THT DUYURU

 
 
Siber Güvenlik Siber Güvenlik ile alakalı araçların kullanımı, bilgi paylaşımı ve siber güvenlik eğitimi ile ilgili kaynakların paylaşıldığı alanımızdır.

Seçenekler

HoneyPot Sisteminde Kippo Kullanımı

MekoR - ait Kullanıcı Resmi (Avatar)
İstihbarat Tim
Üyelik tarihi:
02/2010
Mesajlar:
637
Konular:
30
Teşekkür (Etti):
114
Teşekkür (Aldı):
520
Ticaret:
(0) %
7
816
01-12-2020 22:50
#1







Merhaba Değerli THT Ailesi



Bugün sizlere HoneyPot Teknolojisi için geliştirilmiş olan Kippo ve Kippo-Graph aracını anlatacağım.
Sistemimizden, kendi kurguladığımız bir HoneyPot sistemine örnek bir saldırı yapıp HoneyDrive sisteminden yapılan saldırıyı inceleyip örneklendireceğiz.



Konu İçeriği;

> Kısaca HoneyPot Mantığı Nedir?
> Nasıl Kurulur?
> Kippo Aracı Kullanımı
> Kippo Graph Kullanımı
> HoneyPot Nasıl Tespit Edilir?



Kısaca HoneyPot Mantığı Nedir?



Honeypot, sistemimize gelen saldırı ve atakları tespit etmek, ve gerçek sistemimizi gizleyip hedefi yanıltmak için geliştirilmiş bir teknolojidir.İsminden de anlaşılacağı gibi HoneyPot (Bal Küpü) teknolojisi, dışarıdan bakıldığında çok davetkar görünür ve hedefi bu kurgu sistemimize saldırmaya teşvik eder.Hedef saldırgan ise bu kurgulanmış sisteme saldırır ve kullandığı teknikler, yöntemler ve izlediği kurallar bize rapor edilir.Bu sayede gerçek sistemimizi daha sıkı önlemler alarak koruruz.



Nasıl Kurulur?

> Aşağıdaki adresten HoneyDrive.ova dosyasını indirelim ve sanal makinede çalıştıralım.Ben Royal Jelly sürümünü indireceğim.

- İNDİRME LİNKİ-





Import işleminin ardından sanal makinemiz üzerinden HoneyDrive’ı başlatabiliriz.



Terminali açıp ‘ifconfig’ yazıyoruz ve bu sistemde kullandığımız IP Adresini öğreniyoruz.





Kippo Aracı Kullanımı

Şimdi ise HoneyDrive işletim sistemi içerisinde yüklü gelen Kippo aracını çalıştıracağız.Saldıran kişinin Shell sistemimize erişebilmek için kullandığı bütün yöntemleri kayıt altına alan python ile yazılmış bir projedir.



Kippoyu kullanabilmek için terminal’den /home$ dizinine inmemiz gerekiyor.



Honeydrive dizinine girdiğimizde karşımıza tool’lar çıkıyor.Buradan kippo dizinine girelim ve ‘bash start.sh’ komutuyla başlatalım.





Gördüğünüz gibi Kippo’yu aktif ederek HoneyPot’umuzu çalıştırma komutumuzu verdik.Şuanda birkaç basit adımla HoneyPot teknolojisi devreye girdi.Şimdi diğer işletim sisteminden ’10.0.2.4' IP Adresine bir ağ taraması gerçekleştirelim.



Not: Ben bu işlem için Nmap kullanacağım.



Linux için: ‘sudo apt-get install nmap’ komutu ile indirebilirsiniz.
Nmap -sV 10.0.2.4 komutuyla taramayı başlatıp sonuca bakalım.



Nmap raporuna baktığımızda hedef sistemde 80 portunda http ve 22 portunda SSH servisinin aktif olduğunu görmekteyiz.Nmap ile hedef sisteme request yolladık şimdi HoneyDrive sisteminden kippo aracılığı ile kontrol edelim.



> Bunun için honeydrive dizinin içinde bulunan kippo klasörüne girin.
> log dizinine girdikten sonra kippo.log dosyasını 'cat kippo.log' komutu ile kontrol edebilirsiniz.



'10.0.2.15' Ip adresinden sisteme 22 portu üzerinden erişilmeye çalışıldığı fakat sonuç alınamadığını rapor olarak gösteriyor.
Şimdi nmap ile HoneyDrive sistemini sorgulayalım ve az önce tespit ettiğimiz 22 portundan ssh bağlantısı kurmayı deneyelim.



