conpot 설치 방법 https://n0where.net/conpot-ics-scada-honeypot/

kippo를 통해 본 봇들의 공격 1. 방화벽 해제 2. wget으로 zip 및 rar 다운로드 및 실행

kippo를 통해 본 봇들의 공격 방법 위 그림은 봇들의 활동을replay를 시킨 것이다. 1. 제일 먼저 방화벽을 stop 한다. 2. 115.230.124.201:8888 를 통해 악성 파일들을 다운 받는다 3. 다운 파일의 권한을 777로 바꾸어 실행 가능하도록 한다. 4. 해당 파일을 백그라운드로 돌리도록 한다. 시간대는 조금 다르지만 같은 공격자가 만든 봇들의 공격으로 보인다. 공격지는 중국이며, 봇으로 추정 가능한 것은 같은 공격 패턴과 command not found가 일어나도 계속 명령어를 입력하는 것을 보고 판단할 수 있다. *보안 장비 설계시 로그를 수집할때 wget과 방화벽 stop에 관련된 로그를 수집하여 공격 여부를 확인하는 방법도 괜찮을 것 같다.

기본적으로 honeydrive에 kippo가 설치가 되어 있다. kippo는 가짜의 ssh를 구동시켜 외부자가 ssh를 통해 침투하여 입력한 모든 명령어들을 replay 해준다. 또한 localhost/kippo-graph/ 웹을 통해 공격지 ip , 날짜등 통계가 되어 한눈에 보기가 쉽다. 구동 시키는 방법은 /honeydrive/kippo/start.sh를 실행 시켜 주면 된다. kippo.cfg => kippo 구동 환경을 설정해 줄 수 있다. ssh port 변경 등 data/ => lastlog.txt 와 userdb.txt가 존재한다. -> lastlog는 simulate ssh 에 접속했던 IP들과 시간정보들이 들어 있다. -> userdb.txt는 simultae ssh의 user id와 ..

허니팟 설치는 매우 간단하다. https://bruteforce.gr/honeydrive 위 주소에서 honeydrive를 받을 수 있다. honeydrive는 vmware에 띄울 수 있는 honeypot 패키지다. honeydrive.ova를 받게 되는데 이 파일을 더블클릭하면 가상머신에 설치가 된다. honeypot 관련 문서 -> honeydrive 블로그에 50분정도의 영어 동영상이 있으니 꼭 한번 보면 좋다. 대략적인 허니팟 유틸들과 방식들을 파악 할 수 있다. https://www.youtube.com/watch?v=zDTqY3ehA74&feature=player_embedded