LPS:SecScan - HoneypotID

Z Support
(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
m (Zásobárna honeypotích identit)
(Zásobárna HP ID)
(Nejsou zobrazeny 2 mezilehlé verze od 1 uživatele.)
Řádka 10: Řádka 10:
 
|-
 
|-
 
| Popis skriptu reduce_log.sh
 
| Popis skriptu reduce_log.sh
| spouští se po startu, redukuje ukládaná data a filtruje je jen na potřebná a ukládá do /var/log/hosts/<rok>/<měsíc>/<den>.log.reduced
+
| spouští se v 0:05 každý den, redukuje uložená data za předchozí den a filtruje je jen na potřebná a ukládá do /var/log/hosts/<rok>/<měsíc>/<den>.log.reduced
 
|-
 
|-
 
| Popis skriptu switch_descriptor.sh
 
| Popis skriptu switch_descriptor.sh
| spouští se o půlnoci každý den, přepíná na nové soubory daného dne
+
| spouští se v 0:00 každý den, mění symlink na nový vstupní soubor daného dne
 
|-
 
|-
 
| Popis skriptu fill_honeypot_id_usage.log.sh
 
| Popis skriptu fill_honeypot_id_usage.log.sh
| spouští se po startu, vyhledává regulárem honeypotí identity a zapisuje je do logu honeypot_id_usage.log
+
| spouští se po startu, čte vstupní soubor (webkdc log) a online v něm vyhledává regulárem honeypotí identity a zapisuje je do logu honeypot_id_usage.log
 
|-
 
|-
 
| Popis skriptu check_honeypot_id_usage.log.sh
 
| Popis skriptu check_honeypot_id_usage.log.sh
| spouští se každou minutu, kontroluje log honeypot_id_usage.log, není-li prázdný, pošle obsah mailem a smaže
+
| spouští se každou minutu, kontroluje log honeypot_id_usage.log, není-li prázdný, pošle obsah mailem a smaže obsah
 
|-
 
|-
 
| Kde se berou logy
 
| Kde se berou logy
Řádka 30: Řádka 30:
 
* Nastavit cron na secscanu
 
* Nastavit cron na secscanu
  
  #prepinac ukazatele na soubor dle data pro ucely live analyzy webkdc logu, vic info cepakj  
+
  #prepinac ukazatele na aktualni soubor dne dle datumu pro ucely live analyzy webkdc logu, vic info cepakj  
  0 0 * * * /bin/bash /var/log/hosts/switch_descriptor.sh >/dev/null 2>/dev/null
+
  1 0 * * * /bin/bash /var/log/hosts/switch_descriptor.sh 1>>/var/log/hosts/logy_behu/switch1.log 2>>/var/log/hosts/logy_behu/switch2.log 
 
   
 
   
  #kontrola, zda nekdo pouzil honeypoti identitu, soubor plni spusteny tail
+
  #kontrola, zda nekdo pouzil honeypoti identitu, soubor plni fill_honeypot_id_usage.log.sh
  * * * * * /bin/bash /var/log/hosts/check_honeypot_id_usage.log.sh >/dev/null 2>/dev/null 
+
  * * * * * /bin/bash /var/log/hosts/check_honeypot_id_usage.log.sh 1>>/var/log/hosts/logy_behu/check1.log 2>>/var/log/hosts/logy_behu/check2.log
 
   
 
   
  #redukovani webkdc logu
+
  #redukovani webkdc logu za předchozí den
  @reboot /bin/bash /var/log/hosts/reduce_log.sh >/dev/null 2>/dev/null
+
  5 0 * * *  /bin/bash /var/log/hosts/reduce_log.sh 1>>/var/log/hosts/logy_behu/reduce1.log 2>>/var/log/hosts/logy_behu/reduce2.log
 
   
 
   
 
  #plneni logu pouzitych honeypotich identit
 
  #plneni logu pouzitych honeypotich identit
  @reboot /bin/bash /var/log/hosts/fill_honeypot_id_usage.log.sh >/dev/null 2>/dev/null
+
  @reboot /bin/bash /var/log/hosts/fill_honeypot_id_usage.log.sh 1>>/var/log/hosts/logy_behu/fill1.log 2>>/var/log/hosts/logy_behu/fill2.log
  
 
= Co je honeypotí identita (HP ID) =
 
= Co je honeypotí identita (HP ID) =
Řádka 59: Řádka 59:
 
| style="width:30%" | Orion login
 
| style="width:30%" | Orion login
 
| Heslo
 
| Heslo
| Použito dne
+
| Podstrčeno dne
 
| URL nebo odkaz na RT
 
| URL nebo odkaz na RT
 
| Použito phisherem?
 
| Použito phisherem?

