Honeypots personalizables para monitorear el tráfico de la red

Camaleón es un honeypots personalizable para monitorear el tráfico de la red, las actividades de los bots y las credenciales de nombre de beneficiario / contraseña (DNS, HTTP Proxy, HTTP, HTTPS, SSH, POP3, IMAP, STMP, RDP, VNC, SMB, SOCKS5, Redis, TELNET y Postgres y MySQL) .

Interfaz de Grafana

Escaneo NMAP

Monitoreo de credenciales

Características generales

• Enfoque modular (los honeypots se ejecutan como scripts o se importan como objetos)
• La mayoría de los honeypots sirven como servidores (solo unos pocos que emulan los protocolos de la capa de aplicación)
• Servidores de configuración con nombre de beneficiario, contraseña y banner (el nombre de beneficiario y la contraseña predeterminados se prueban)
• Las cargas avíos ICMP, DNS TCP y UDP se analizan y se comparan con patrones comunes
• Interfaces de Grafana visualizadas para monitorear los resultados (Filtrar por IP: el valencia predeterminado es todo)
• Los registros estructurados y no estructurados se analizan e insertan en Postgres
• Todos los honeypots contienen clientes para probar los servidores.
• Todos los puertos están abiertos y monitoreados por defecto.
• Obvio automatización y se puede implementar en AWS ec2
• & Más funciones para explorar

Instalar y ejecutar

• En el sistema ubuntu 18 o 19 (configuración cibernética)

clon de git https://github.com/qeeqbox/chameleon.git
camaleón cd
chmod + x ./run.sh
./run.sh auto_configure

La interfaz de Grafana http: // localhost: 3000 se abrirá automáticamente posteriormente de finalizar el proceso de inicialización (el nombre de beneficiario es changeme457f6460cb287 y la contraseña es changemed23b8cc6a20e0). Si no ve el panel de control de Chameleon, haga clic en el icono de búsqueda en la mostrador izquierda y agréguelo.

Espere unos segundos hasta que honeypot muestre la dirección IP

…
honeypot_1 | Su IP: 172.19.0.3
honeypot_1 | Su MAC: 09: 45: aa: 23: 10: 03
…

Puede interactuar con el honeypot desde su sistema almacén

ping 172.19.0.3
o ejecutar cualquier utensilio de red en su contra
nmap 172.19.0.3

• En el sistema ubuntu 18 o 19 (prueba de configuración cibernética)

clon de git https://github.com/qeeqbox/chameleon.git
camaleón cd
chmod + x ./run.sh
./run.sh auto_configure_test

La interfaz de Grafana http: // localhost: 3000 se abrirá automáticamente posteriormente de finalizar el proceso de inicialización (el nombre de beneficiario es admin y la contraseña es admin). Si no ve el panel de control de Chameleon, haga clic en el icono de búsqueda en la mostrador izquierda y agréguelo

• O aceptablemente, cuantía el servidor sin interrupción que desee como objeto (servidor SSH)

copy ssh_server.py to your folder

# ip= String E.g. 0.0.0.0
# port= Int E.g. 9999
# username= String E.g. Test
# password= String E.g. Test
# mocking= Boolean or String E.g OpenSSH 7.0
# logs= String E.g db, terminal or all
# --------------------------------------------------------------------
# always remember to add process=true to run_server() for non-blocking

from ssh_server import QSSHServer
qsshserver = QSSHServer(port=9999)
qsshserver.run_server(process=True)
qsshserver.test_server(port=9999)
qsshserver.kill_server()

ssh [email protected]

INFORMACIÓN: chameleonlogger:[‘servers’, {‘status’: ‘success’, ‘username’: ‘test’, ‘ip’: ‘127.0.0.1’, ‘server’: ‘ssh_server’, ‘action’: ‘login’, ‘password’: ‘test’, ‘port’: 38696}]

• O, docker stanalone simple

clon de git https://github.com/qeeqbox/chameleon.git
camaleón cd
# elija qué honeypot http, https, ssh, etc. y use -p en la ventana acoplable para los puertos
docker build -t honeypot ./honeypot/. && docker run -p 9999: 9999 -p 9998: 9998 -it honeypot –modo ordinario –servidores “ssh: 9999 http: 9998”

• Si no ve el panel de control de Chameleon, haga clic en el icono de búsqueda en la mostrador izquierda y agréguelo

Requisitos (solo servidores)

# apt-get update -y && apt-get install -y iptables-persistent tcpdump nmap iputils-ping python python-pip python-psycopg2 lsof psmisc dnsutils
#pip install scapy == 2.4.4 netifaces == 0.10.9 pyftpdlib == 1.5.6 sqlalchemy == 1.3.23 pyyaml ​​== 5.4.1 paramiko == 2.7.1 impacket == 0.9.22 twisted == 20.3. 0 psutil == 5.8.0 solicitudes == 2.25.1 redis == 3.5.3 mysql-connector-python == 8.0.23 pygments == 2.5.2
#pip install -U solicitudes[socks]
#pip install -Iv rsa == 4.0
#pip install rdpy == 1.3.2

Servidores / emuladores actuales

• DNS (servidor que usa Twisted)
• Proxy HTTP (servidor que usa Twisted)
• HTTP (servidor que usa Twisted)
• HTTPS (servidor que usa Twisted)
• SSH (servidor que usa socket)
• POP3 (servidor que usa Twisted)
• IMAP (servidor que usa Twisted)
• STMP (servidor que usa smtpd)
• RDP (servidor que usa Twisted)
• SMB (servidor que usa impacket)
• SOCK5 (servidor que usa socketserver)
• TELNET (servidor usando Twisted)
• VNC (rival que usa Twisted)
• Postgres (rival que usa Twisted)
• Redis (rival que usa Twisted)
• Mysql (rival que usa Twisted)
• Elasticsearch (Próximamente)
• Oracle (Próximamente …)
• LDAP (tal vez)

Cambios

• 2020.V.01.05 ayudante mysql
• 2020.V.01.04 añadido redis
• 2020.V.01.03 servidores ftp cambiados a trenzados
• 2020.V.01.02 cambió los servidores http y https a twisted
• 2020.V.01.02 Se corrigió el cambio de ip en la interfaz de grafana

Planisferio viario

• Refactorización de la tala
• Registrador de reparación
• Castidad de código
• Cambiando algunos servidores a retorcidos
• Ampliar obturación de conexión elegante (respuesta de error)
• Implementando el resto de servidores
• Añadiendo poco de razonamiento de detección al sinffer
• Ampliar un panel de control