Cazando Malware (Parte II)
Como segunda parte del laboratorio de honeypots vamos a continuar por donde lo dejamos.
A modo resumen: ya instalamos nuestro Cowrie, pero faltaba instalar el Logstash para poder enviar todos los logs normalizados a nuestro Elasticsearch.
Por tanto estamos en este punto:
A modo resumen: ya instalamos nuestro Cowrie, pero faltaba instalar el Logstash para poder enviar todos los logs normalizados a nuestro Elasticsearch.
Por tanto estamos en este punto:
Parte 2: Instalando Logstash en nuestro Honeypot
*Nota: Necesita java y al menos 2gb de ram disponibles. (Esto es más doloroso si pagamos por un servicio de VPS xD).
Descargamos Logstash (en nuestro caso es la versión 5.6.3). Os recomiendo mirar la última release que estuviera disponible en el momento que lo instaléis.
$ curl –O https://artifacts.elastic.co/downloads/logstash/logstash-5.6.3.deb
$ dpkg –i logstash-5.6.3.deb
Creamos el fichero de configuración de Logstash /etc/logstash/conf.d/logstash-cowrie.conf con el siguiente contenido:
input {
file {
path => ["/home/cowrie/cowrie/log/cowrie.json"]
codec => json
type => "cowrie"
}
}
filter {
if [type] == "cowrie" {
json {
source => message
}
date {
match => [ "timestamp", "ISO8601" ]
}
if [src_ip] {
mutate {
add_field => { "src_host" => "%{src_ip}" }
}
dns {
reverse => [ "src_host" ]
nameserver => [ "8.8.8.8", "8.8.4.4" ]
action => "replace"
hit_cache_size => 4096
hit_cache_ttl => 900
failed_cache_size => 512
failed_cache_ttl => 900
}
}
mutate {
remove_tag => [ "beats_input_codec_plain_applied"]
remove_field => [ "source", "offset", "input_type" ]
}
}
}
output {
if [type] == "cowrie" {
elasticsearch {
hosts => ["localhost:9200"] # cambiar en caso de tenerlo remoto.
}
file {
path => "/home/cowrie/tmp/cowrie-logstash.log"
codec => json
}
stdout {
codec => rubydebug
}
}
}
*Nota: En este caso es la configuración que funciona para este laboratorio. Podéis modificar este fichero a vuestro antojo. Logstash tiene infinitas posibilidades, pero como el laboratorio ya es en sí muy largo hemos omitido ciertas partes. Eso ya lo dejo para que el lector indague por su cuenta si le interesa el tema.
Arrancamos el Logstash:
Podéis arrancarlo en screen y luego “deatacharlo”.$ cd /usr/share/logstash/bin ;
./logstash -f /etc/logstash/conf.d/logstash-cowrie.conf
--path.settings /etc/logstash/
$ screen
$ cd /usr/share/logstash/bin ;
./logstash -f /etc/logstash/conf.d/logstash-cowrie.conf
--path.settings /etc/logstash/
$ screen -d
*Nota: Los comandos de ./logstash van en una sola línea. Los muestro así para que se vean mejor en el blog, pero tenerlo en cuenta.
El siguiente paso, como es lógico, es instalar la base de datos para poder almacenar toda la información que nos proporciona el honeypot. Pero este paso lo veremos en la parte 3...
Un saludo y nos vemos en la siguiente.
Via: www.hackplayers.com
Cazando Malware (Parte II)
Reviewed by Zion3R
on
10:06
Rating: