serveurs et établis)
Adresse locale Proto Recv-Q Send-Q Adresse étrangère Adresse PID / nom du programme
tcp 0 0 0.0.0.0:32328 0.0.0.0:* ÉCOUTER 922 /sshd
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 639 / systemd-resol
tcp 0 0 0.0.0.0:22 0.0.0.0:* ÉCOUTER 1007 /python3

Agréable.

Python écoute sur le port 22 est le faux système et sshd sur celui de notre vrai SSH (vous pouvez toujours utiliser la console DigitalOcean si vous vous bloquez).

Il a fallu beaucoup de copier-coller pour arriver ici, mais pensez à tous les… APPRENTISSAGE

ÉTAPES DE BONUS:

1. Faites ce qui suit pour éditer les utilisateurs pouvant accéder au pot de miel:

Commencez par copier userdb.example dans le fichier .txt pour pouvoir le modifier.

cp /home/cowrie/cowrie/etc/userdb.example /home/cowrie/cowrie/etc/userdb.txt

Puis modifiez le fichier en fonction des commentaires qu'il contient.

Protip: Rendez le pot de miel plus intéressant pour les attaquants en limitant le nombre de connexions pouvant entrer.

Protip2: Autoriser tout à étudier les attaques de campagnes de botnet.

2. Intégration à VirusTotal:

Accédez à VirusTotal et créez un compte gratuit. Vous recevrez une clé API.

Accédez au fichier cowrie.cfg et supprimez la mise en commentaire de la section VirusTotal:

[output_virustotal]
enabled = true
api_key = *** collez ici votre clé API ***
upload = True
debug = False
scan_file = True
scan_url = True

C'est une bonne idée de prendre un instantané pour 0,05 $ par mois - bat en répétant tout ce qui précède 🙂

Show More

SupportIvy

SupportIvy.com : Un lieu pour partager le savoir et mieux comprendre le monde. Meilleure plate-forme de support gratuit pour vous, Documentation &Tutoriels par les experts.

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Close
Close