GlasBlog

Das Daten Analyse Tool Nebula erstellt aus einem Angriffs-Log Snort Filter Regeln. Es läuft als Daemon und verarbeitet automatisch von Honeypots kommende Daten. Aus den gewonnenen Signaturen werden Snort Regeln erstellt die zum Schutz eines Netzwerks gegen zukünftige Einbruchsversuche verwendet werden können.

Das Projekt wurde von Tillmann Werner, der Mitglied im Giraffe Honeynet Project ist, entwickelt. Ziel war es die Signaturen schnell zu erstellen, somit kann man umgehend auf unbekannte Angriffs-Muster reagieren. Erste Revisionen bekommt man innerhalb weniger Sekunden. Mit wachsender Anzahl der gesammelten Attack-Traces eines bestimmten Angriffs wir die Signatur besser und Nebula erstellt neue Revisionen.

Ein Beispiel, welches man auf der Projekt Seite findet, für solch eine Filter Regel sieht folgendermaßen aus: weiterlesen »

Nebula automatically generates Snort intrusion signatures from attack traces. Honeytrap provides a module to submit those traces to nebula. To activate this module, configure Honeytrap with the option:

–with-submit-nebula

After a make && make install activate the module in your honeytrap.conf:

/* submitNebula settings */
plugin-submitNebula = {
host = “localhost”
port = “4712″
secret = “secretpassword”
}

Now fire up Nebula and Honeytrap with the following commands:

./nebula -d -s secretpassword -a snort.rules

honeytrap -C /opt/honeytrap/etc/honeytrap/honeytrap.conf -t 4 -D

Shortly after that, new signatures should be generated.

The reason why I’m not writing my own nepenthes plugins is, because it’s too complex and I’m always short in time. Why not using other honeypots parallel to nepenthes? For example Amun? This is no problem using honeytrap as a meta honeypot. To avoid overlapping port allocations we have to adjust the honeytrap configuration.

weiterlesen »

Joebox.org veröffentlicht seine bisherigen Reports. Zu finden sind sie auf einem FTP Server.

Um Zugang zu bekommen benötigt man einen Benutzernamen: viewer. Ein Passwort wird nicht benötigt.

Falls Interesse an Binarys besteht, kann man sich an info@joebox.org wenden.

Falls einem das zu viel Aufwand ist, gibt es auf der Projektseite 10 Beispiele. Infos und alte Analysen findet man hier.

Bei meiner ersten Installation von honeytrap, habe ich es bei einer minimalen Konfiguration belassen. Da ich dies nun änder wollte, unter anderem angestoßen durch ein Changeset, bin ich endlich gezwungen gewesen, mich mit libemu zu beschäftigen.

Um libemu compilen zu können, benötigen wir gcc-4.3, für Debian zu finden im lenny tree.

Auch libemu installieren wir in der minimalen Konfiguration:

weiterlesen »

Nachdem Nepenthes, wie berichtet, sich bereit erklärte mit joebox Samples zu tauschen, lag es natürlich nahe, dies auch mit dem Python Honeypot Amun zu versuchen. Da Amun bereits Samples an die CWSandbox versendet, musste lediglich die URL durch die des joebox Servlet ausgetauscht werden.

Nach ein paar Schönheitskorrekturen am submit-cwsandbox haben wir nun ein submit-joebox. Erhältlich ist das Paket aktuell auf joebox.org. Es enthält das Submit Modul und die dazu gehörende Konfigurationsdatei, diese muss im \amun\conf Verzeichnis abgelegt werden.

In der neue Version von Amun, soll, bestätigt durch den Entwickler Jan Göbel, das Submit Modul integriert sein. Ich bin gespannt, was uns noch neues erwarten wird.