GlasBlog

Since one year Glastopf is available for public. There has been a lot of changes during this year. Glastopf has been developed in many aspects and I’ve found many peoples (or they found me) who are very interested in the project and now working together with me. The coming year will bring a lot of changes, amongst others there will be an improvement of the attack classification, integration of a PHP sandbox, refinement of the vulnerability emulator and the development of the web interface. If nothing goes wrong I’ll be also able to write more documentation.

The Honeynet Project has announce the publication of the first paper in the new Know Your Tools paper series: “KYT: use Picviz to find attacks” authored by Sebastien Tricaud from the French Chapter and Victor Amaducci from the University of Campinas.

The paper can be downloaded at Know Your Tools: use Picviz to find attacks.

Since the Google Summer of Code 2009 I’m working together with the Honeynet Project and in retrospection I’ve benefited a lot from it and met excellent peoples. The Honeynet Project provides direct access to most of the peoples who are pathbreaking involved in Honeypot development and research. Since a few days I’m an official member of the Honeynet Chicago Chapter which provides me the possibility to give back my knowledge to the project.

Konrad Rieck bemerkte zu Recht, dass der Glastopf keinerlei Möglichkeit besitzt die rohen Daten eines Angreifers abzulegen. Er hat ein Plug-in geschrieben das eben diese Aufgabe erfüllt.
Ich habe es ein wenig angepasst und in den Glastopf eingepflegt. Nun wird täglich ein File angelegt das sämtliche Daten der an diesem Tag registrierten Events enthält.

Seit gestern arbeite ich offiziell mit dem 1und1 Abuse Team zusammen. Unsere Kooperation dauert bereits mehrere Monate an und rückblickend haben beide Parteien gut davon profitiert. Es war mir möglich die gesammelten Daten so weit aufzubereiten, dass 1und1 verwertbare Schlüsse daraus ziehen kann. Als Gegenleistung habe ich enge Zusammenarbeit mit Mitarbeitern, Hardware Ressourcen und prima Kontakte erhalten.
Ich halte diesen Austausch für eine gute Möglichkeit die mit den Glastopf Sensoren in der zentralen Datenbank gesammelten Informationen sinnvoll zu verarbeiten.

Ich bin ein gutes Stück weiter gekommen mit meiner Arbeit am neuen Vulnerability Emulator. Einen Ausschnitt daraus findet man im neuen Wiki: Glastopf Vulnerability Emulator. Ich bin nun in der Lage die gängigsten aufgerufenen Befehle bei der Variablendefinition zu emulieren. Beim Ausgeben der echo Zeilen, also eben jenen die der Angreifer wieder zu sehen bekommt, füge ich sobald eine Variablen aufgerufen wird, die zuvor von mir emulierten Werte auf. Hierdurch wird der Glastopf weitaus unabhängiger von aufwendig erstellten reguläre Ausdrücke Muster.
Aktuell arbeite ich daran dem Glastopf ein wenig Verständnis für vom Angreifer definierte Funktionen ein zu hauchen. Ein Beispiel dafür ist das umwandeln von Bytes in z.B. Gigabyte.

ConvertBytes(diskfreespace(@getcwd()));

ConvertBytes ist keine “Built-in” Funktion und muss also vom Emulator erkannt werden, da das Resultat unbekannt ist. Es geht dabei weniger um exaktes Verstehen der PHP Befehle, der Emulator muss vielmehr wissen was für ein Ergebnis von der Funktion erwartet wird.

Gestern Abend wurde ich überraschend von Kelly Jackson Higgins von darkREADING angeschrieben. Sie wollte mehr über den Glastopf erfahren, also habe ich sie mit Informationen gefüttert und heute hat sie einen, in meinen Augen gut gelungenen, Artikel veröffentlicht: New Honeypot Mimics The Web Vulnerabilities Attackers Want

Danny hat in seinem Blog einen ausführlichen Bericht geschrieben, wie man ein Plug-in für den Glastopf schreibt.

Ich habe heute in groben Zügen das SURFids und das MySQL plug-in zusammen gefasst und entstanden ist das PostgreSQL plug-in. Hiermit ist es möglich die Angriffe in eine PostgreSQL Datenbank zu schreiben. Ein paar knappe Infos habe ich im Wiki zusammen gefasst.

Ich habe mich heute endlich an den zentralen Datenbank Server gemacht und ein Vertrauens Level System implementiert. Hierüber lässt sich festlegen in wie weit man einem übermitteltem Event vertraut. Ein nicht vertrauenswürdiger Eintrag in der Datenbank wir zu einem vertrauenswürdigen, sobald er von einem Sensor mit höherem Vertrauensgrad bestätigt wird. Ein fraglicher Angriff ist verifiziert sofern er zuvor von einer vertrauenswürdigen Quelle übermittelt wurde.
Wer Interesse daran hat etwas beizutragen, kann sich bei mir melden. Für die Zukunft plane ich ein Web Interface das es jedem ermöglicht auf Teile der gesammelten Daten zuzugreifen.