S E C U R I N E T S

C lu b d e la s c u r it in f o r m a t iq u e I N S A T

Dans le cadre de SECURIDAY 2009

SECURINETS

Prsente

Atelier : Collecte de malwares avec un Honeypot

Formateurs: 1. Boussaid Henda 2. Mkacher Mahdi 3. Msallem Emna 4. Tbourbi Hamdi

S C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

1. Prsentation :
Un honeypot (en franais pot de miel) est un ordinateur ou un programme volontairement vulnrable destin attirer et piger les pirates informatiques. Le but de cet atelier est dutiliser un honeypot afin de surveiller le rseau pour collecter des informations sur les diffrents bots qui circulent dans le rseau. Ensuite, analyser ces informations pour pouvoir dcouvrir les dfaillances du rseau protger et les motivations des pirates. On compte deux types de honeypots qui ont des buts et des fonctionnalits bien distinctes : Les honeypots faible interaction. Les honeypots forte interaction.

1. Honeypots faible interaction :

Ils sont les plus simples de la famille des honeypots. Leur but est de rcolter un maximum dinformations tout en offrant un minimum de privilges aux pirates. Ils permettent de limiter les risques au maximum. Contrairement un honeypot forte interaction, il ne fait que simuler ces services et ne les possde pas rellement. Ils ne peuvent donc pas tre exploits par les malwares pour se dployer.

2. Honeypots forte interaction :

Ce type de honeypots peut tre considr comme le ct extrme du sujet puisquil repose sur le principe de laccs de vritables services sur une machine du rseau plus ou moins scurise. Les risques sont beaucoup plus importants que pour les honeypots faible interaction. Il apparat donc ncessaire de scuriser au maximum larchitecture du rseau pour que lattaquant ne puisse pas rebondir et sen prendre dautres machines.

3. Outils utiliss :
2.1 Nepenthes Nepenthes est un honeypot faible interaction sexcutant ct serveur sous Linux et simulant des services (rseau) Windows vulnrables. Il collecte des malwares tant faits pour sexcuter dans un environnement Windows (car il simule des services Windows). Nepenthes est disponible dans ce lien : http://nepenthes.carnivore.it/

S C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

3.2 Amun Amun est aussi un honeypot faible interaction. Il est bas sur XML et Python, ce qui lui rend facile tendre. Amun est disponible dans ce lien : http://amunhoney.sourceforge.net/ 3.3 Surfnetids Cest un logiciel qui est compos par plusieurs parties nous allons dans notre atelier exploiter une partie de surfnetids qui est le logging server. L'exploitation du logging server est constitue de 2 parties, la base de donnes et une interface web. La base de donnes est utilise pour stocker les informations de l'analyse du pot de miel. Cette information est prsente aux utilisateurs dans une interface web qui assure le suivi de l'tat du capteur d'informations.

4.

Installation et configuration :

3.1 Nepenthes : Afin dinstaller Nepenthes, on commence par excuter la commande :

# apt-get install nepenthes

Cette commande va nous installer le paquet Nepenthes et tous les autres paquets ncessaires. On peut par la suite vrifier que Nepenthes est bien install comme suit :

Parmi les avantages de Nepenthes cest quil suffit de linstaller et il va commencer la

S C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

collecte. En effet, il ne ncessite pas une configuration bien spcifique. Le fichier de configuration par dfaut est suffisant.

Aprs la collecte, les informations sont enregistres dans des fichiers log. Pour y accder on tape :
# gedit /var/log/nepenthes.log

Voici ci-dessous un exemple de fichier log :

S C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

4.2 Amun Afin dinstaller Amun, il suffit de tlcharger la dernire version du fichier tar partir du site dj spcifier en dessus (http://amunhoney.sourceforge.net/). Ensuite, il y a dautres paquets ncessaires quon peut tlcharger partir du gestionnaire de paquets synaptic. Les paquets sont les suivants : Python 2.4 ; Python Psyco (disponible dans http://psyco.sourceforge.net/);MySQLdb ; psycopg2 . Par la suite on doit modifier la configuration en ditant le fichier amun.conf . Dans ce fichier on peut modifier ladresse ip du serveur (Rq : mettre cette adresse 0.0.0.0 si on veut que Amun reste en coute sur toutes les interfaces),le nom dutilisateur, le groupe, le timeout et plusieurs autres informations.

Puis pour lancer Amun on tape la commande suivante :

#./amun_server.py

Amun va donc rester en coute et collecter des informations sur les bots. Ces informations seront enregistres dans les fichiers log se trouvant dans le dossier logs .

S C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

4.3

Surfnetids :

Pour installer le logging server on doit utiliser ubuntu 6.06 (dapper) car les dpts php4 et postgresql8.1 sont toujours valable.Pour installer le serveur on tape dans la ligne de commande : 1.tape : apt-get install postgresql-8.1 libclass-dbi-pg-perl perl php4 libapache2-mod-php4 libfreetype6 libpq4 php4-common php4-gd php4-pgsql apache2 libphp-phplot libmime-liteperl libgnupg-perl libmail-pop3client-perl libio-socket-ssl-perl sudo libapache2-mod-authpgsql libmime-perl sendmail xalan 2.tape : svn checkout http://svn.ids.surfnet.nl/surfids/logserver/tags/stable-2.00.03/ /tmp/surfnetids/logserver/ cd /tmp/surfnetids/logserver/ 3.tape : ./install_log.pl Pour la configuration, Les fichiers sont localiss dans : /etc/surfnetids/surfnetidslog.conf. (Rq : on doit ajouter dans les fichiers de configuration le login et le mot de passe de la base de donnes quon a dj crer).

5.

Comparaison entre Nepenthes et Amun

Nepenthes
Honeypot faible interaction. Collecte automatique de malwares tel que les bots. Emulation des vulnrabilits connues. Extraction dinformations partir du payload dexploit puis tlchargement des malwares essayant dexploiter les vulnrabilits du rseau. Implment en c++.

Amun
Honeypot faible interaction. Collecte de malwares se propageant de faon autonome sur le rseau. Emulation des vulnrabilits des services rseaux connues. Tlchargement de payload malicieux afin de les analyser.

Implment en python et bas sur XML donc sa maintenance et son extension de modules
S C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379

S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T

sont plus faciles. Contient les modules suivants : Modules de vulnrabilits qui mulent des services existants comportant des vulnrabilits. Modules danalyse du contenu envoy par les modules de vulnrabilits. Modules de rcupration, qui utilisent les informations reues par les modules danalyse afin de tlcharger le malware. Modules de chargement qui soccupent de stocker le malware. Modules de gnration de log qui enregistrent toutes les informations concernant lmulation. Contient les modules suivants : Modules de vulnrabilits. Modules danalyse du contenu des payload. Modules de rcupration. Modules de tlchargement des malwares. Soumission, des malwares analyser, vers des sandbox. Modules de gnration de fichiers log.

Conclusion

Le honeypot aussi rcent Amun, a suivi une approche similaire Nepenthes dans la mesure o il fait la collecte des malwares par mulation des services rseaux vulnrables puis le tlchargement des payload malicieux afin de les analyser.

La diffrence principale entre Nepenthes et Amun est que ce dernier est implment en python ce qui facilite son extension et sa maintenance.

Amun est apparu dbut 2008, par contre nepenthes existe depuis lanne 2005 et il a t test par pas mal de personne et a prouv son efficacit.

S C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379