Kippo SSH Honeypot Kurulumu, Saldırısı ve Honeypot Tespiti

Merhaba

Kippo, python dili ile geliştirilmiş bir SSH honeypot projesi. Kurumlar tarafından default SSH portu üzerinde çalıştırılan Kippo, sahte bir dosya sistemi sunarak saldırganların çalıştırdığı komutları log dosyasına yazmaktadır. Kippo projesine https://github.com/desaster/kippo adresin  ulaşılabilir. Kippo’nun kurulumu ile ilgili adımlar hızlıca aşağıdak anlatılmıştır.

Kurulum

NOT: Kurulum adımları için https://github.com/desaster/kippo/wiki/Running-Kippo

Son olarak Kippo servisinin otomatik çalışması için start.sh dosyasında twistd ile başlayan komut yerine aşağıdaki komut yazılmalıdır.

Ve servis aşağıdaki iki komut ile çalıştırılır.

Kippo SSH Servisine Brute Force Saldırısı

Kippo servisi kuruldu ve saldırganların gelmesi beklenmekte. Daha önce blog’umda yer verdiğim [Beleth] Multi-Threat Sözlük Saldırıları ile SSH Hacking Performansı aracı ile SSH servisine brute force saldırısı gerçekleştirilecektir.

beleth-kippo-brute-force

Brute force saldırısı başarıyla sonuçlandı ve şifre 123456 olarak belirlenmiş durumda. Hedef sisteme 123456 şifresi ile giriş yapıldığında ise honeypot log dosyası aşağıdaki gibi tutuluyor olacaktır.

Honeypot log dosyasinda çalıştırılan her komut tutulmaktadır.

Kippo SSH Honeypot’un Tespiti

Penatrasyon testi gerçekleştirilen kurumların dışa açık ipleri üzerinde çalışan SSH servisi tespit edildiğinde, ilk yapılan işlem SSH Brute force tekniğidir. Eğer testi blackbox olarak gerçekleştiriyorsanız, bu tür honeypot’lara dikkat etmek gerekir. Aksi takdirde passwordu 123456 olan SSH servisi tespit ettik diye rapora yazarak madara olunabilir. ( Bir pentest raporunda, 1-65535 arası tüm portlar açıktır! yazısı gördü bu gözler. Syncookie/proxy ‘den habersiz pentester.. )

Honeypot’ları tespit etmek kolay bir işlem değildir. Kippo gibi son derece popüler bir honeypot için, bu blog yazısının yazıldığı tarihte geliştirilmeye devam eden bir metasploit modülü bulunmakta. Bu modül yakın zaman içerisinde msf repolarına merge edilecektir.

Görüldüğü üzere Kippo honeypot detected! uyarı verilmekte. Gerçek SSH servisi demo ortamında 2222 numaralı portta çalıştığı için birde gerçek SSH servisini test edelim.

 

 

  • Seda Yuksel

    Merhaba Mehmet Bey,

    Öncelikle, detaylı “Kippo kurulumu” anlatımınız için teşekkür etmek istiyorum.
    Komutların hepsini tamamladıktan sonra, “./start.sh” komutuyla Kippo’yu çalıştırmayı denediğimde aşağıdaki hatayı alıyorum. Birkaç sitede araştırma yaptım, fakat bir sonuç bulamadım. Öngörünüz var mıdır, sorunu nasıl çözebilirim?

    Teşekkürler.

    • Görünen o ki gerekli python paketlerinin kurulumu yapılmamış. Gerekli paketlerin kurulum adımları; https://github.com/desaster/kippo/wiki/Running-Kippo

      • Seda Yuksel

        Sorun çözüldü. Çok teşekkür ederim, tekrardan…

        Şimdi yeni bir sorunum var. 22 no’lu port boş olmasına rağmen, Kippo’yu çalıştıramıyorum. log dosyasının içi de boş :/ Ne yapabilirim?