1. Intoruduction
HPFClient는 Honeynet Project Feeds Client의 약자로 Honeynet Project 도구들에 의해 발생하는 로그들을 통합 관리 하는 Honeynet의 또 다른 프로젝트이다. 2013년에 열린 SIGINT13에서 Honeynet Project Friends 라는 이름으로 리네임하고 Real-Time Social Data-Sharing 컨셉아래 새롭게 발표했다.
영상1. SIGINT13에서 hpfriends 발표
Real-Time Social Data-Sharing 컨셉은 각각의 사용자들이 주변의 사용자들과 함께 채널을 공유할 수 있다. 또한, 채널에 따라 접근 권한을 가지며 복수개의 채널에 가입할 수 있기 때문에 보다 자연스럽게 소셜기능을 이용할 수 있다. 추세가 빅데이터를 통해 양질의 일부 데이터를 추출하는 형태로 흘러가고 있어 이러한 형태로 운영되도록 설정한 것으로 생각한다.
그림1. Real-Time Social Data-Sharing 구조
또한 각 채널들의 Honeynet Project로 인해 발생하는 로그와 데이터들을 통해 공격을 실시간으로 세계지도에 표시할 수 있는 기능을 가지고 있다. 붉은점은 공격 발생 근원지이며, 노랑점은 Honeynet Project와 hpfriends가 연동되어 센서 역할을 하는 지점이다.
그림2. Honeymap 운영 모습 - 출처
2. Installation
Cuckoo 1.0이 제대로 설치되어 운영이 된다면 추가적으로 설치할 부분은 없다.
3. Configuration
설정을 하기 앞서 hpfriends에 가입해야 하여 키를 발급받아야 한다. 아래 둘 사이트 중 어딜 들어가도 상관없으며 가입은 페이스북, GitHub, Google 아이디로 가능하다.
그림3. 로그인
그림4. 인증키 발급
마지막으로 HPFClient 설정 파일은 cuckoo/conf 디렉터리의 reporting.conf 에서 설정할 수 있다. channel에 대한 설정은 키 발급 후 Edit 버튼을 통해 설정할 수 있다. 테스트 하지는 않았지만, 복수개의 hpfriends를 운영할 때 구분하기 위해서 사용하는 것으로 추측하고 있다.
[hpfclient]
enabled = yes
host = hpfriends.honeycloud.net
port = 20000
ident = qZhkVo6d
secret = BXqaT24LcY0Y2fEv
channel =
4. Starting
이제 Cuckoo를 통해 분석을 하면 hpfclient 전용 패킷으로 hpfriends.honeycloud.net:20000으로 전송되고 전송받은 데이터는 해당 호스트에 저장되게 된다. 문제는 저장된 데이터를 통해 어떤 추가적인 정보를 생산해 내는지 알 수 없었다. 몇몇 문서를 찾아본 결과 Dionaea, Kippo, Glastopf, Artillery, Conpot 와 같은 Honeynet Project들이 반응한다고 한다. 즉, 네트워크 침입 탐지에 가까운 Honeynet 프로젝트와 달리 HoneyClient 개념에 더 가까운 Cuckoo는 hpfriends와의 상호 연동성에는 그다지 중요하지 않다고 볼 수 있다.
그림 5. 분석 후 전송받은 패킷
5. Reference
- http://blog.nic.cz/2013/09/29/hpfriends-ako-zdielat-data-z-honeypotov/
- http://hpfriends.honeycloud.net/#/authkeys
'Information Security > OpenSource' 카테고리의 다른 글
How to install malcontrol (6) | 2014.05.15 |
---|---|
How to using api.py in Cuckoo Sandbox (5) | 2014.05.12 |
Using MMDef Report within Cuckoo Sandbox (0) | 2014.04.15 |
Using MAEC Report within Cuckoo Sandbox (0) | 2014.04.14 |
Cuckoo Sandbox 1.1 Release (0) | 2014.04.09 |