'ssh [email protected]10.0.2.4' komutu ile bağlantı kurmaya çalıştık fakat disconnected aldık.Hemen kippo’daki log dosyamızı kontrol edelim.



Log dosyamızda işaretlediğim yerde belirtildiği üzere farklı cihazdan ssh bağlantısı kurmaya çalışırken alınan hata burada bize rapor ediliyor.



'Ssh [email protected]10.0.2.4' komutu ile kendi üzerimizde ssh bağlantısı kurmaya çalışıyoruz.Varsayılan şifremiz ‘123456’ fakat biz test için şifremizi yanlış girelim.
Çok sayıda yanlış giriş denemesinden sonra ‘Permission Denied’ hatası ile bağlantıyı reddetti.Şimdi ise kippo log kayıtlarını tekrar kontrol edelim ve denemiş olduğumuz parolalar kayıt altına alınmış mı bakalım.



Kırmızı ile işaretlenmiş yerlerde denediğimiz parolaları görmekteyiz.Bu demektir ki sistemimize saldıran birinin deneyeceği şifreleri de bu kısımda görebileceğiz.Ve kendi sistemimiz için ssh bağlantı şifrelememizi duruma göre güçlendirebileceğiz.
Varsayılan şifremiz ‘123456’ demiştik.Şimdi tekrar ssh bağlantısı kuralım ve bu sefer şifremizi doğru girelim



Ssh bağlantısını başarıyla gerçekleştirdikten sonra /etc dizinine inelim ve şifreyi görelim.Genel sızma testlerinde ilk başta bu kısıma bakılmaktadır.
/etc dizinine indikten sonra tekrar HoneyDrive log dosyamızı kontrol edelim.





Raporda görüldüğü üzere saldırganın her hareketini görebildiğimizitest etmiş olduk.HoneyDrive ile oluşturmuş olduğumuz tuzak sistemimize sızmaya çalışan kişi hangi port’u deniyor, hangi yöntemle saldırmaya çalışıyor ve hangi dizinlere erişmek istiyor, hepsini kippo bize rapor olarak sundu.

Kippo – Graph Kullanımı

Yukarıda da belirttiğimiz gibi karşı tarafın sistemimiz üzerinde yaptığı her hareketi, kippo bize log halinde sundu.Şimdi ise bu incelediğimiz hareketlerden daha kapsamlı bilgi elde edebilmek için yine kippo’nun grafiksel hali olan Kippo Graph aracına bir bakalım.



Öncelikle tarayıcımızı açalım ve url kısmına aşağıdaki bağlantıyı yazalım,

Kod:
http://localhost/kippo-graph/


Not: Deneme yaptığımız için HoneyPot’u kendi sistemimize kurduk bu yüzden bağlantıya localhost yazdık.
Dış ağdaki bağlantı için localhost kısmına honeypot kurulan sistemin ip adresi yazılmaktadır.Bu kısmı honeydrive/config içerisinden değiştirebiliriz.



Karşımıza böyle bir sayfa çıkıyor.Homepage başlığının sağ tarafındaki Kippo-Graph bölümüne girelim.



Açılan bölümün en üst kısmında En çok denenen 10 parola grafiği yer almaktadır.
Ssh bağlantısı gerçekleştirmek isterken denemiş parolalar burada listelenmektedir.



Yukarıdaki kısımda ise en çok kullanılan 10 username yazmaktadır.Biz sadece ‘root’ ismini kullandığımız için bu kısımda birtek o gözükmektedir.



En çok kullanılan 10 Kullanıcı adı-Şifre kombinasyonlarını burada görebiliriz.Hemen altındaki dairesel görünümde ise bu kullanımların grafiksel modelini görmek mümkün.



Yukarıdaki kısımda yaptığımız giriş denemelerinin başarı oranı ve günlük/haftalık erişim sayılarını görebiliriz.



Burada hangi IP Adresi sisteme ne kadar bağlantı isteği gönderdiği yazmaktadır.Alt kısımda ise yüzdelik olarak belirtilmiştir.



Hangi IP Adresinden kaç kez başarılı giriş yapıldığını görebiliriz.



Bu son kısımda ise saldıran kişinin hangi ssh versiyonun’dan faydalandığını görmek mümkün.



HoneyPot Nasıl Tespit Edilir?

