Kukulkan high interaction honeypot: Ein modulares System zur sicheren Protokollierung von Privilegien-Erweiterungs-Angriffen gegen weitverbreitete Serverbetriebssysteme und Dienste

Abstract

In dieser Bachelorarbeit wird der Frage nachgegangen, wie ein System aufgebaut sein kann, mit dem die Interaktionen eines Angreifers nach einem erfolgreichen Einbruch in einen Server gefahrlos protokolliert werden können, um wiederum Einblicke in das Verhalten bei der Privilegienerweiterung und Informationen über die hierfür verwendeten Hilfswerkzeuge zu erhalten. Hierfür wurde ein high interaction honeypot aufgebaut, der einem erfolgreichen Angreifer ein voll funktionsfähiges, aber komplett isoliertes Betriebssystem anbietet und die Interaktionen mit diesem aufzeichnet. Unter Anwendung einer agilen Vorgehensweise wurden die für das Gesamtsystem benötigten Komponenten – der Aufbau eines glaubwürdigen Köders, die sichere Isolation eines Betriebssystems und die detaillierte Ausführungsüberwachung – mehrere technische Ansätze diskutiert. Pro Komponente wurde eine Lösungsmöglichkeit detailliert beschrieben, praktisch erprobt und mit den jeweils anderen zu einem funktionsfähigen, modular aufgebauten high interaction honeypot kombiniert. Dieser kann beispielsweise von Systemadministratoren verwendet werden, entweder unverändert oder mit angepassten Modulen. Das entwickelte System wurde bei einem hierfür veranstalteten capture-the-flag-Event mit etwa einem Dutzend Teilnehmern getestet. Hierbei konnten die Interaktionen der Angreifer wie gewünscht protokolliert werden.

This bachelor thesis explores the question of how a system can be built to safely log an attacker’s interactions after successfully breaking into a server, in order to gain insight into privilege escalation behavior and information about the assistive tools used for this purpose. For this purpose, a high interaction honeypot was built which provides a successful attacker a fully functional yet completely isolated operating system and records the interactions with it. Using an agile approach, the components needed for the overall system – building a credible bait, securely isolating an operating system, and detailed execution monitoring – several technical approaches were discussed. For each component, one possible solution was described in detail, tested in practice, and combined with the others to create a functional, modular high interaction honeypot. This honeypot can be used by system administrators, for example, either unchanged or with adapted modules. The developed system was tested with about a dozen participants during a capture the flag event which was organized for this purpose. The interactions of the attackers could be logged as desired.