GlasBlog

Konfigurieren wir Honeytrap mit –with-magicpe, erhalten wir ein Modul, das die Magic Number eines Attack Strings untersucht und falls es sich um eine Portable Executable handelt, diesen als Download behandelt.

/* Description:
*   This module handles an attack string as download if its
*   file(1) signature sais it’s a portable executable.
*   This is useful for malware submission.
*/

Hierfür verwendet Honeytrap die Funktion von file.

Seit einer Woche gibt es bei Honeytrap die Option, den Sensor an eine IP zu binden. Dadurch kann man auf einer Maschine mehrere Instanzen von Honeytrap parallel betreiben.

Die Änderungen finden sich im Changeset 1677 und 1678

// bind dynamic servers to a specific address
bind_address = “127.0.0.1″

In den letzten Tagen hat sich bei Honeytrap wieder einiges getan. Unter anderem besitzt Honeytrap nun ein submitMwserv Modul. Dieses sendet regelmäßig ein Lebenszeichen (heartbeat) an den Server der mwcollect Alliance und fügt gesammelte Binaries der mwcollect Sammlung hinzu.

Im folgenden die betreffenden Changesets:

added heartbeat sending to submitMwserv module; uses ugly fork hack
http://svn.mwcollect.org/changeset/1685

submitMWserv plugin for submissions to the mwcollect alliance
http://svn.mwcollect.org/changeset/1686

submitMWserv plugin fixed, curl handle gets only initialized in child process and first heartbeat is sent after honeytrap finished its self-setup
http://svn.mwcollect.org/changeset/1690

Um das neue Modul in unsere honeytrap ein zu bauen, holen wir uns die neuste Version vom svn und konfigurieren diese mit dem Suffix –with-submit-mwserv und –with-libcurl-includes=/usr/include/curl/ (evtl. dem eigenen System anpassen).
Das erfolgreiche Konfigurieren sollte mit einem (X)  submitMwserv belohnt werden.

Nun fehlt noch die Aktivierung in der honeytrap.conf:

plugin-submitMWserv = {
mwserv_url      = “https://submission-url/”
guid                 = “your-guid”
maintainer       = “your-maintainer”
secret              = “your-secret”
timeout           = “120″
}

Nach einem honeytrap Neustart sollte der erste heartbeat bei der mwcollect Alliance eintreffen. Natürlich ist eine Mitgliedschaft in der Alliance notwendig.

Das honeyblog berichtet von der neuen Capture-HPC Version:

In the recent years and months, we observed a shift in how attackers compromise systems: since the operating systems are getting better and better, client-side attacks are on the rise (“0wning the client is the new black”). Therefore we need a different kind of honeypots to learn more about this kind of attacks. Instead of using “classical” honeypots with which you typically detect attacks against server applications, different people began to develop client-side honeypots that can detect attacks targeting client application: for example, we can detect malicious web sites that attack the visitor’s web browser. One example of such a client-side honeypot is Capture-HPC. Today version 2.5 of Capture-HPC has been released. Capture-HPC is released under the terms of the GNU General Public License, v2. You can download the tool at https://projects.honeynet.org/capture-hpc/wiki/Releases. More information about client-side honeypots is available in Chapter 8 of our book Virtual Honeypots. In the next few weeks, I’ll report on more results we obtained with client-side honeypots: we now have six Capture-HPC clients running at our lab that examine spammed URLs.