GlasBlog

Ich habe mich die letzten zwei Tage endlich etwas intensiver mit honeytrap beschäftigen können. Schon länger plane ich, honeytrap als einen Meta-Honeypot zu konfigurieren. Dessen Aufgabe ist es dann Angriffe an die jeweiligen Honeypots weiter zu leiten. Aktuell ersetze ich damit das module-honeytrap von Nepenthes.

Honeytrap besitzt die Möglichkeit, Regeln für jeden Port zu definieren, dies macht das aufbauen eines komplexeren Honeynets um einiges einfacher.

Viele wichtige Informationen bekommt man auf der Projekthomepage.

Machen wir uns an die Installation von Honeytrap: weiterlesen »

Ein schon etwas älterer (08.02.2007) Vortrag von Tillmann Werner (BSI/CERT-Bund) zum Thema honeytrap und dessen Anwendung: Link.

Tillmann geht dabei auf folgende Themen ein:

• honeytrap – ein Meta-Honeypot
• Dynamische Server
• Identifikation neuer Angriffe
• Experimentelle Ergebnisse

Die zugehörigen Folien findet man unter: Pdf.

Beschäftigt man sich mit Nepenthes und speziell dem Datenstrom, den Nepenthes produziert, trifft man früher oder später auf Matteo Cantoni und seine Webseite nothink.org.
Matteo wertet die Informationen aus verschiedenen Quellen aus, schickt seine Samples durch Avira AntiVir, ClamAV und F-Prot und präsentiert die Ergebnisse übersichtlich und informativ. Der Vergleich der verschiedenen Scanner finde ich besonders interessant, zeigt er doch eindrucksvoll wie sehr sie sich unterscheiden.

Die Daten werden täglich durch Scripts automatisch aktualisiert. Momentan beruhen sie auf ca. 1120 verschiedene Binaries.

Erhältlich sind die Informationen auch als csv Datei. Hierbei muss jedoch angemerkt werden, dass die IRC Daten wahrscheinlich von Anubis stammen und somit keine Channel Passwörter enthalten.

Quelle: Botnets Mailinglist

Auf eine Anfrage im Nepenthes IRC Channel und meiner anschließenden Suche, bin ich auf die Möglichkeit gestoßen, mit dem submit-norman Modul Malware Samples an die Anubis Sandbox weiter zu leiten. Dies gibt uns eine weitere Möglichkeit unsere frisch gesammelten Freunde einer genauen Untersuchung zu unterziehen. Dafür benötigen wir lediglich die URL zur “Annahmestelle”. Gefunden habe ich eben diese in der FAQ von Anubis:

We also offer a norman- and cwsandbox-compatible submission URL. If you already have an automatic submission to one of these services in place then this will probably be the most easiest way for you (e.g. if you are using the norman-submit handler of nepenthes). This URL is http://anubis.iseclab.org/nepenthes_action.php.

Quelle: Anubis FAQ.

Folgende URL muss also in die submit-norman.conf

http://anubis.iseclab.org/nepenthes_action.php

Ich bin gespannt, ob ich bald Mail von Anubis bekomme.