Honeypot Projeleri | 6. Yazı

Bu serinin önceki yazıları

  1. Malware, Honeypot, Sandbox, Cloud 
  2. Malware Nedir ? Malware Türleri
  3. Malware Analizi
  4. HONEYPOT NEDİR?
  5. Honeypot Neden Kullanılır?

Ve şimdi de 6. yazımız olan Honeypot Projeleri isimli yazımızdayız.

 

Günümüzde en büyük güç para olmuş durumdadır. Paraya ulaşmanın yolu ise bilgiden geçiyor. Bu sebeple de büyük çaplı şirketler çok fazla saldırıya maruz kalıyor. Firmalar da kendi güvenliklerini sağlayabilmek adına çeşitli yollara başvuruyorlar. Bu güvenlik önlemleri arasında da honeypot önemli bir yer kaplıyor.

Honeypotların bu derece güvenliği sağlaması sebebiyle de bazı şirketler kendi honeypot sistemlerini oluştururken bazıları da honeypot yazılımları üretiyor, bazıları da var olan projeleri daha da güçlendirmek adına destek veriyor. Buna örnek olarak Tubitak – Ulakbim’in Kovan yazılımını örnek verebiliriz.,

Honeypot projelerini amaçlarına göre gruplayabiliriz. Veritabanı honeypotlarına yönelik olarak HoneyMysql, NoSQLpot gibi farklı örnekler mevcuttur. Delilah Python’da yazılmış bir veritabanı honeypotudur.

Web ile alakalı örnekler verecek olursak eğer Glastopf, phpmyadmin_honeypot gibi projeleri söyleyebiliriz.Servis honeypotlarına örnek olarak Honeyport, Honeyprint gibi projeleri gösterebiliriz. ICS/Scada honeypotlarına örnek olarak Conpot, Gridpot gibi projeleri verebiliriz.

Mobil analiz araçları olarak Androguard’ı örnek gösterebiliriz. Tersine mühendislik yaparak android uygulamaları analiz eder.Bunlar harici daha sayamayacağımız kadar çok sayıda honeypot projeleri bulunmaktadır. En çok kullanılan bazı honeypotları aşağıda detaylıca açıklayalım.

Dionaea

Dionaea’nın Türkçe karşılığı “Sinekkapan Bitkisi”dir.  Kendisine yaklaşan sinekleri kapıp etkisiz hale getiren bitkiye işlevsel olarak benzetildiğinden dolayı bu isim verilmiştir.  Python dili ile yazılmıştır.  Orta etkileşimli bir honeypottur. Saldırganın dikkatini çekecek açıklara sahiptir. Saldırganın kullandığı malwarelerin kopyasını alır.

Conpot

Conpot, Python diliyle yazılmış olan açık kaynak kodlu honeypot projesidir. Saldırganın yöntemleri hakkında bilgi toplar. ICS/SCADA honeypottur. Endüstriyel kontrol sistemlerini taklit edebilir. Endüstriyel alanda kullanılır.

Amun

Amun da Conpot gibi Python dili ile yazılmıştır. Açık kaynak kodlu bir honeypot projesidir. Düşük etkileşimlidir.  XML kodlarından kaynaklanan açıkları kullanan bir sistemdir.

Kojoney HonSSH

Python dili ile yazılmıştır. Twisted Conch kütüphanesi kullanılmıştır. Düşük etkileşimli bir honeypottur.  Ssh portunu kullanarak honeypot oluşturur. Açık kaynak kodlu bir projedir.

Kippo

Pyhton ile yazılmıştır. SSH honeypot projesidir. Orta etkileşimli honeypottur. Saldırganın sistemde shell ‘ e erişebilmek için kullandığı bütün kodları kayıt altına almaktadır. Kojoney projesinden esinlenerek geliştirilmiştir.

Glastopf

Python dilinde yazılmıştır. Web uygulamasıdır.  Glastopf taklit edilen binlerce veriyi toplar. Birçok honeypotun aksine, Glastopf web uygulamasında saldırganın açığa vereceği yanıtın doğru olup olmadığına odaklanır.

Kurulumu için -> https://github.com/mushorg/glastopf/blob/master/docs/source/installation/installation_ubuntu.rst

Bifrozt

Yüksek etkileşimli honeypot çözümüdür. Bir NAT cihazıdır.  Bifroztu diğer NAT cihazlarından ayıran özellik saldırgan ve Honeypot arasında SSHv2 proxy kullanmasıdır. SSHv2 proxy kullanır.  Eğer Bifrozt’un bulunduğu ağa  SSH server kurarsanız ağda olan bütün etkileşimleri kayıt altına alabilirsiniz, indirilmiş dosyaları görüntüleyebilir ve yakalayabilirsiniz. Saldırganın honeypotu kullanarak diğer sistemlere saldırmasını önlemek için giden trafik sınırlandırılır. Firewall sınırlarının aşıldığını fark ederse bağlantıyı koparır.

Cuckoo

Otomatik malware analizi sistemidir. (Malware analysis system)  Python ile yazılmıştır. Açık kaynak kodludur. Zararlı yazılımların analizini yapar. Şüpheli bir dosyayı veya exploiti analiz ederek neler yaptığını gösterir. Yeni saldırı teknikleri, exploitler keşfetmek için önemli bir yazılımdır.

HoneyDrive

HoneyDrive, içerisinde önceden kurulmuş olan yazılımlar bütününün sanallaştırılıp cihaz haline getirilmiş halidir. Bu sanal cihaz Xubuntu 12.04.4 LTS sürümünu kullanır. (OVA) Yazılımların önceden kurulu olması sayesinde kullanıcıya zaman kazandırır. Gerekli olan yazılımların hepsini kurmak hem zahmetlidir hem de uzun zaman alır.

Önceki başlıklarda bahsettiğimiz Kippo gibi yazılımların çoğu kurulu olarak gelir. Grafik arayüzü olan verileri işlememizi sağlayan yazılımlar bulunur. En yaygın olarak HoneyDrive 3 Royal Jelly Edition kullanılır. http://bruteforce.gr/honeydrive  adresinden istediğiniz sürümü indirebilirsiniz.

Honeyd

Bir ağda çok sayıda virtual network oluşturmayı sağlayan bir honeypot projesidir. Açık kaynak kodlu olması sebebiyle çok fazla katkı almış ve çok sayıda kişi tarafından kullanılmıştır. Kurulumu yapılırken HoneyNet’in de kurulması gerekir.

Honnypotter

Başarısız oturum açma girişimlerini kaydeder.  Harry Potter seven yazılımcılar sayesinde bu ismi almıştır.

Honeyku

Heroku’ya rahat kurulabilen honeypot projesidir. Heroku tabanlıdır.  Sahte http noktaları oluşturmamıza ve bunların otomatik izlemesini yapmamıza imkan tanır.

Wordpot

WordPress için hazırlanmış bir honeypottur. WordPress’teki eklentiler, temalar için derinlemesine araştırma yapar.

HoneyNet Nedir ?

Saldırı, honeypot olmayan bir ağa yapılacak olursa eğer zafiyet oluşabilir. İşi garantiye almak adına birden fazla honeypot farklı ağlar üzerinde oluşturulur. Böylece honeypot olmayan bir ağa saldırı gerçekleşemez. Bu tarz sistemlere HoneyNet denir.

Bir sonraki yazımızda Bulutta Honeypot Kurulumu konusunu işleyeceğiz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir