LES HONEYPOTS

Confrence du 29/04/2017
Par : INFORMATRIX
 SOMMAIRE
1) DEFINITION

2) LES DIFFERENTS TYPES DHONEYPOTS

3) MISE EN PLACE
 DEFINITION
HONEYPOT ( Pot de miel )

un honeypot est une technique de dfense dites active, cette mthode

consiste attirer un hacker sur un types de ressource ( service,
programme, serveur etc.) afin de lidentifi et de neutraliser son attaque
malveillante.

Ce terme a t dsigner a lorigine par les service despionnage

honeytrap , devenu plus tard des techniques relevant de lingnierie
Social et de renseignements de renseignement de type humain ( HUMINT )
mis au point par les experts en scurit informatique, afin dtudier le
comportement de personnes mal intentionn.
 DEFINITION
Le But dun Honeypot, est de faire croire la personne mal intentionn,
quelle compromet une vrai machine sur un rseau dune entreprise par
exemple. Ce qui permettra un IT spcialiste ou a un administrateur du
rseau dobserver ces mthodes de compromission.

Ou encore de pouvoir se prmunir des nouveaux types dattaque pour

ainsi lui faire gagner du temps a limiter la casse sur ces machines vritables.

ATTENTION : Le But de cette mthode nest pas de coincer des black

hat la main dans le sac, mais plutt dtudier leur comportement sur le
terrain en toute discrtion.
 DEFINITION
Si nous nentendons pas forcment parler de cette mthode, cest justement que cette mthode est mal
vue sur le plan Juridique ( mme si cette technique est le bras arm des analystes en scurit ).

Larticle 23 de la loi du 29 Juillet 1881sur la libert de la presse stipule que:

Seront punis comme complices d'une action qualifie crime ou dlit ceux qui, soit par des discours, cris ou
menaces profrs dans des lieux ou runions publics, soit par des crits, imprims, dessins, gravures, peintures,
emblmes, images ou tout autre support de l'crit, de la parole ou de l'image vendus ou distribus, mis en vente
ou exposs dans des lieux ou runions publics, soit par des placards ou des affiches exposs au regard du
public, soit par tout moyen de communication au public par voie lectronique, auront directement provoqu
l'auteur ou les auteurs commettre ladite action, si la provocation a t suivie d'effet. Cette disposition sera
galement applicable lorsque la provocation n'aura t suivie que d'une tentative de crime prvue par l'article
2 du code pnal.

Voir aussi larticle 226-1 sur latteinte la vie priv et 226-15 sur latteinte au secret des correspondances
 DEFINITION
Ce qui signifie que le fait deffectuer cette technique, veut dire que nous
provoquons commettre laction, donc, nous rend aussi complice de laction.

Il y a un autre problme lgal avec cette technique, un honeypot rcupre

surement , des donnes personnels ou confidentiel, qui doivent tout dabord faire
lenqute dune dclaration a la CNIL ( Commission.National.de lInformatique.et des
Liberts ).

Donc il sera impossible pour nous de nous plaindre aux autorit dune ventuelle
intrusion indsirable sur un honeypot, car nous sommes complices de celle-ci.
 DEFINITION
Une Utilisation correct dun honeypot doit reposer sur trois critres problmatique survenant sur
certains systmes de scurit:

1. La Surveillance
2. La collecte Dinformations
3. Lanalyse dinformations

ATTENTION :
Un Honeypot doit tre configurer en fonction des personnes que nous souhaitons tudier, Une
configuration trop simple peut tre susceptible de laisser rentrer des dbutants, SKID ( Script-
Kiddies) ou des logiciels dattaques automatiser.
Donc, des configurations plus avances et adapte entraineront donc des attaques plus
cibls, donc des intrusions tablie par une personne de niveau intermdiaire ou expert.
 DEFINITION
Avant tout, nous devront partir du fait, que toute information transitant sur le rseau destination ou non de
lHoneypot est importante. Donc notre niveau de surveillance se doit dtre Importante et Constante et devra
reposer sur trois critres :

1. Lanalyse du Traffic rseau

2. Lanalyse de pr-intrusion
3. La journalisation des vnements

Note:
La collecte dinformations peut se faire grce a des renifleurs rseaux ou analyseur de trames comme
Wireshark , qui tudieront les paquets sur le rseau et stockeront les vnements dans une base de donnes
ou un fichier de journalisation dvnements.

Ensuite, Grce lanalyse dinformations, nous pourront tre en mesure de pouvoir analyser les fichier journaux
ou base de donnes rcolter lors de la phase de collecte, pour dcouvrir les diverses dfaillances possibles sur le
rseau et ainsi pouvoir prendre de lavance sur la mise en place de divers moyens de remdiations ( contre-
mesure ).
 LES DIFFERENTS TYPES DHONEYPOTS
IL EXISTE DEUX CATEGORIES DHONEYPOT :

Les honeypots a faibles/moyennes interactions

Les honeypots a forte interactions

NOTE : Les niveaux de risques sont diffrents dun honeypot a lautre.

 LES DIFFERENTS TYPES DHONEYPOTS
Les honeypots faible/moyennes interactions :

Avantages

Les plus simples dutilisation, ils permettent de recueillir des informations tout en limitant les risques de dploiement dintrusion
grce a la mise en place de machines ou services virtuels.

Inconvnients

Cette mise en place noffre que trs peu voir pas du tout de haut privilges lattaquant, cest dailleurs cette limitation qui peut
pousser lattaquant perdre son inrets lors de la post-exploitation.

Note:
Le projets honeyd permattait de dployer des machines virtuelles avec des services affilis a celles-ci celon la configurations
souhaiter. Malheureusement , cette outils nest plus mis jour depuis 2007.
 LES DIFFERENTS TYPES DHONEYPOTS

Les honeypots forte interactions :

Ce type dhoneypot est souvent appeler honeynet .

Avantages
Ce type dhoneypots est conu pour rcuprer plus dinformations.
Ils sont conus sur de vrais services et environnements permettant lattaquants de faire evoluer sa post-
exploitation comme pivoter sur un autre systmes honeypot ou dinclure les machines infecter dans un
botnet.etc
Inconvnients
Risques beaucoup plus important si le crateurs du rseaux honeypots ngliger le moindre petits dfaut de
scurit ce qui pourrait entrainer lattaquant a dcouvrir de vrais machines.

Comme lemploi de cette techniques rcupre plus dinformations, il est prvoir la collecte dinformations
dordre priv de lattaquant ( voir plans juridique ) et sur larticle 121-1 du code pnal sur le principe de
responsabilit pnal individuel
 LES DIFFERENTS TYPES DHONEYPOTS
Ce type dhoneypot se base sur deux principes :

Le contrle des donnes afin dobserver le maximum dattaques,

Ladministrateur devra accepter toutes les communications entrantes et limiter les
connexions sortantes, afin dviter tout dbordement possibles.
ATTENTION : Limiter ne veut pas dire Interdire ! Un Bon quilibre de scurit et de risque
de dcouverte doit tre tudier minutieusement afin dviter que lattaquant dtecte
notre leurre.
 LES DIFFERENTS TYPES DHONEYPOTS
La capture de donnes, tablie avec un pare-feu ou IDS.
Le pare-feu, permettra de loguer et rediriger les tentatives dattaques
entrantes/sortantes.
Le IDS, qui vient en complment du pare-feu et servira de sauvegarde si celui-ci
devient H.S. Il permettra denregistrer les trames circulants afin de pouvoir reconstruire
la squence dattaque, il permettra ainsi, de rediriger les paquets compromis vers
lhoneypot grce aux iptables.
Les informations gnr sont et doivent tre rediriges vers une machine distante afin
dviter la compromission de ces dernires si elles sont stockes sur la machine
compromise.
Il faut aussi prvoir aussi lexistence dhoneypot comme ceux prvu pour anti-
spams/anti-virus.
 MISE EN PLACE
Honeydrive

Afin de gagner du temps sur la mise en place de diffrents honeypots a faibles et

moyennes interactions, nous utiliserons la VM honeydrive, dvellopper la Bruteforcelab,
bas sur la distribution Xubuntu. Cette Vm dispose de plusieurs outils permettant
dmuler des faux services ou encores de fausses machines virtuel.

La VM honeydrive est disponible a cet adresse :

https://sourceforge.net/projects/honeydrive/

Avant de dmarrer un outils , veuillez lire le Readme prsent sur le bureau.

 MISE EN PLACE
KIPPO

Kippo est un honeypot ssh a moyennes interactions crit en Python bas sur lhoneypot
kojoney
Il est utiliser pour enregistrer des attaques en bruteforce ainsi que linteraction global de
shell effectuer par lattaquant.
Kippo nest actuellement plus mis a jour et recommande dutiliser le projet Cowrie qui
est un forkd de celui-ci emulant ssh et telnet.

ATTENTION : le but de cette confrence nest pas de vous prsenter les derniers outils en
matiere dhoneypot, mais de vous montrer leur principe de fonctionnement.
 MISE EN PLACE
Rendez vous dans le dossier honeydrive/kippo et lancer le script start.sh

Une fois lhoneypot lancer, nous pouvons nous connecter au services ssh factice
Sois avec la commande ssh user@ip , ou avec un module de bruteforce de mot de
passe ( hydra, metasploit, script de bruteforce sshetc).

Pour voir les logs dactivits de lattaquant sur le faux service, rendez-vous dans le
dossier honeydrive/kippo/log/tty.

Kippo possde galement une interface graphique disponible ladresse suivante:

http://localhost/kippo-graph/index.php
 MISE EN PLACE

Cette interface graphique nous propose plusieurs possibilit de visualisation :

Graphique ( top 10 des mdp et username employ, tentatives chous/reussie, connexion par ip.etc
Liste des commandes effectues sur le services par lattaquant
Lire et simuler lactivit des logs
Nombre dadresse ip identifis et golocalisation
 MISE EN PLACE
Dionaea

Dionaea est le successeur de Nepenthes ( projet honeynet ), sa particularit se situe dans la collecte de
logiciel malveillants

Cest un honeypots apprcier par les chercheurs, car il permet dmuler des services windows communs
comme :
Msrpc (135)
Smb (445)
ftp ( 21)
http/https (80 / 443)
Serveurs de noms (42)
Tftp (69 /udp)
Ms-sql (1433)
Mysql (3306)
Sip/sip-tls (5060/5061)
 MISE EN PLACE
Pour lutilisation de cet honeypot a faible interaction, nous utiliserons la machine
nommer Tpot 16.10.
Tpot est un projet crer par Deutsh Telekom lancer en 2010 regroupant ce jour de
nombreux honeypots comme :
Emobility
Glastopf
Honeytrap
Conpot
Cowrie
Etc
Visiter le site officiel afin de tlcharger liso de Tpot
 MISE EN PLACE
Lancer dans un navigateur internet lurl suivante afin de lancer linterface graphique de
Tpot 16.10 :
https://ipdeTpot:64297

Dans cet exemple,nous analyserons une sauvegarde de linterface graphique.

Afin de comprendre les diffrents lments.
 MISE EN PLACE
BEESWARM

Beeswarm est un projet honeypot offrant une configuration, une mise en place ainsi
quune gestion simplifier des honeypots.

Beeswarm fonctionne en dployant de faux systme client et de services afin de fournir

une IOC ( indice de compromission ) en observant la diffrence entre le trafic attendu
et le trafic relle
 MISE EN PLACE
Prrequis :

3 machines ubuntu server :

1 pour le serveur
2 pour la mise en place de drone

Note : dans cet exemple nous utiliserons 3 machines virtuelles

1) Mettre a jour les 3 machines :

Sudo apt update && sudo apt full-upgrade y

 MISE EN PLACE

2) Installer les dpendances suivantes :

Sudo apt install libffi-dev build-essential python-dev python-pip python-wheel libssl-dev

libxml2-dev libxslt1-dev ntp

Sudo pip install pydes - -allow-external pydes - -allow-unverified pydes

Sudo easy_install U setuptools (FACULTATIF)

Sudo pip install beeswarm

 MISE EN PLACE
Dploiement

Crer un dossier nommer workdir_server :

