Honeytrap ist ein Open-Source-Netzwerk-Sicherheitstool, das nach dem Low-Interaction-Honeypot-Prinzip Angriffe auf Schwachstellen protokolliert. Jedoch emuliert Honeytrap keine bekannten Schwachstellen, sondern untersucht den Netzwerkverkehr entweder mit einem pcap-Sniffer, mittels ip_queue-API, oder netfilter_queue, um auf unbekannte Attacken reagieren zu können.
Methodik
Nach einer eingehenden Verbindungsanfrage startet dynamisch ein Listener für den entsprechenden Port, um die Anfragen verarbeiten zu können. Dieses generische Verhalten ermöglicht es Honeytrap, auf die meisten Netzwerkangriffe zu reagieren.
Alle gesammelten Daten werden mittels Plug-ins analysiert. Diese werden beim Programmstart, aber auch dynamisch geladen. Dadurch kann der Honeypot ohne Auszeit erweitert werden. Da Angriffe gelegentlich nicht ohne Antwort vom Host weiterlaufen, wurde ein rudimentärer Katalog mit Antworten implementiert, der beliebig erweitert werden kann.
Eingehende Verbindungen können in vier verschiedenen Modi behandelt werden. Im Normal Mode wird ein Protokoll über den Angriff angelegt, im Ignore Mode bleibt Honeytrap inaktiv, der Proxy Mode erlaubt das Weiterleiten von Verbindungen, und im Mirror Mode können Attacken zum Angreifer zurückgespiegelt werden. Durch das Spiegeln ist das Emulieren von Schwachstellen nicht mehr notwendig, da viele Angreifer eben jene selbst besitzen und somit ein vollständiger Dialog zustande kommt. Das Verhalten für Ports kann individuell konfiguriert werden. Honeytrap eignet sich durch den Proxy-Modus auch als Meta-Honeypot.
Aufbau
Meist erfolgt ein Angriff über mehrere Ebenen: Nach dem erfolgreichen Exploiten des Ziels werden Daten aus dem Internet nachgeladen, die dann eine Hintertür für den Angreifer öffnen. Diesem Ablauf passt sich Honeytrap durch seine modulare Struktur an:
- Ein Grundgerüst zum Speichern des Angriffsablauf und der gesammelten Daten für externe Untersuchungen.
- Ein Parser für FTP-Download-Befehle. Geladene Dateien werden auf der Festplatte gespeichert.
- Ein Parser für TFTP-Download-Befehle mit demselben Ziel wie beim FTP.
- Ein Parser für HTTP-URLs für Angriffe gegen verletzliche VNC-Server. Mit Hilfe von wget werden auch hier Daten heruntergeladen.
- Mit Base64 codierte Exploits werden von einem weiteren Plug-in entschlüsselt, um folgende Analysen zu ermöglichen.
- Ein Modul um neue Angriffe aufgrund von Heuristik und Ähnlichkeit zu identifizieren.
Ziel
Honeytrap wird als Daemon betrieben und ermöglicht unter anderem das Sammeln von Malware, Viren und Trojanern. Diese werden hauptsächlich verteilt, um Botnets aufzubauen.
Durch deren Analyse kann ein tieferer Einblick in ihre Funktionsweise gewonnen werden, wodurch das Erstellen von Schutzmaßnahmen vereinfacht wird.