Fulltext available Open Access
Title: Kukulkan high interaction honeypot: Ein modulares System zur sicheren Protokollierung von Privilegien-Erweiterungs-Angriffen gegen weitverbreitete Serverbetriebssysteme und Dienste
Language: German
Authors: Krause, Uwe 
Keywords: Honeypot; high interaction honeypot; research honeypot; Köder; Container; Namensräume; full system container; Betriebssystemisolierung; Überwachung; Prozessüberwachung; Protokollierung von Angriffen; privilege escalation; capture the flag
Issue Date: 22-May-2024
Abstract: 
In dieser Bachelorarbeit wird der Frage nachgegangen, wie ein System aufgebaut sein kann, mit dem die Interaktionen eines Angreifers nach einem erfolgreichen Einbruch in einen Server gefahrlos protokolliert werden können, um wiederum Einblicke in das Verhalten bei der Privilegienerweiterung und Informationen über die hierfür verwendeten Hilfswerkzeuge zu erhalten. Hierfür wurde ein high interaction honeypot aufgebaut, der einem erfolgreichen Angreifer ein voll funktionsfähiges, aber komplett isoliertes Betriebssystem anbietet und die Interaktionen mit diesem aufzeichnet. Unter Anwendung einer agilen Vorgehensweise wurden die für das Gesamtsystem benötigten Komponenten – der Aufbau eines glaubwürdigen Köders, die sichere Isolation eines Betriebssystems und die detaillierte Ausführungsüberwachung – mehrere technische Ansätze diskutiert. Pro Komponente wurde eine Lösungsmöglichkeit detailliert beschrieben, praktisch erprobt und mit den jeweils anderen zu einem funktionsfähigen, modular aufgebauten high interaction honeypot kombiniert. Dieser kann beispielsweise von Systemadministratoren verwendet werden, entweder unverändert oder mit angepassten Modulen. Das entwickelte System wurde bei einem hierfür veranstalteten capture-the-flag-Event mit etwa einem Dutzend Teilnehmern getestet. Hierbei konnten die Interaktionen der Angreifer wie gewünscht protokolliert werden.

This bachelor thesis explores the question of how a system can be built to safely log an attacker’s interactions after successfully breaking into a server, in order to gain insight into privilege escalation behavior and information about the assistive tools used for this purpose. For this purpose, a high interaction honeypot was built which provides a successful attacker a fully functional yet completely isolated operating system and records the interactions with it. Using an agile approach, the components needed for the overall system – building a credible bait, securely isolating an operating system, and detailed execution monitoring – several technical approaches were discussed. For each component, one possible solution was described in detail, tested in practice, and combined with the others to create a functional, modular high interaction honeypot. This honeypot can be used by system administrators, for example, either unchanged or with adapted modules. The developed system was tested with about a dozen participants during a capture the flag event which was organized for this purpose. The interactions of the attackers could be logged as desired.
URI: http://hdl.handle.net/20.500.12738/15787
Institute: Department Informatik 
Fakultät Technik und Informatik 
Type: Thesis
Thesis type: Bachelor Thesis
Advisor: Kossakowski, Klaus-Peter  
Referee: Buth, Bettina 
Appears in Collections:Theses

Files in This Item:
File Description SizeFormat
BA_Kukulkan high interaction honeypot_geschwärzt.pdf1.87 MBAdobe PDFView/Open
Show full item record

Page view(s)

45
checked on Nov 25, 2024

Download(s)

62
checked on Nov 25, 2024

Google ScholarTM

Check

HAW Katalog

Check

Note about this record


Items in REPOSIT are protected by copyright, with all rights reserved, unless otherwise indicated.