Mkdir wordir_server

Cd workdir_server

Crer un dossier nommer drone_workdir sur les deux machines drones :

Mkdir drone-workdir

Cd drone_workdir
 MISE EN PLACE
Dploiement

Lancer sur la machine serveur linterface beeswarm

Sudo beeswarm - -server - -customize

Pour commencer, nous seront invit poser des questions sur ladresse ip de la machine et sur le
certificat SSL pour le serveur Beeswarm. Compltons-les comme appropri pour notre
environnement. Si nous ne savons pas les informations fournir, nous pouvons ouvrir un
navigateur Web pour consulter les dtails du certificat d'un site Web auquel nous souhaitons tre
similaire. Pour le port 5000 qui est utiliser par dfaut pour le lancement de linterface graphique,
nous pourrons galement le changer sur le ports 443 ( privilges root requis).

Une fois cette tape terminer, noublions pas de prendre en compte le mot de passe qui sera
gnrer dans le terminal.
 MISE EN PLACE
Dploiement

Dans un navigateur web, tapons ladresse suivante afin de nous connecter a linterface
graphique de beeswarm et renter lusername et le mot de passe rcemment gnrer
par beeswarm :

https://votreip:5000
OU
https://votreip:443
 MISE EN PLACE
Dploiement

Maintenant, nous devons ajouter nos deux autres machines au serveur, 1 honeypot et 1
client :

Dans le menu de slection , cliquons sur +drone afin dobtenir un url afin de pouvoir
lier nos deux machine au serveurs.

Un URL valide pendant 2 minutes nous sera proposer, copions le et rendons nous sur la
deuxieme machine qui nous servira de premier drone, et dans le dossier drone_workdir,
tapons la commande suivante.
 MISE EN PLACE
Dploiement

Sudo beeswarm - -config url

Il ne nous reste plus qua le configurer sois en tant que honeypot ou en tant que client
depuis linterface du serveur en nous rendant dans le menu drone .
 MISE EN PLACE
Dploiement

Une fois configurer en tant quhoneypot, nous aurons dsormais le choix dattribuer un
nom la machine, et aussi de modifier les bannires de versions sur diffrents services,
les activer, et aussi de modifier les ports dcoute. Cliquons ensuite sur generate une
fois notre honeypot configurer comme bon nous semble et apres avoir rempli les
informations demander pour le certificat ssl.
Rpter la meme chose pour la dernire machine qui sera client.
MISE EN PLACE
Dploiement
MISE EN PLACE
Dploiement
 CONCLUSION
La mise en place dun pot de miel est lourde et complique mais lmergence
doutils dans le monde Linux, lexistence dune communaut de dveloppeurs et dune
reflexion collective permet den faciliter la mise en place et le suivi. Cela ne rend pas
pour autant lusage de pot de miel simple et de tout repos. Un tel dispositif laiss sans
surveillance ou sous une surveillance relache se rvlera rapidement non seulement
inutile mais nocif pour le reste du rseau. Cette exprience a donc trs rapidement t
abandonne sur lUniversit de Picardie par exemple, les bnfices en tirer restant
faibles face aux comptances et au temps ncessaires pour obtenir une solution viable.
Comme le conclut un rapport dHSC12 : Il y a bien dautres choses faire sur un
rseau avant de mettre en place des Pots de miel .
 CONCLUSION
RESSOURCES UTILES :

Mise en place dhoneypot virtuel bas sur user-mod-linux

http://2003.jres.org/actes/paper.98.pdf

Systme des scurit et informations :

http://www.tdeig.ch/SSL_PKI_CA/dizon_M.pdf

Honeypot cert exercise

https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-
material/documents/Honeypots_CERT_Exercise_Handbook.pdf

Securing Debian manuel

https://www.debian.org/doc/manuals/securing-debian-howto/ch10.fr.html
 CONCLUSION
RESSOURCES UTILES :

Les honeypots par Franois ropert :

http://www.authsecu.com/honeypots-honeynet/honeypots-honeynet.php#Introduction

Les honeypots, un pot-pourri.Juridique

http://actes.sstic.org/SSTIC04/Droit_et_honeypots/SSTIC04-article-Barel-Droit_et_honeypots.pdf