반응형

conpot 설치 방법

 

https://n0where.net/conpot-ics-scada-honeypot/

반응형
반응형

kippo를 통해 본 봇들의 공격

 

 

 

 

 

1. 방화벽 해제

 

2. wget으로 zip 및 rar 다운로드 및 실행

 

 

 

반응형

'프로젝트 관련 조사 > 허니팟' 카테고리의 다른 글

conpot 설치 방법  (0) 2015.11.09
kippo를 통해 본 봇들의 공격 -1  (0) 2015.11.07
kippo 설치 및 운영  (0) 2015.11.07
허니팟(Honey Pot) 설치 - honeydrive  (0) 2015.11.06
반응형

 kippo를 통해 본 봇들의 공격 방법

 

 

위 그림은 봇들의 활동을replay를 시킨 것이다.

 

1. 제일 먼저 방화벽을 stop 한다.

 

2. 115.230.124.201:8888 를 통해 악성 파일들을 다운 받는다

 

3. 다운 파일의 권한을 777로 바꾸어 실행 가능하도록 한다.

 

4. 해당 파일을 백그라운드로 돌리도록 한다.

 

 

시간대는 조금 다르지만 같은 공격자가 만든 봇들의 공격으로 보인다. 공격지는 중국이며, 봇으로 추정 가능한 것은 같은 공격 패턴과 command not found가 일어나도 계속 명령어를 입력하는 것을 보고 판단할 수 있다.

 

 

*보안 장비 설계시

로그를 수집할때 wget과 방화벽 stop에 관련된 로그를 수집하여 공격 여부를 확인하는 방법도 괜찮을 것 같다.

 

 

 

 

반응형

'프로젝트 관련 조사 > 허니팟' 카테고리의 다른 글

conpot 설치 방법  (0) 2015.11.09
kippo를 통해 본 봇들의 공격 -2  (0) 2015.11.07
kippo 설치 및 운영  (0) 2015.11.07
허니팟(Honey Pot) 설치 - honeydrive  (0) 2015.11.06
반응형

기본적으로 honeydrive에 kippo가 설치가 되어 있다.

 

kippo는 가짜의 ssh를 구동시켜 외부자가 ssh를 통해 침투하여 입력한 모든 명령어들을 replay 해준다.

 

또한 localhost/kippo-graph/ 웹을 통해 공격지 ip , 날짜등 통계가 되어 한눈에 보기가 쉽다.

 

구동 시키는 방법은 /honeydrive/kippo/start.sh를 실행 시켜 주면 된다.

 

 

 

kippo.cfg

=> kippo 구동 환경을 설정해 줄 수 있다. ssh port 변경 등

 

data/

=> lastlog.txt 와 userdb.txt가 존재한다.

-> lastlog는 simulate ssh 에 접속했던 IP들과 시간정보들이 들어 있다.

-> userdb.txt는 simultae ssh의 user id와 password정보들이 들어 있다. 이 정보들 중에 password을 쉽게 바꾸게 되면 ( root//root) 공격자는 손쉽게 simulate ssh에 접속하게 되고 공격 패턴을 좀 더 쉽게 파악 할 수 있다.

 

utils/

=> 각종 유틸들이 있다. 특히 playlog.py 를 통하여 log/ 밑에 저장된 로그를 통해 공격자의 행위를 실시간으로 replay를 볼 수 있다.

반응형

+ Recent posts