Bu kısıma kadar HoneyPot sisteminin temel çalışma mantığından, kippo adlı aracın kullanımı ve kippo-graph aracının grafiksel-yüzdelik rapor kategorilerinden bahsettik.
Fakat bazı yazılımlar sayesinde HoneyPot olan sistem tespit edilip asıl sisteme saldırı gerçekleşebilir.
Kullanılan yazılım, sistemin HoneyPot teknolojisi ile korunup korunmadığını gösterir. Bunlardan birine örnek vermek gerekirse, Send-Safe Hunter’ı söyleyebiliriz.Bu yazılımı indirip kendi sistemizin üzerinde deneyip hangi açıklardan faydalandığını görebilir ve buna istinaden ilave tedbirler
alabiliriz.



-İNDİRME LİNKİ-



Bu yazımızda HoneyPot sisteminde kullanılan Kippo aracını anlattım.
Herkese İyi Forumlar


---------------------
Konu MekoR tarafından (02-12-2020 18:13 Saat 18:13 ) değiştirilmiştir.
BÖKE - ait Kullanıcı Resmi (Avatar)
İstihbarat Tim Lider Yardımcısı
Üyelik tarihi:
08/2016
Mesajlar:
8.661
Konular:
1240
Teşekkür (Etti):
985
Teşekkür (Aldı):
2914
Ticaret:
(0) %
08-12-2020 16:45
#2
Eline emegine saglik
---------------------
MekoR, - Teşekkür etti.
YsfTlh - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2018
Nereden:
Tekirdağ
Mesajlar:
92
Konular:
13
Teşekkür (Etti):
61
Teşekkür (Aldı):
61
Ticaret:
(0) %
08-12-2020 16:46
#3
Güzel konu emeğinize sağlık
--------------------- Söz Uçar Yazı Kalır
MekoR, - Teşekkür etti.
DarkS0LDIER - ait Kullanıcı Resmi (Avatar)
İstihbaratçı
Üyelik tarihi:
12/2019
Nereden:
Wyoming/Seul
Mesajlar:
841
Konular:
90
Teşekkür (Etti):
505
Teşekkür (Aldı):
1077
Ticaret:
(0) %
08-12-2020 16:50
#4
Eline sağlık MekoR
MekoR, - Teşekkür etti.
MekoR - ait Kullanıcı Resmi (Avatar)
İstihbarat Tim
Üyelik tarihi:
02/2010
Mesajlar:
637
Konular:
30
Teşekkür (Etti):
114
Teşekkür (Aldı):
520
Ticaret:
(0) %
08-12-2020 17:12
#5
Alıntı:
ᑕᕮᗰ ΛDΓİΛП´isimli üyeden Alıntı Mesajı göster
Eline emegine saglik
Alıntı:
YsfTlh´isimli üyeden Alıntı Mesajı göster
Güzel konu emeğinize sağlık
Alıntı:
Ellie Williams´isimli üyeden Alıntı Mesajı göster
Eline sağlık MekoR

Yorumlarınız için teşekkürler.
---------------------
- Teşekkür etti.
ICHIDH - ait Kullanıcı Resmi (Avatar)
Uzman Üye
Üyelik tarihi:
09/2013
Nereden:
Erzurum
Mesajlar:
1.517
Konular:
104
Teşekkür (Etti):
442
Teşekkür (Aldı):
693
Ticaret:
(0) %
08-12-2020 18:05
#6
Ellerine sağlık, güncel ve etkin bir konu.
MekoR, - Teşekkür etti.
kanserojen - ait Kullanıcı Resmi (Avatar)
İstihbaratçı
Üyelik tarihi:
12/2018
Mesajlar:
865
Konular:
90
Teşekkür (Etti):
767
Teşekkür (Aldı):
1219
Ticaret:
(0) %
08-12-2020 19:59
#7
Eline sağlık Mekor
---------------------
𝔦𝔰𝔱𝔦𝔥𝔟𝔞𝔯𝔞𝔱 𝔱𝔦𝔪𝔦

"Squ4LL
MekoR, - Teşekkür etti.
ConfidenT - ait Kullanıcı Resmi (Avatar)
İstihbarat Tim (Kıdemli)
Üyelik tarihi:
06/2015
Mesajlar:
2.118
Konular:
122
Teşekkür (Etti):
1990
Teşekkür (Aldı):
1215
Ticaret:
(0) %
09-12-2020 21:43
#8
Eline Sağlık . Devamı gelir inşallah.
---------------------

Yetmiş iki millete bir göz ile bakmayan / Halka müderris olsa hakikate âsîdir.
- Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler