소개
Honeyspider Network는 Client Honeypot들을 모아서 만든 악성 웹사이트를 탐지하는 프로젝트 입니다. 이 프로젝트는 폴란드의 NASK Cert와 네덜란드의 National Cyber Security Centre(NCSC)가 수년간 합작으로 만들어 낸 작품(?)입니다. 최종 목표는 특정 URL들의 일괄된 처리를 위한 크롤러 및 기존의 최첨단 도구들을 Client Honey Solution을 기반으로 시스템을 개발하는 것이라고 합니다.
이 프로젝트는 시스템 또는 웹 브라우저에 초점에 대한 공격을 맞추었습니다. 특히나 최근 Hot 이슈가 되려고 노력하는 Drive By Download를 하는 웹 사이트 탐지에 대한 초점이 더 큰 것으로 생각합니다. 이를 통해 제로데이를 포함하여 공격을 식별하고, 시스템은 자동으로 획득하고 공격하는 악성 코드를 분석할 것입니다.
다음 자료는 2013 NCSC 회의에서 발표한 Honeyspider Network 공개 자료입니다. - Download
프로젝트의 라이선스는 General Public License Version 3입니다.
사용
HSN2 Repository를 이용
wget http://www.honeyspider.net/debian/public.key -O - | apt-key add –
echo "deb http://www.honeyspider.net/debian experimental main" > /etc/apt/sources.list.d/hsn2.list
sudo apt-get update
apt-cache search hsn2
root@kali:~# apt-cache search hsn2 hsn2-capture-hpc - HSN2 Capture HPC Component. hsn2-console - HSN2 Command Line Interface. hsn2-cuckoo - HSN2 Cuckoo Service. It utilises the Cuckoo Sandbox. Cuckoo has to be installed and configured separately. hsn2-data-store - HSN2 Data Store Component. hsn2-file-feeder - HSN2 File Feeder Component. hsn2-framework - HSN2 Framework Component. hsn2-js-sta - HSN2 JavaScript Static Analyzer Service hsn2-malicious-domains - HSN2 Malicious Domains - checks if domain is malicious hsn2-norm-url - HSN2 URL Normalization Service hsn2-object-store - HSN2 Object Store Component. hsn2-os - HSN2 Object Store Component. hsn2-pcap-analyze - HSN2 PCAP analyzer - analyzes network traffic hsn2-pcap-extract - HSN2 PCAP extractor - It extracts files from PCAP hsn2-rb-archiveinflate - Razorback archive inflation nugget (archiveinflate) as a HSN2 python service. hsn2-rb-clamavnugget - Razorback clamAV nugget (clamavNugget) as a HSN2 python service. hsn2-rb-nugget-commons - Common files required for running Razorback Nuggets as HSN2 python services. hsn2-rb-officecat - Razorback rb-officecat nugget (officeCat) as a HSN2 python service. Requires wine and the officecat tool. hsn2-rb-pdffox - Razorback rb-pdffox Nugget (pdfFox) as a HSN2 python service. hsn2-rb-swfscanner - Razorback SWF scanner nugget (swfScanner) as a HSN2 python service. hsn2-rb-virustotal - Razorback Virus Total Nugget (virusTotal) as a HSN2 python service. hsn2-reporter - HSN2 Service Reporter hsn2-shell-scdbg - HSN2 Shellcode Analyzer Service hsn2-swf-cve - HSN2 SWF-CVE Component. hsn2-thug - HSN2 Thug Service. It utilises the Thug Python low-interaction honeyclient. hsn2-unicorn - HSN2 Object Store query tool hsn2-url-feeder - HSN2 URL Feeder Service. It uses input parameters to create a URL object. hsn2-webclient - HSN2 WebClient Component. hsn2-yara - HSN2 Yara Service. python-hsn2-lib - HSN2 python common modules. python-hsn2-proto - HSN2 protocol python library. root@kali:~# |
이미 설치되어 만들어진 VirtualBox 이미지로 미리 사용 할 수 있습니다. Download
사용방법은 다음과 같습니다.
- Boot up your virtual machine.
- Connect through the SSH (login: root, password: RootPassword).
- Start Honeyspider using ./start_hsn.sh script.
- Start GUI scheduler using python /var/www/hsn2/etc/scheduler.py start.
- Using your favorite browser go to the Virtual Machine IP address.
다음은 이 가상머신을 운영하면서 필요로 하는 부분들입니다.
Credential type | User | Password |
Root user | root | RootPassword |
Linux user | honeyspider | HSN2 |
MySQL | root | MySQLROOT |
MySQL user | hsn2 | somepassword |
WebGUI | root | DjangoRoot |
마지막으로 다음과 같이 스케줄 형태로 이용하여 사용 할 수 있습니다.
'Information Security > OpenSource' 카테고리의 다른 글
How To Set Up A TOR Middlebox Routing All VirtualBox Virtual Machine Traffic Over The TOR Network (0) | 2013.05.08 |
---|---|
Automater.py (1) | 2013.04.11 |
Yara Project 1.7 Release (0) | 2013.03.31 |
Python low-interaction honeyclient Thug Update (0) | 2013.03.12 |
iScanner (1) | 2013.01.16 |