Lange Angedroht möchte ich es jetzt in die Tat umsetzen. Wie bereits im Vorfeld abzusehen war, lassen mich meine Netzwerkkenntnisse im Stich.
Also mal von vorne:

Ich habe mir mit Teilen aus der Bastelkiste folgenden "Server" zusammengepfuscht:

-P3 550 MHz / 256 MB Ram
-3 Netzwerkkarten (2x pcnet32, 1x Via Rhine)
-6 GB Festplatte

Jetzt habe ich die Honeywall-CD installiert (http://www.honeynet.org/tools/cdrom/).

eth1 hat die IP 10.10.10.66 und stellt die Admin-Schnittstelle mit Web-Interface und SSH dar. Daran direkt angeschlossen ist ein Laptop mit Ubuntu.

eth0 und eth2 bilden die Netzwerkbrücke; wobei an eth0 der Router und an eth2 der Honeypot-2000/XP/EasyLinux2000-Rechner angeschlossen sind. Der Router hat die IP-Adresse 192.168.2.1 und der Rechner die 192.168.2.101.

Jetzt fangen die Probleme an. Die Honeywall möchte eine öffentliche IP-Adresse (This Honeywall´s public IP adress). Ich weiss nicht wirklich, was da rein soll. Ist es die IP des Routers? Ist es eine völlig andere in diesem 192.168.2.0/24-Netz? Die Dokumenation und google helfen mir nicht weiter; ich habe mal eine Beispiel-Config gefunden die ich aber nicht interpretieren kann.

Als nächstes gibt es eine Option HwLAN_IP_RANGE, die folgendermaßen beschrieben ist: "The IP internal connected to the internally facing interface". Ich habe die Voreinstellung ein wenig für mein Netz modifiziert und 192.168.2.0/24 eingegeben.

Und das ergebnis: Mein Rechner kann nichtmal den Router pingen.

Wenn ich ifconfig aufrufe, gibt es neben den NICs eine br0 (ich schätze das soll ne Brücke sein). eth1 hat wie gewünscht die IP 10.10.10.66 und ich kann mich auch auf das Webinterface connecten. eth0 und eth2 sowie br0 haben überhaupt keine IP. Und ich weiss absolut nicht ob das so richtig ist, oder ob eine der Karten oder die Brücke auch eine IP-Adresse haben müssen.

Hüülfee!!! ;)

Gruß Stephan

Ich habe dir in einem älteren Thread schonmal Nepenthes (http://nepenthes.mwcollect.org/) vorgeschlagen. Von dem Vorhaben, einen voll funktionsfähigen Windows-Rechner ans Internet zu hängen, mit der Absicht ihn kapern zu lassen, finde ich nicht sonderlich durchdacht. Der Rechner könnte als Spamschleuder, Teil eines Botnetzes oder sonstwas mißbraucht werden, wenn ihn nicht richtig konfigurierst.

Nepenthes ist in dieser Hinsicht sicher und du hast dein Ergebnis trotzdem. Die Malware wird dabei heruntergeladen, aber nicht ausgeführt. Ganz im Gegensatz zu dem, was du vorhast.

Wegen deinem konkret in diesem Thread geschilderten Problem: Dein Routing stimmt nicht und br0 braucht eine IP-Adresse.

Ich habe dir in einem älteren Thread schonmal Nepenthes vorgeschlagen. Von dem Vorhaben, einen voll funktionsfähigen Windows-Rechner ans Internet zu hängen, mit der Absicht ihn kapern zu lassen, finde ich nicht sonderlich durchdacht. Der Rechner könnte als Spamschleuder, Teil eines Botnetzes oder sonstwas mißbraucht werden, wenn ihn nicht richtig konfigurierst.

Völlig korrekt, das könnte er wirklich. Genau darum geht es mir auch. Ich möchte heraus finden, wie Botnetze- und Spamschleudern genau funktionieren. Wenn ich mit der Honey-Bridge manuell in den Netzwerkverkehr eingreife, kann es so dramatisch nicht werden.... Selbst wenn die Kiste 100 Spam-Mails raus hauen sollte ist das nichtmal ein Tropfen auf dem heißen Stein.

Nepenthes ist sicherlich ein ganz witziges Tool; es ist für den Versuch aber leider nicht das richtige.


Wegen deinem konkret in diesem Thread geschilderten Problem: Dein Routing stimmt nicht und br0 braucht eine IP-Adresse.

Es wäre nett wenn du mit konkret zu meiner Konfiguration weiter helfen könntest. Ich muss wissen, welche IP die Brücke und die in die Brücke involvierten Karten haben müssen und welche DMZ-Adresse ich in dem Router konfigurieren muss.

