HoneyPot Sisteminde Kippo Kullanımı

MekoR

İstihbarat Tim

Üyelik tarihi:

02/2010

Mesajlar:

637

Konular:

Teşekkür (Etti):

114

Teşekkür (Aldı):

520

Ticaret:

(0) %

816

01-12-2020 22:50

Merhaba Değerli THT Ailesi

Bugün sizlere HoneyPot Teknolojisi için geliştirilmiş olan Kippo ve Kippo-Graph aracını anlatacağım.
Sistemimizden, kendi kurguladığımız bir HoneyPot sistemine örnek bir saldırı yapıp HoneyDrive sisteminden yapılan saldırıyı inceleyip örneklendireceğiz.

Konu İçeriği;

> Kısaca HoneyPot Mantığı Nedir?
> Nasıl Kurulur?
> Kippo Aracı Kullanımı
> Kippo Graph Kullanımı
> HoneyPot Nasıl Tespit Edilir?

Kısaca HoneyPot Mantığı Nedir?

Honeypot, sistemimize gelen saldırı ve atakları tespit etmek, ve gerçek sistemimizi gizleyip hedefi yanıltmak için geliştirilmiş bir teknolojidir.İsminden de anlaşılacağı gibi HoneyPot (Bal Küpü) teknolojisi, dışarıdan bakıldığında çok davetkar görünür ve hedefi bu kurgu sistemimize saldırmaya teşvik eder.Hedef saldırgan ise bu kurgulanmış sisteme saldırır ve kullandığı teknikler, yöntemler ve izlediği kurallar bize rapor edilir.Bu sayede gerçek sistemimizi daha sıkı önlemler alarak koruruz.

Nasıl Kurulur?

> Aşağıdaki adresten HoneyDrive.ova dosyasını indirelim ve sanal makinede çalıştıralım.Ben Royal Jelly sürümünü indireceğim.

- İNDİRME LİNKİ-

Import işleminin ardından sanal makinemiz üzerinden HoneyDrive’ı başlatabiliriz.

Terminali açıp ‘ifconfig’ yazıyoruz ve bu sistemde kullandığımız IP Adresini öğreniyoruz.

Kippo Aracı Kullanımı

Şimdi ise HoneyDrive işletim sistemi içerisinde yüklü gelen Kippo aracını çalıştıracağız.Saldıran kişinin Shell sistemimize erişebilmek için kullandığı bütün yöntemleri kayıt altına alan python ile yazılmış bir projedir.

Kippoyu kullanabilmek için terminal’den /home$ dizinine inmemiz gerekiyor.

Honeydrive dizinine girdiğimizde karşımıza tool’lar çıkıyor.Buradan kippo dizinine girelim ve ‘bash start.sh’ komutuyla başlatalım.

Gördüğünüz gibi Kippo’yu aktif ederek HoneyPot’umuzu çalıştırma komutumuzu verdik.Şuanda birkaç basit adımla HoneyPot teknolojisi devreye girdi.Şimdi diğer işletim sisteminden ’10.0.2.4' IP Adresine bir ağ taraması gerçekleştirelim.

Not: Ben bu işlem için Nmap kullanacağım.

Linux için: ‘sudo apt-get install nmap’ komutu ile indirebilirsiniz.
Nmap -sV 10.0.2.4 komutuyla taramayı başlatıp sonuca bakalım.

Nmap raporuna baktığımızda hedef sistemde 80 portunda http ve 22 portunda SSH servisinin aktif olduğunu görmekteyiz.Nmap ile hedef sisteme request yolladık şimdi HoneyDrive sisteminden kippo aracılığı ile kontrol edelim.

> Bunun için honeydrive dizinin içinde bulunan kippo klasörüne girin.
> log dizinine girdikten sonra kippo.log dosyasını 'cat kippo.log' komutu ile kontrol edebilirsiniz.

'10.0.2.15' Ip adresinden sisteme 22 portu üzerinden erişilmeye çalışıldığı fakat sonuç alınamadığını rapor olarak gösteriyor.
Şimdi nmap ile HoneyDrive sistemini sorgulayalım ve az önce tespit ettiğimiz 22 portundan ssh bağlantısı kurmayı deneyelim.

'ssh [email protected]10.0.2.4' komutu ile bağlantı kurmaya çalıştık fakat disconnected aldık.Hemen kippo’daki log dosyamızı kontrol edelim.

Log dosyamızda işaretlediğim yerde belirtildiği üzere farklı cihazdan ssh bağlantısı kurmaya çalışırken alınan hata burada bize rapor ediliyor.

