GlasBlog

Heute möchte ich einen kurzen Ausblick geben, wohin das Glastopf Projekt die nächsten Monate gehen wird.

Glastopf:
Letzten Freitag (22.01.) habe ich mit Sven getroffen. Sven ist Bachelor Student an der Fachhochschule Bern und wird seine Thesis über den Glastopf schreiben. In diesem Zuge wird es am Glastopf selber zu sehr vielen Veränderungen kommen, wobei jedoch die bisherige Funktionalität mindestens erhalten bleibt. Folgende Ziele sind geplant: Der Glastopf wird insgesamt weitaus modularer aufgebaut werden. Dies bedeutet, wir haben einen Kern der sich um die Annahme der Anfrage und Übergabe an die Module kümmert. Diese legen die Daten in beliebiger Art ab, emulieren die Schwachstelle und formen die Antwort dir der Kern dann wieder an den Angreifer zurück gibt. Weiterhin wird die Klassifikation des Angriffs verfeinert und vom Sourcecode selber losgelöst. Details hierzu wird es geben sobald mit der Arbeit begonnen wurde. Dies bedeutet auch, das die Entwicklung an der aktuellen unstable Version vorerst ruhen wird. Sämtliche Neuerungen werden schon mit dem neuen Glastopf im Hinterkopf entwickelt und dann dort implementiert.

PHP Sandbox:
Ich arbeite an einer Anbindung an eine PHP Sandbox zur Klassifikation der gesammelten Files. Weiterhin besteht die Möglichkeit sich wiederholende Anfragen an den Glastopf mit den selben sehr guten Antworten aus der Sandbox zu beantworten. Die gesammelten Bots bieten großes Potential die Webserver Botnets zu untersuchen. Weitere Berichte zu diesem Thema werden folgen.

Projekt:
Das Glastopf Projekt wird weiter die Zusammenarbeit mit interessierten Universitäten und Unternehmen vorantreiben. Im Kern befindet sich hierbei 1und1 und die Fachhochschule Bern. Des weiteren werden weitere Personen in das Projekt integriert die bereits im Hintergrund beitragen.

Meeting:
Ende März wird es in Karlsruhe ein weiteres Treffen der am Glastopf interessierten Personen stattfinden. Ziel ist es die Diskussion voran zu treiben, den Wissensaustausch zu fördern, die Personen kennen zu lernen und gemeinsam etwas zu trinken. Es wird einige kurze Vorträge geben wohin sich das Projekt entwickeln möchte und was die Personen damit anstellen. Weitere Informationen, und in naher Zukunft auch zum Ablauf, hierzu findet man in unserem Wiki: GlasCon-3-2010

Um den Support etwas vom Datennirwana IRC Chat weg zu bekommen, haben wir vom Honeynet Project eine Mailingliste für den Glastopf bekommen. Eintragen kann man sich über das Webinterface: Mailman. Das aktuell sehr glorreiche Archiv ist hier zu finden: Pipermail. Ich freue mich auf Feedback und Fragen.

Jan Göbel hat einen ausführlichen Bericht über seinen low-interaction Honeypot Amun geschrieben. Das Paper zeigt ausführlich die Funktionsweise von Amun und wurde in der Hoffnung geschrieben einen tiefen Einblick zu geben um das Beisteuern von Schwachstellen Modulen zu fördern.

Englische Zusammenfassung:

In this report we describe a low-interaction honeypot, which is capable of capturing autonomous spreading malware from the internet, named Amun. For this purpose, the software emulates a wide range of different vulnerabilities. As soon as an attacker exploits one of the emulated vulnerabilities the payload transmitted by the attacker is analyzed and any download URL found is extracted. Next, the honeypot tries to download the malicious software and store it on the local harddisc, for further analyses. As a result, we are able to collect at best unknown binaries of malware that automatically spreads across the network. The collected samples can for example be used to help anti-virus vendors improve their signatures

Das Paper ist in der elektronischen Bibliothek der Uni Mannheim als PDF verfügbar.

Das Honeynet Project hat das erste Forensic Challenge für das Jahr 2010 veröffentlicht. In diesem von Tillmann Werner erstellten Challenge geht es um ein pcap attack trace den es zu analysieren gilt. Genaue Informationen und den Trace gibt es auf der Projektseite.

Seit wenigen Tagen ist der erste Release Candidate der Version 0.0.1 des Webinterfaces für den Glastopf verfügbar. Die nötigen Informationen und Dateien findet man in unserem Repository. Das neue Webinterface ermöglicht es die mit dem Glastopf gesammelten Daten zu visualisieren und erste Schlüsse zu ziehen.