Phenquestions
Pro vývoj nulového dne existují dvě možnosti, buď si vytvoříte vlastní, nebo zachytíte nulový den vyvinutý ostatními. Vlastní vývoj nulového dne může být monotónní a dlouhý proces. Vyžaduje to velké znalosti. Může to trvat hodně času. Na druhou stranu mohou být nultý den zachyceny vyvinutými ostatními a mohou být znovu použity. Mnoho hackerů používá tento přístup. V tomto programu jsme nastavili honeypot, který se jeví jako nebezpečný. Potom počkáme, až to útočníky přitahují, a poté, co se vloupají do našeho systému, je jejich malware zachycen. Hacker může malware znovu použít v jakémkoli jiném systému, takže základním cílem je nejprve malware zachytit.
Dionaea:
Markus Koetter byl tím, kdo vyvinul Dionaea. Dionaea je hlavně pojmenována po rostlině masožravé mucholapce Venuše. Primárně se jedná o honeypot s nízkou interakcí. Dionaea zahrnuje služby, které jsou napadeny útočníky, například HTTP, SMB atd., a napodobuje nechráněný okenní systém. Dionaea používá Libemu k detekci shell kódu a může nás ostražitě chránit a poté jej zachytit. Odesílá souběžná oznámení o útoku prostřednictvím XMPP a poté zaznamenává informace do databáze SQ Lite.
Libemu:
Libemu je knihovna používaná pro detekci shell kódu a x86 emulace. Libemu může kreslit malware do dokumentů, jako jsou RTF, PDF atd. můžeme to použít k nepřátelskému chování pomocí heuristiky. Toto je pokročilá forma honeypotu a začátečníci by to neměli zkoušet. Dionaea není bezpečná, pokud je napadena hackerem, dojde k ohrožení celého vašeho systému a pro tento účel by měla být použita štíhlá instalace, upřednostňují se systémy Debian a Ubuntu.
Doporučuji nepoužívat jej v systému, který bude používán pro jiné účely, protože si my sami nainstalujeme knihovny a kódy, které by mohly poškodit ostatní části vašeho systému. Dionaea je na druhou stranu nebezpečná, pokud dojde k ohrožení vašeho celého systému. Za tímto účelem by měla být použita štíhlá instalace; Preferovány jsou systémy Debian a Ubuntu.
Nainstalovat závislosti:
Dionaea je složený software a vyžaduje mnoho závislostí, které nejsou nainstalovány v jiných systémech, jako jsou Ubuntu a Debian. Před instalací Dionaea tedy budeme muset nainstalovat závislosti a může to být nudný úkol.
Začneme například tím, že si musíme stáhnout následující balíčky.
$ sudo apt-get nainstalovat libudns-dev libglib2.0-dev libssl-dev libcurl4-openssl-devlibreadline-dev libsqlite3-dev python-dev libtool automake autoconf
build-essential subversion git-core flex bison pkg-config libnl-3-dev
libnl-genl-3-dev libnl-nf-3-dev libnl-route-3-dev sqlite3
Skript Andrewa Michaela Smitha lze stáhnout z Githubu pomocí wget.
Když je tento skript stažen, nainstaluje aplikace (SQlite) a závislosti, poté stáhne a nakonfiguruje Dionaea.
$ wget -q https: // raw.github.com / andremichaelsmith / honeypot-setup-script /hlavní / nastavení.bash -O / tmp / nastavení.bash && bash / tmp / nastavení.bash
Vyberte rozhraní:
Dionaea se sama nakonfiguruje a po stažení závislostí a aplikací vás požádá o výběr síťového rozhraní, které má poslouchat honeypot.
Konfigurace Dionaea:
Nyní je honeypot nastaven a běží. V budoucích tutoriálech vám ukážu, jak identifikovat položky útočníků, jak nastavit Dionaea v reálných dobách útoku, aby vás varoval,
A jak se podívat a zachytit shell kód útoku. Otestujeme naše útočné nástroje a Metasploit, abychom zkontrolovali, zda dokážeme malware zachytit, než jej zveřejníme online.
Otevřete konfigurační soubor Dionaea:
V tomto kroku otevřete konfigurační soubor Dionaea.
$ cd / etc / dionaea
Vim nebo jakýkoli jiný textový editor může fungovat. V tomto případě se používá Leafpad.
$ sudo leafpad dionaea.konfKonfigurovat protokolování:
V několika případech je vidět více gigabajtů souboru protokolu. Priority chyb protokolu by měly být nakonfigurovány a za tímto účelem posuňte dolů část protokolování souboru.
Sekce rozhraní a IP:
V tomto kroku přejděte dolů na rozhraní a poslechněte si část konfiguračního souboru. Chceme, aby bylo rozhraní nastaveno na manuální. Výsledkem je, že Dionaea zachytí rozhraní podle vašeho vlastního výběru.
Moduly:
Dalším krokem je nyní nastavení modulů pro efektivní fungování systému Dionaea. Pro otisky prstů operačního systému budeme používat p0f. To pomůže přenést data do databáze SQLite.
Služby:
Dionaea je nastavena na spouštění https, http, FTP, TFTP, SMB, epmap, sip, mssql a mysql
Deaktivujte Http a https, protože se hackeři pravděpodobně nenechají oklamat a nejsou zranitelní. Opusťte ostatní, protože jsou to nebezpečné služby a mohou být snadno napadeni hackery.
Začněte testovat dionaea:
Musíme spustit dionaea, abychom našli naši novou konfiguraci. Můžeme to udělat zadáním:
$ sudo dionaea -u nikdo -g nogroup -w / opt / dionaea -p / opt / dionaea / run / dionaea.pid 
Nyní můžeme analyzovat a zachytit malware pomocí úspěšně spuštěného Dionaea.
Závěr:
Díky využití zneužití nulového dne může být hackování snadné. Je to zranitelnost počítačového softwaru a skvělý způsob, jak přilákat útočníky, a může se tím nalákat kdokoli. Počítačové programy a data můžete snadno zneužít. Doufám, že vám tento článek pomůže dozvědět se více o Zero-Day Exploit.