'Ssh [email protected]10.0.2.4' komutu ile kendi üzerimizde ssh bağlantısı kurmaya çalışıyoruz.Varsayılan şifremiz ‘123456’ fakat biz test için şifremizi yanlış girelim.
Çok sayıda yanlış giriş denemesinden sonra ‘Permission Denied’ hatası ile bağlantıyı reddetti.Şimdi ise kippo log kayıtlarını tekrar kontrol edelim ve denemiş olduğumuz parolalar kayıt altına alınmış mı bakalım.

Kırmızı ile işaretlenmiş yerlerde denediğimiz parolaları görmekteyiz.Bu demektir ki sistemimize saldıran birinin deneyeceği şifreleri de bu kısımda görebileceğiz.Ve kendi sistemimiz için ssh bağlantı şifrelememizi duruma göre güçlendirebileceğiz.
Varsayılan şifremiz ‘123456’ demiştik.Şimdi tekrar ssh bağlantısı kuralım ve bu sefer şifremizi doğru girelim

Ssh bağlantısını başarıyla gerçekleştirdikten sonra /etc dizinine inelim ve şifreyi görelim.Genel sızma testlerinde ilk başta bu kısıma bakılmaktadır.
/etc dizinine indikten sonra tekrar HoneyDrive log dosyamızı kontrol edelim.

Raporda görüldüğü üzere saldırganın her hareketini görebildiğimizitest etmiş olduk.HoneyDrive ile oluşturmuş olduğumuz tuzak sistemimize sızmaya çalışan kişi hangi port’u deniyor, hangi yöntemle saldırmaya çalışıyor ve hangi dizinlere erişmek istiyor, hepsini kippo bize rapor olarak sundu.

Kippo – Graph Kullanımı

Yukarıda da belirttiğimiz gibi karşı tarafın sistemimiz üzerinde yaptığı her hareketi, kippo bize log halinde sundu.Şimdi ise bu incelediğimiz hareketlerden daha kapsamlı bilgi elde edebilmek için yine kippo’nun grafiksel hali olan Kippo Graph aracına bir bakalım.

Öncelikle tarayıcımızı açalım ve url kısmına aşağıdaki bağlantıyı yazalım,

Kod:

http://localhost/kippo-graph/

Not: Deneme yaptığımız için HoneyPot’u kendi sistemimize kurduk bu yüzden bağlantıya localhost yazdık.
Dış ağdaki bağlantı için localhost kısmına honeypot kurulan sistemin ip adresi yazılmaktadır.Bu kısmı honeydrive/config içerisinden değiştirebiliriz.

Karşımıza böyle bir sayfa çıkıyor.Homepage başlığının sağ tarafındaki Kippo-Graph bölümüne girelim.

Açılan bölümün en üst kısmında En çok denenen 10 parola grafiği yer almaktadır.
Ssh bağlantısı gerçekleştirmek isterken denemiş parolalar burada listelenmektedir.

Yukarıdaki kısımda ise en çok kullanılan 10 username yazmaktadır.Biz sadece ‘root’ ismini kullandığımız için bu kısımda birtek o gözükmektedir.

En çok kullanılan 10 Kullanıcı adı-Şifre kombinasyonlarını burada görebiliriz.Hemen altındaki dairesel görünümde ise bu kullanımların grafiksel modelini görmek mümkün.

Yukarıdaki kısımda yaptığımız giriş denemelerinin başarı oranı ve günlük/haftalık erişim sayılarını görebiliriz.

Burada hangi IP Adresi sisteme ne kadar bağlantı isteği gönderdiği yazmaktadır.Alt kısımda ise yüzdelik olarak belirtilmiştir.

Hangi IP Adresinden kaç kez başarılı giriş yapıldığını görebiliriz.

Bu son kısımda ise saldıran kişinin hangi ssh versiyonun’dan faydalandığını görmek mümkün.

HoneyPot Nasıl Tespit Edilir?

Bu kısıma kadar HoneyPot sisteminin temel çalışma mantığından, kippo adlı aracın kullanımı ve kippo-graph aracının grafiksel-yüzdelik rapor kategorilerinden bahsettik.
Fakat bazı yazılımlar sayesinde HoneyPot olan sistem tespit edilip asıl sisteme saldırı gerçekleşebilir.
Kullanılan yazılım, sistemin HoneyPot teknolojisi ile korunup korunmadığını gösterir. Bunlardan birine örnek vermek gerekirse, Send-Safe Hunter’ı söyleyebiliriz.Bu yazılımı indirip kendi sistemizin üzerinde deneyip hangi açıklardan faydalandığını görebilir ve buna istinaden ilave tedbirler
alabiliriz.

-İNDİRME LİNKİ-

Bu yazımızda HoneyPot sisteminde kullanılan Kippo aracını anlattım.
Herkese İyi Forumlar