Verze z 22:51, 12 únor 2020

Obsah

Základní informace

Rychlý přehled

Název modulu HoneypotID
Skripty uloženy zde secscan.zcu.cz:/var/log/hosts
Popis skriptu reduce_log.sh spouští se v 0:05 každý den, redukuje uložená data za předchozí den a filtruje je jen na potřebná a ukládá do /var/log/hosts/<rok>/<měsíc>/<den>.log.reduced
Popis skriptu switch_descriptor.sh spouští se v 0:00 každý den, mění symlink na nový vstupní soubor daného dne
Popis skriptu fill_honeypot_id_usage.log.sh spouští se po startu, čte vstupní soubor (webkdc log) a online v něm vyhledává regulárem honeypotí identity a zapisuje je do logu honeypot_id_usage.log
Popis skriptu check_honeypot_id_usage.log.sh spouští se každou minutu, kontroluje log honeypot_id_usage.log, není-li prázdný, pošle obsah mailem a smaže obsah
Kde se berou logy posílá je hydra z apache logů serverů webkdc[12] access i error, ukládají se na secscan.zcu.cz:/var/log/hosts/<rok>/<měsíc>/<den>.log

Nasazení

  • Nastavit hydru, aby odesílala access a error apache logy ze všech webkdc serverů na secscan a tam se ukládaly do /var/log/hosts/<rok>/<měsíc>/<den>.log - dělá CFEngine
  • Nastavit cron na secscanu
#prepinac ukazatele na aktualni soubor dne dle datumu pro ucely live analyzy webkdc logu, vic info cepakj 
1 0 * * * /bin/bash /var/log/hosts/switch_descriptor.sh 1>>/var/log/hosts/logy_behu/switch1.log 2>>/var/log/hosts/logy_behu/switch2.log  

#kontrola, zda nekdo pouzil honeypoti identitu, soubor plni fill_honeypot_id_usage.log.sh
* * * * * /bin/bash /var/log/hosts/check_honeypot_id_usage.log.sh 1>>/var/log/hosts/logy_behu/check1.log 2>>/var/log/hosts/logy_behu/check2.log

#redukovani webkdc logu za předchozí den
5 0 * * *  /bin/bash /var/log/hosts/reduce_log.sh 1>>/var/log/hosts/logy_behu/reduce1.log 2>>/var/log/hosts/logy_behu/reduce2.log

#plneni logu pouzitych honeypotich identit
@reboot /bin/bash /var/log/hosts/fill_honeypot_id_usage.log.sh 1>>/var/log/hosts/logy_behu/fill1.log 2>>/var/log/hosts/logy_behu/fill2.log

Co je honeypotí identita (HP ID)

  • Využívá se tzv. O (chcete-li Orkáčova) metoda lovení phisherů
  • Do podvodné stránky se vyplní platné údaje honeypotí identity, která má tyto vlastnosti:
    • Název konta odpovídá regexpu [a-z]*-[0-9]*, tedy např. honza-02 (pomlčka v běžných kontech není povolena)
    • Vypršelé heslo - po přihlášení odkáže na změnu hesla
    • Heslo není možné změnit
  • Honeypotí identity vytváří lidé z fronty konta (Fanda)
    • Název musí odpovídat regexpu viz výše
    • Politika konta je jotest1
      • v politice nastaveno minlife 2 years (heslo nejde měnit 2 roky)
      • počet znaků hesla 6

Zásobárna HP ID

Orion login Heslo Podstrčeno dne URL nebo odkaz na RT Použito phisherem?
john-1 Krabice1 5.2.2019 https://newhaveninn.com/zcu/Zapadoceska%20univerzita%20v%20Plzni.html ANO
pepa-89 Chodnik1 21.11.2019 https://appriasalsiteforstaff.qwkcheckout.com RT313964 ANO
franta-96 PrasoPes3 5.12.2019 http://ntaryan.com/webmail.php?email=, http://asianetbd.net/Webmail/webmail.htm NE
anca-2 Kocicka2000 20.1.2020 https://568327951507564989.weebly.com ANO
jiri-7 Georg3.1 20.1.2020 http://mamaregy.com/webmail.php, http://g-mtcc.com/Webmail/webmail.htm NE
honza-02 MalemKralem 21.1.2020 https://xn--podporatechnickpodporywebmail-puc.weebly.com/ NE
josefina-22 Pepina1997 21.1.2020 https://owa20nz.weebly.com/ ANO
karl-7 KarlosVonPilsen 22.1.2020 http://vjcomunicacao.com.br/docfiles/wetrt/?email=karl-7@civ.zcu.cz NE
roman-99 RomanProZeny

E-mail s informací o použití HP ID

Vypadá takto:

Předmět: 	Pouzita honeypoti identita
Odesílatel: 	root <root@orion.zcu.cz>
Tělo:
<datum a čas>	<nazev HP ID>	<IP phishera>

Je odeslán v další celou minutu po použití, tedy v průměru za 30s po jejím použití na e-mailový alias sec-admin@civ.zcu.cz (všem bezpečákům)

TODO

  • Vyřešit automatické promazávání logů až začne docházet místo, zatím tam zůstávají plné logy z hydry i redukované logy
  • Vyřešit automatizované hledání IP adres chycených phisherů zpětně ze starých logů a hlavně z nových, abychom včas věděli, že phisher získal heslo "normálního" uživatele
  • Nasadit Icingu - kontrola stáří resp. času poslední editace souboru /var/log/hosts/input.log, že logy tečou a /var/log/hosts/output.log, že se zpracovávají a možná do skriptu check_honeypot_id_usage.log.sh dodat, aby při každém spuštění do souboru honeypot_id_usage.log něco zapsal a smazal a pak kontrolovat i život tohoto logu, pro kontrolu, že běží odesílací skript
  • Doposlat a přechroustat historické logy z hydry... budou k něčemu?
Osobní nástroje
Jmenné prostory

Varianty
Zobrazení
Akce
Kdo jsem
Navigace
Často hledaná témata
Nástroje