Gruß Stephan

Hallo,

ich kenne Honeywall nicht im Detail, aber ich versuche es mal.


eth1 hat die IP 10.10.10.66 und stellt die Admin-Schnittstelle mit Web-Interface und SSH dar. Daran direkt angeschlossen ist ein Laptop mit Ubuntu.

Okay, das kann so bleiben.



eth0 und eth2 bilden die Netzwerkbrücke; wobei an eth0 der Router und an eth2 der Honeypot-2000/XP/EasyLinux2000-Rechner angeschlossen sind. Der Router hat die IP-Adresse 192.168.2.1 und der Rechner die 192.168.2.101.


Okay. Kann auch so bleiben.



Jetzt fangen die Probleme an. Die Honeywall möchte eine öffentliche IP-Adresse (This Honeywall´s public IP adress). Ich weiss nicht wirklich, was da rein soll. Ist es die IP des Routers? Ist es eine völlig andere in diesem 192.168.2.0/24-Netz? Die Dokumenation und google helfen mir nicht weiter; ich habe mal eine Beispiel-Config gefunden die ich aber nicht interpretieren kann.


Nein, nicht die IP des Routers, aber eine IP aus dem Subnet. Die IP sollte an deinem Router als DMZ Host eingetragen werden. Wenn man nun mal etwas weiter, und größer denkt, würde das Interface entweder in der DMZ hängen, oder samt öffentlicher IP auf einem Switch zwischen Accessrouter des ISP und dem Untrusted-Interface der Firewall.



Als nächstes gibt es eine Option HwLAN_IP_RANGE, die folgendermaßen beschrieben ist: "The IP internal connected to the internally facing interface". Ich habe die Voreinstellung ein wenig für mein Netz modifiziert und 192.168.2.0/24 eingegeben.


Korrekt. Ich hätte ein kleineres Netz genommen, irgendwas in Richtung /29 oder /28. Aber das passt schon.



Und das ergebnis: Mein Rechner kann nichtmal den Router pingen.


Welchen Rechner meinst du? Den Laptop?



Wenn ich ifconfig aufrufe, gibt es neben den NICs eine br0 (ich schätze das soll ne Brücke sein).

Das ist die Bridge zwischen eth0 und eth2.



eth1 hat wie gewünscht die IP 10.10.10.66 und ich kann mich auch auf das Webinterface connecten. eth0 und eth2 sowie br0 haben überhaupt keine IP. Und ich weiss absolut nicht ob das so richtig ist, oder ob eine der Karten oder die Brücke auch eine IP-Adresse haben müssen.


Also das eine Bridge eine IP braucht wäre mir total neu. Und die Interfaces die zu einer Brücke gehören, bekommen normalerweise auch keine IP. AFAIK sieht die Konfig so gut aus. Kannst du von Außen auf die Honeyports zugreifen?

Danke dir erstmal soweit, bla!zilla!

Eine Frage hätte ich aber noch: Der Honeywell-Server bekommt als public IP die 192.168.2.111, die im Router als DMZ konfiguriert ist.

Muss der Honigrechner, der komprimmitiert werden soll, genau die gleiche haben?

Gruß Stephan

eth0 und eht2 bekommen aber keine IP. Die einzige IP, welche direkt konfiguriert wird, ist AFAIK die IP für das Management. Die öffentliche IP gehört (korrigiert mich) zu dem Honeypot Host. Das ist ja gerade das geile an der Nummer: Der Verkehr läuft über eine Bridge. Eine Bridge ist transparent, der Angreifer bekomme nicht mit das der Verkehr analysiert wird.

Danke dir, das Ding rennt jetzt tatsächlich!

Gruß Stephan

Super. Dann warten wir mal auf die Dinge die da kommen werden. Was für Systeme bietest du den Angreifern denn an?

Ich habe nur einen Rechner im Netz hängen, der angegriffen werden soll. Darauf installiert ist ein Windows 2000 Betriebssystem, ohne jeden Patch, ohne jedes Service-Pack, ohne jede Firewall, ohne Virenscanner und ohne Alles.

Zusätzlich befindet sich ein Konsolen-Debian auf einer anderen Partition, die im wesentlichen dazu dient, ein verschrottetes Win2000 zu restoren. Dazu wird ein Abbild, das auf der Linux-Partition liegt, mittels dd auf die Win-Partition zurückgeschrieben.

Ferner existiert ein Script, mit dem ich das Originalimage mit dem jetzigen Stand der Windows-Partition vergleichen kann. Somit kann ich beispielsweise sehen, welche Dateien neu sind.

