cowrie, un honeypot SSH et telnet

Qu'est-ce que Cowrie ?

Cowrie est un honeypot (pot de miel) SSH et Telnet d'interaction moyenne conçue pour enregistrer les attaques par force brute et l'interaction du shell effectuée par l'attaquant.
Cowrie est développé par Michel Oosterhof.

Slack

Vous pouvez rejoindre la communauté Cowrie sur l'espace de travail Slack

Caractéristiques

Des caractéristiques intéressantes :

• Faux système de fichiers avec la possibilité d'ajouter / supprimer des fichiers. Un système de fichiers complet ressemblant à une installation Debian 5.0 est inclus



• Possibilité d'ajouter de faux contenus de fichiers afin que l'attaquant puisse cataloguer des fichiers tels que / etc / passwd. Seul le contenu minimal du fichier est inclus



• Les journaux de session sont stockés dans un format Compatible UML pour une relecture facile incluant horodatage d'origine avec l'utilitaire bin/playlog.



• Cowrie enregistre les fichiers téléchargés avec wget/curl ou téléchargés avec SFTP et scp pour une inspection ultérieure des logs



• Fonctionnalités supplémentaires par rapport au kippo standard :



• SFTP and SCP support for file upload



• Prise en charge des commandes exec SSH



• Consignation des tentatives de connexions directes en TCP (proxy ssh)



• Transférer les connexions SMTP vers Honeypot SMTP (par exemple, mailoney)



• Enregistrement au format JSON pour un traitement facile dans les solutions de gestion des journaux



• Beaucoup, beaucoup de commandes supplémentaires

Docker

Les versions Docker sont disponibles.

• Obtenez le fichier Dockerfile directement sur https://github.com/cowrie/docker-cowrie
• Exécuter à partir de Docker Hub avec : docker pull cowrie/cowrie

Exigences

Logiciel requis:

• Python 2.7+, (Prise en charge limitée de Python 3 disponible pour SSH uniquement)
• python-virtualenv

Pour les dépendances Python, voir requirements.txt

Fichiers intéressants:

• cowrie.cfg - Le fichier de configuration de Cowrie. Les valeurs par défaut peuvent être trouvées dans etc/cowrie.cfg.dist


• share/cowrie/fs.pickle - faux système de fichiers


• data/userdb.txt - informations d'identification autorisées ou interdites d'accès au pot de miel


• honeyfs/ - contenu du fichier pour le système de fichiers faux - n'hésitez pas à copier un système réel ici ou utilisez bin/fsctl


• honeyfs/etc/issue.net - bannière de pré-connexion


• honeyfs/etc/motd - bannière post-connexion


• var/log/cowrie/cowrie.json - résultats de transactions au format JSON


• var/log/cowrie/cowrie.log - log/résultats en mode debug


• var/lib/cowrie/tty/ - les journaux de session, rejouables avec l'utilitaire bin/playlog.


• var/lib/cowrie/downloads/ - Les fichiers transférés de l'attaquant au pot de miel sont stockés ici


• share/cowrie/txtcmds/ - contenu du fichier pour de simples commandes factices


• bin/createfs - utilisé pour créer le faux système de fichiers


• bin/playlog - utilitaire de relecture des journaux de session

Est-ce sécurisé ?

Peut-être. Voir la FAQ

J'ai des questions !

S'il vous plait visitez https://cowrie.slack.com et rejoignez le canal #questions

Contributeurs

De nombreuses personnes ont contribué à Cowrie au fil des ans. Merci à:

• Upi Tamminen (desaster) pour tout son travail de développement de Kippo sur lequel Cowrie était basé
• Dave Germiquet (davegermiquet) pour le support TFTP, tests unitaires, nouvelle gestion des processus
• Olivier Bilodeau (obilodeau) pour le support Telnet
• Ivan Korolev (fe7ch) pour de nombreuses améliorations au fil des ans.
• Florian Pelgrim (craneworks) pour son travail sur le nettoyage du code et Docker.
• Et beaucoup d'autres.

Téléchargement