허니팟(Honey Pot) 만드는 방법

이론적으로 허니팟을 만드는 아주 다양한 방법이 존재 한다. 그런 관련 논문도 수도 없이 본거 같다. 요즘 라즈베이파이나 미니PC같은 저 전력 저 비용으로도 구현을 하는거 같다.

허니팟은 일명 꿀단지다. 취약한 서버를 구축해놓고 공격자들의 행위나 패턴을 분석한다. 그럼 도대체 어떻게 구축해야 되나? 의문이 생길것이다.

침해사고 발생 유형은 3가지 정도로 본다. 자동화 도구에 의한 침투, 해커가 수동으로 행위 발생 후 침투, PC 침투 후 서버 침투

PC단은 RAT툴 같은 종류에 감염되어야 되고 서버팜 전체를 구축해야 되는 부분도 있어서 좀 힘들고, 해커가 수동으로 행위를 발생시키는 부분도 홈페이지나 DB도 그럴싸 하게 구축해야 된다.

그래서 우리는 가장 취약한 자동화 도구에 의한 침투를 구축해볼것이다.  자동화 도구는 python같은 스크립트로 멀티 쓰레드로 구현하여 IP대역대로 공격 패킷을 던진 뒤 응답 코드를 보고 판단하는 것이다.

최근 침해사고 대응협의회가서 다른 섹션은 다 못들었지만 워터홀 공격(Drive by Download), APT, 랜섬웨어에 대한 기술적 감염방식 솔루션 소개가 대부분이 였다.

랜섬웨어와 같은 워터홀 공격을 위해서는 경유지가 엄청나게 필요하다. 배포IP가 공유되면 바로 차단되기 때문이다. 그런 경우지와 유포지를 찾기 위해서 자동화 점검도구로 서버를 스캔한다.

서버에 저장된 정보보다는 2차적 행위를 위한 서버의 리소스를 먹는게요즘 추세이다. 악성코드 배포, 비트코인 체굴, DDoS Agent 등 여러가지 2차 적인 행위가 가능하다.

실제 구축은 어떻게 하면 되나? 침해사고 발생 유형별로 졸라 취약하게 만들어 놓으면 된다.

1] ssh, telnet 외부 오픈 후 쉬운계정 접속가능 (root / 1234) (oracle/oracle)

2] sendmail 구축 후 릴레이 정책 미적용

3] 워드프레스, Apache Struct, Fckediter, 제로보드 등 리모트 취약점에 취약한 구버전 구축

4] 관리자 페이지 외부 오픈 기본 패스워드 사용 tomcat, weblogic, phpmyadmin (oracle /   welcome1)

5] sql injection도 웹방화벽이나 웹로그에 오토의 흔적들이 보인다. 그런 유형에 당하도록  구축

6] 공유기나 허브 외부접근 가능 기본 패스워드 사용 (admin/ admin)

저렇게 구축한 뒤 떡밥을 기다리면 된다. 저런류를 개별적으로 다 따라 구축해 놓고, 관련 연구자료나 논문으로 사용도 가능하다.

꼭 이글 보고 그대로 따라하는 얼척은 없길 바란다. 허니팟 구축 방법이지 해킹하는 방법이 아니다. 자기가 한 행동에는 자기가 책임을 져야 된다.