Der Bridge-Server ist recht mächtig und schreibt soweit ich das verstehe den gesamten Traffic in eine Datenbank. Diese sollte es erlauben, sehr genaue Analysen durchzuführen. Es wird noch ein wenig dauern, bis ich mich in dieses mächtige Werkzeug eingearbeitet habe.

Mein normaler Linux-Desktop-PC ist in die Party zur Zeit auch noch involviert. Ich logge mit ihm den Traffic mit Hilfe eines Steinzeit-Hubs mit. Ich konnte eben schon beobachten, wie ein wurm herein geschneit kam, wie wild Internetadressen ansprach und einen weiteren Windows-PC ansteckte (das war bestimmt ein anderes Honeypot :ugly: ).

Es folgt irgendwann eine Linux Büchse mit ssh (inkl. Root-Anmeldung mit Kennwort "root" gratis).

Gruß Stephan

Hört sich spannend an. Berichte mal weiter. :D

Ich lese mir gerade was über das DCE-RPC und den end-point-mapper an.

Es ist wohl so, das ich beim letzten Versuch von einem PC im T-Online Netz infiziert wurde, der möglicherweise selbst infiziert ist. Er hat jedenfalls die typischen Microsoft epmap und microsoft-ds Ports offen.

Ich hann sehen, das von seiner Seite aus ein TCP-Paket auf den Port 135 kommt, woraufhin meine Kiste antwortet. Danach kommt ein "Bind: call_id: 0 REMACT V0.0" und zurück ein Bind_ack: call_id: 0 accept max_xmit: 5840 max_recv: 5840".
Danach von seiner Seite ein "RemoteActivation request CLSID=NULL IID[1]=IUnknown".

Daraufhin kommen viele TCP-Pakete mit so witzigen Nutzdaten wie



Uvuf@E({0zPxo2PhPUMZ@!L!This program cannot be run in DOS mode.
$^ ?N]?N]?N]E]?N]#B]?N]$7]?N]$#@]?N] J]?N] E]?N]?O]?N]X]?N]Rich?N]}4'Hb$PELE`p@e.text

Bisher verstehe ich den Mechanismus noch nicht. Erfordert DCE RPC überhaupt keine Authentifizierung? Welche RPC-Routine auf meinem Rechner wird angesprochen? Wird vielleicht eine Sicherheitslücke ausgenutzt, um die Prozedur überhaupt aufrufen zu können?

Interessant ist auch die Dauer, bis der Rechner gekapert wird. Meistens sind es 10 - 20 Minuten; gestern abend lief er 2 Stunden und es passierte nichts.

Gruß Stephan

Das lustige Programm macht ein DNS query auf "xx.nadnadzz.info". Danach verbindet es sich mit dieser IP auf den Port 10324. Dahinter lauscht ein IRC-Server. Ich habe schon versucht, mich mit KSirc in den Channel zu hängen, aber da ich von IRC keine Ahnung habe und aus den TCP-Datagrammen nicht schlau werde, ist mir das noch nicht wirklich gelungen.

Von diesem IRC-Server kommen prinzipiell zwei Interessante Dinge:

1) Es wird die Aufforderung gesendet, eine PING an "hub.12650.com" zu schicken. Mein Rechner antwortet mit dem Wort PONG.



Uvuf@E=uqmo(T9e\PShPING :hub.12650.com

...

f@UvuE=@o(Te29P@ePONG :hub.12650.com


2) Es werden diese beiden Ausdrücke an meinen Rechner geschickt:



Uvuf@Eqo(T9eqP>o:ddd!Y@hoo.net PRIVMSG #last :=rced8W0dZMXCJowhXQabNPcX8lBUx9uYEh
:ddd!Y@hoo.net PRIVMSG #last :=3R3DQVGrngI5AHMo5RSrFH/LRKB


und



Uvuf@E-Mqo(T9tePT|:ddd!Y@hoo.net TOPIC #last :=8FF0/d29nNNeGuzLVXJPpE8jpgBM1VfI+TNoSqEoilP70+QJNj6EBQN qVQLf8t3tjGJITSVYGS+I3qXS4YfTuICJWAcYceBjsm+rCIJ
:ddd!Y@hoo.net PRIVMSG #last :=rced8W0dZMXCJowhXQabNPcX8lBUx9uYEh
:ddd!Y@hoo.net PRIVMSG #last :=3R3DQVGrngI5AHMo5RSrFH/LRKB


Die Analyse wird morgen fortgesetzt, da ich mich jetzt anderen Dingen zuwende ;)

Gruß Stephan

Ich denke hier geht um das Ausnutzen eines Buffer Overflows. Ein gängiges System zur Authentifizierung bei DCE RPC ist Kerberos.