Cowrie Honeypot ile saldırganlara kendini canlı bir sistem olarak gösteren, üzerinde zafiyetlere sahip servisler barındıran bir sahte sunucu kuruyoruz!
Honeypot, Türkçe’de bal küpü anlamına gelen, saldırganı tuzağa düşürmek için yemlendiği bir bilgisayar terimi aslında. Özelleştirmek gerekirse, kurum veya kişilerin sistemlerinde yer alan açıkları tespit etmek ya da bir saldırganın olası davranışlarını analiz etmek için kullandığı bir siber güvenlik yöntemi. Cowrie Honeypot, bu amaçla kullanabileceğiniz araçlardan biri.
Adından da anlaşılabileceği üzere Honeypot, saldırganların bir sunucuya sızdığını zannetmelerini ve saldırıyı gerçekleştirmeleri için sunucunun tamamen gerçekmiş gibi ayarlanıldığı bir senaryodan
ibaret.
Birden fazla çeşide sahip olan honeypot yöntemi ile siber güvenlik alanındaki çoğu yöntem için saldırgana gerçek bir makine simüle edilebiliyor.
Bugün ise Pardus 21 Server üzerinde SSH/Telnet senaryoları için sıklıkla kullanılan Cowrie Honeypot kurulumunu inceleyeceğiz.
1. Ön gereksinimler
Cowrie Honeypot kurulumu için internete çıkabilen ve dili İngilizce olan bir Pardus 21 Sunucu yeterli olmaktadır.
2. Cowrie Honeypot kurulumu
Aşağıdaki adımlar yardımı ile basit bir Cowrie Honeypot kurulabilir.
2.1. Bağımlılıkların kurulması
Cowrie Honeypot aşağıdaki bağımlılıklara sahip olduğu için öncelikle bu paketlerin sunucuya kurulması gerekmektedir.
sudo apt update sudo apt-get install git libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbind virtualenv git
Bu bağımlılıklara ek olarak python-virtualenv paketi depolarda bulunmadığı için aşağıdaki gibi kurulmalıdır.
wget http://ftp.de.debian.org/debian/pool/main/p/python-virtualenv/python-virtualenv_15.1.0+ds-2_all.deb sudo apt install ./python-virtualenv_15.1.0+ds-2_all.deb
2.2. Cowrie kullanıcısının oluşturulması
Cowrie Honeypot’u üzerinde kullanacağımız cowrie kullanıcısını oluşturmak için aşağıdaki komut kullanılmalıdır.
sudo adduser --disabled-password cowrie server@hanipot:~$ sudo adduser --disabled-password cowrie Adding user `cowrie' ... Adding new group `cowrie' (1001) ... Adding new user `cowrie' (1001) with group `cowrie' ... Creating home directory `/home/cowrie' ... Copying files from `/etc/skel' ... Changing the user information for cowrie Enter the new value, or press ENTER for the default Full Name []: Room Number []: Work Phone []: Home Phone []: Other []: Is the information correct? [Y/n] Y
Kullanıcı oluşturulduktan sonra aşağıdaki gibi ilgili kullanıcıya geçiş yapılabilir.
sudo su - cowrie
2.3. Kaynak kodun indirilmesi
Tüm bağımlılık ve gereksinimleri indirdikten sonra Git yardımı ile Cowrie deposu klonlanır.
git clone http://github.com/cowrie/cowrie
Depo klonlandıktan sonra aşağıdaki gibi ilgili dizine gidilir.
cd cowrie
2.4. Sanal ortamın oluşturulması
Ardından aşağıdaki gibi sanal ortam oluşturulur.
virtualenv --python=python3 cowrie-env
Sanal ortam etkinleştilir ve gerekli paketler kurulur.
source cowrie-env/bin/activate (cowrie-env) cowrie@hanipot:~/cowrie$ pip install --upgrade pip (cowrie-env) cowrie@hanipot:~/cowrie$ pip install --upgrade -r requirements.txt
2.5. Yapılandırma dosyasının şekillendirilmesi
Öncelikle örnek yapılandırma dosyası adı değiştirilerek bir üst dizine kopyalanır.
cp etc/cowrie.cfg.dist cowrie.cfg
Sonrasında istenilen metin editörüyle yapılandırma dosyası açılarak aşağıdaki gibi telnet etkinleştirilir.
[telnet] enabled = true
2.6. Cowrie Honeypot’un başlatılması
Aşağıdaki gibi Cowrie Honeypot başlatılır.
bin/cowrie start
2.7. Cowrie Honeypot’a giriş
Oluşturduğumuz Honeypot’a SSH ile giriş yapmak için aşağıdaki komut kullanılır. Varsayılan ayarlar gereği kullanıcı adı veya parola olarak ne kullandığınızın bir önemi olmamakla beraber, girdiğiniz her komutun detaylıca kayıt altına alınacağını unutmayın. Ayrıca varsayılan port numarası 2222 olduğundan SSH ile bağlanırken bu portun da belirtilmesi gerekmektedir.
PS C:\Users\Zeki Ahmet Bayar> ssh root@192.168.1.49 -p 2222 root@192.168.1.49's password: The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law. root@svr04:~#
Serinin devamı olarak Honeypot’a giriş yapılabilecek kullanıcıları ve parolaları belirleme, Honeypot üzerinde kullanılabilecek komutları belirleme, Honeypot’a brute-force ile saldırma gibi konuları inceleyerek basit düzeyde eğleneceğiz.
🤖🤖🤖