본문으로 바로가기


1. Intoruduction


HPFClient는 Honeynet Project Feeds Client의 약자로 Honeynet Project 도구들에 의해 발생하는 로그들을 통합 관리 하는 Honeynet의 또 다른 프로젝트이다. 2013년에 열린 SIGINT13에서 Honeynet Project Friends 라는 이름으로 리네임하고 Real-Time Social Data-Sharing 컨셉아래 새롭게 발표했다.


영상1. SIGINT13에서 hpfriends 발표


Real-Time Social Data-Sharing 컨셉은 각각의 사용자들이 주변의 사용자들과 함께 채널을 공유할 수 있다. 또한, 채널에 따라 접근 권한을 가지며 복수개의 채널에 가입할 수 있기 때문에 보다 자연스럽게 소셜기능을 이용할 수 있다. 추세가 빅데이터를 통해 양질의 일부 데이터를 추출하는 형태로 흘러가고 있어 이러한 형태로 운영되도록 설정한 것으로 생각한다.


그림1. Real-Time Social Data-Sharing 구조


또한 각 채널들의 Honeynet Project로 인해 발생하는 로그와 데이터들을 통해 공격을 실시간으로 세계지도에 표시할 수 있는 기능을 가지고 있다. 붉은점은 공격 발생 근원지이며, 노랑점은 Honeynet Project와 hpfriends가 연동되어 센서 역할을 하는 지점이다.


그림2. Honeymap 운영 모습 - 출처


2. Installation


Cuckoo 1.0이 제대로 설치되어 운영이 된다면 추가적으로 설치할 부분은 없다.


3. Configuration


설정을 하기 앞서 hpfriends에 가입해야 하여 키를 발급받아야 한다. 아래 둘 사이트 중 어딜 들어가도 상관없으며 가입은 페이스북, GitHub, Google 아이디로 가능하다.


그림3. 로그인


그림4. 인증키 발급


마지막으로 HPFClient 설정 파일은 cuckoo/conf 디렉터리의 reporting.conf 에서 설정할 수 있다. channel에 대한 설정은 키 발급 후 Edit 버튼을 통해 설정할 수 있다. 테스트 하지는 않았지만, 복수개의 hpfriends를 운영할 때 구분하기 위해서 사용하는 것으로 추측하고 있다.


[hpfclient]

enabled = yes

host = hpfriends.honeycloud.net

port = 20000

ident = qZhkVo6d

secret = BXqaT24LcY0Y2fEv

channel =


4. Starting


이제 Cuckoo를 통해 분석을 하면 hpfclient 전용 패킷으로 hpfriends.honeycloud.net:20000으로 전송되고 전송받은 데이터는 해당 호스트에 저장되게 된다. 문제는 저장된 데이터를 통해 어떤 추가적인 정보를 생산해 내는지 알 수 없었다. 몇몇 문서를 찾아본 결과 Dionaea, Kippo, Glastopf, Artillery, Conpot 와 같은 Honeynet Project들이 반응한다고 한다. 즉, 네트워크 침입 탐지에 가까운 Honeynet 프로젝트와 달리 HoneyClient 개념에 더 가까운 Cuckoo는 hpfriends와의 상호 연동성에는 그다지 중요하지 않다고 볼 수 있다.


그림 5. 분석 후 전송받은 패킷


5. Reference



저작자 표시 비영리 동일 조건 변경 허락
신고

댓글을 달아 주세요

티스토리 툴바