Qu'est-ce que Cowrie ?
Cowrie est un honeypot (pot de miel) SSH et Telnet d'interaction moyenne conçue pour enregistrer les attaques par force brute et l'interaction du shell effectuée par l'attaquant.
Cowrie est développé par Michel Oosterhof.
Slack
Vous pouvez rejoindre la communauté Cowrie sur
l'espace de travail Slack
Caractéristiques
Des caractéristiques intéressantes :
-
Faux système de fichiers avec la possibilité d'ajouter / supprimer des fichiers. Un système de fichiers complet ressemblant à une installation Debian 5.0 est inclus
-
Possibilité d'ajouter de faux contenus de fichiers afin que l'attaquant puisse cataloguer des fichiers tels que / etc / passwd. Seul le contenu minimal du fichier est inclus
-
Les journaux de session sont stockés dans un format Compatible UML pour une relecture facile incluant horodatage d'origine avec l'utilitaire bin/playlog.
-
Cowrie enregistre les fichiers téléchargés avec wget/curl ou téléchargés avec SFTP et scp pour une inspection ultérieure des logs
-
Fonctionnalités supplémentaires par rapport au kippo standard :
-
SFTP and SCP support for file upload
-
Prise en charge des commandes exec SSH
-
Consignation des tentatives de connexions directes en TCP (proxy ssh)
-
Transférer les connexions SMTP vers Honeypot SMTP (par exemple, mailoney)
-
Enregistrement au format JSON pour un traitement facile dans les solutions de gestion des journaux
-
Beaucoup, beaucoup de commandes supplémentaires
Docker
Les versions Docker sont disponibles.
Exigences
Logiciel requis:
- Python 2.7+, (Prise en charge limitée de Python 3 disponible pour SSH uniquement)
- python-virtualenv
Pour les dépendances Python, voir requirements.txt
Fichiers intéressants:
-
cowrie.cfg - Le fichier de configuration de Cowrie. Les valeurs par défaut peuvent être trouvées dans etc/cowrie.cfg.dist
-
share/cowrie/fs.pickle - faux système de fichiers
-
data/userdb.txt - informations d'identification autorisées ou interdites d'accès au pot de miel
-
honeyfs/ - contenu du fichier pour le système de fichiers faux - n'hésitez pas à copier un système réel ici ou utilisez bin/fsctl
-
honeyfs/etc/issue.net - bannière de pré-connexion
-
honeyfs/etc/motd - bannière post-connexion
-
var/log/cowrie/cowrie.json - résultats de transactions au format JSON
-
var/log/cowrie/cowrie.log - log/résultats en mode debug
-
var/lib/cowrie/tty/ - les journaux de session, rejouables avec l'utilitaire bin/playlog.
-
var/lib/cowrie/downloads/ - Les fichiers transférés de l'attaquant au pot de miel sont stockés ici
-
share/cowrie/txtcmds/ - contenu du fichier pour de simples commandes factices
-
bin/createfs - utilisé pour créer le faux système de fichiers
-
bin/playlog - utilitaire de relecture des journaux de session
Est-ce sécurisé ?
Peut-être. Voir la FAQ
J'ai des questions !
S'il vous plait visitez
https://cowrie.slack.com et rejoignez le canal #questions
Contributeurs
De nombreuses personnes ont contribué à Cowrie au fil des ans. Merci à:
- Upi Tamminen (desaster) pour tout son travail de développement de Kippo sur lequel Cowrie était basé
- Dave Germiquet (davegermiquet) pour le support TFTP, tests unitaires, nouvelle gestion des processus
- Olivier Bilodeau (obilodeau) pour le support Telnet
- Ivan Korolev (fe7ch) pour de nombreuses améliorations au fil des ans.
- Florian Pelgrim (craneworks) pour son travail sur le nettoyage du code et Docker.
- Et beaucoup d'autres.
Téléchargement
Tags
HONEYPOT
TECHNOLOGIES WEB
MALWARE
OUTIL D'ADMINISTRATION
Inscription à notre lettre d'information
Inscrivez-vous à notre
lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.
