Planning and implementation of honeypot system : building of a bogus Microsoft SQL server
Mäntysaari, Vesa-Matti (2020)
2020
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020121127723
https://urn.fi/URN:NBN:fi:amk-2020121127723
Tiivistelmä
Opinnäytteen päätarkoituksena oli rakentaa prototyyppi Microsoft SQL -valepalvelimesta, käytännössä siis itsenäinen Microsoft SQL -palvelin hunajapurkki. Jotta pystyttäisiin päättelemään, miten hunajapurkin voisi uskottavasti liittää osaksi hunajapurkki ympäristöä, projektiin lisättiin lisäkoneita, kuten sisäinen wikisivusto.
Asetettiin vaatimukset hunajapurkki Microsoft SQL -palvelimelle ja hunajapurkki ympäristölle. Työssä käytettiin konstruktiivista tutkimusmenetelmää. Hunajapurkki SQL -palvelimen toteutusta pidettäisiin onnistuneena, jos siihen pystyttäisiin yhdistämään aidolla Microsoft SQL -työkalulla. Ympäristölle asetettiin vaatimukseksi viisi tietokonetta, joista jokaisella oli erilainen funktio.
Laitteistovaatimusten tutkinnassa käsiteltiin erilaisia ”bare metal” -palvelintyyppejä ja virtualisointiteknologioita, mutta lopullinen suunnitelma koottiin sisäkkäisen virtualisoinnin ympärille käyttäen Oracle VM Virtual Boxia ja Proxmoxia. Microsoft SQL -palvelimen tutkinnassa havaittiin sen käyttävän Tabular Data Stream -protokollaa TCP-yhteiskäytännössä. Hunajapurkki Microsoft SQL -palvelimen ohjelmointi Pythonilla sujui nopeasti, kun havaittiin, että Tabular Data Stream -paketit sisältävät viestityypin ensimmäisenä bittinä.
Tietoturvaloukkauksen tutkintaosiossa hunajapurkkiverkkoon kuuluvilta tietokoneilta lähetettyjä lokeja analysoitiin ja varmistettiin tapahtunut hyökkäys joko Kalin työkaluilla tai pelkällä selaimella. Hunajapurkki Microsoft SQL-palvelimeen kohdistettiin porttiskannaus ja yhteydentestaus SQLCMD-työkalulla.
Työssä todettiin hunajapurkkiverkkoon liitettyjen lisätietokoneiden tuoneen lisäarvoa ja uskottavuutta projektiin, sillä sisäinen wikisivusto salli kriittisen tiedon piilottamisen uskottavalla tavalla sivun muokkaushistoriaan. Hunajapurkki Microsoft SQL -palvelimen prototyyppi antoi uskottavan vaikutelman toimivasta tietokantapalvelimesta, ja samalla korostui, mitä täysi hunajapurkkitietokantajärjestelmä tulisi tarvitsemaan huijatakseen kokeneempiakin hyökkääjiä. The main objective of the thesis’ was the building of a prototype bogus Microsoft SQL server, essentially creating a honeypot Microsoft SQL server. Additional machines like the Intra were included to determine how the honeypot Microsoft SQL server could be integrated into a believable honeypot network.
Requirements for the honeypot Microsoft SQL server and honeypot network were established and a constructive research method was selected. The honeypot SQL server would be considered a success if one could connect to it with genuine Microsoft SQL tools, whilst for the honeypot network the number of total machines was set to five, each with their own separate functions.
During the research portion for the required hardware different bare metal and virtualization technologies were examined with the final plan materializing around nested virtualization with the Oracle VM VirtualBox and Proxmox, whilst in the Microsoft SQL server research, the prevalence of Tabular Data Stream protocol on top of TCP was discovered.
The building of the honeypot SQL server in Python proceeded quickly once it was discovered that Tabular Data Stream packets contain the message type as the first byte in the message.
As forensics the logs from the machines inside the honeypot network were analyzed and an attack was confirmed after the machines were breached with either Kali tools or the mere browser, whilst the honeypot SQL server was subjected only to port scan and a connection test with the sqlcmd utility.
In the end, the additional machines which were meant to bring substance to the experiment were a success as the Intra wiki allowed the hiding of critical information believably into the page edit history, while the prototype of a honeypot Microsoft SQL server gave a successful impression of a working database server while also highlighting what the full honeypot database system would need to fool more experienced attackers
Asetettiin vaatimukset hunajapurkki Microsoft SQL -palvelimelle ja hunajapurkki ympäristölle. Työssä käytettiin konstruktiivista tutkimusmenetelmää. Hunajapurkki SQL -palvelimen toteutusta pidettäisiin onnistuneena, jos siihen pystyttäisiin yhdistämään aidolla Microsoft SQL -työkalulla. Ympäristölle asetettiin vaatimukseksi viisi tietokonetta, joista jokaisella oli erilainen funktio.
Laitteistovaatimusten tutkinnassa käsiteltiin erilaisia ”bare metal” -palvelintyyppejä ja virtualisointiteknologioita, mutta lopullinen suunnitelma koottiin sisäkkäisen virtualisoinnin ympärille käyttäen Oracle VM Virtual Boxia ja Proxmoxia. Microsoft SQL -palvelimen tutkinnassa havaittiin sen käyttävän Tabular Data Stream -protokollaa TCP-yhteiskäytännössä. Hunajapurkki Microsoft SQL -palvelimen ohjelmointi Pythonilla sujui nopeasti, kun havaittiin, että Tabular Data Stream -paketit sisältävät viestityypin ensimmäisenä bittinä.
Tietoturvaloukkauksen tutkintaosiossa hunajapurkkiverkkoon kuuluvilta tietokoneilta lähetettyjä lokeja analysoitiin ja varmistettiin tapahtunut hyökkäys joko Kalin työkaluilla tai pelkällä selaimella. Hunajapurkki Microsoft SQL-palvelimeen kohdistettiin porttiskannaus ja yhteydentestaus SQLCMD-työkalulla.
Työssä todettiin hunajapurkkiverkkoon liitettyjen lisätietokoneiden tuoneen lisäarvoa ja uskottavuutta projektiin, sillä sisäinen wikisivusto salli kriittisen tiedon piilottamisen uskottavalla tavalla sivun muokkaushistoriaan. Hunajapurkki Microsoft SQL -palvelimen prototyyppi antoi uskottavan vaikutelman toimivasta tietokantapalvelimesta, ja samalla korostui, mitä täysi hunajapurkkitietokantajärjestelmä tulisi tarvitsemaan huijatakseen kokeneempiakin hyökkääjiä.
Requirements for the honeypot Microsoft SQL server and honeypot network were established and a constructive research method was selected. The honeypot SQL server would be considered a success if one could connect to it with genuine Microsoft SQL tools, whilst for the honeypot network the number of total machines was set to five, each with their own separate functions.
During the research portion for the required hardware different bare metal and virtualization technologies were examined with the final plan materializing around nested virtualization with the Oracle VM VirtualBox and Proxmox, whilst in the Microsoft SQL server research, the prevalence of Tabular Data Stream protocol on top of TCP was discovered.
The building of the honeypot SQL server in Python proceeded quickly once it was discovered that Tabular Data Stream packets contain the message type as the first byte in the message.
As forensics the logs from the machines inside the honeypot network were analyzed and an attack was confirmed after the machines were breached with either Kali tools or the mere browser, whilst the honeypot SQL server was subjected only to port scan and a connection test with the sqlcmd utility.
In the end, the additional machines which were meant to bring substance to the experiment were a success as the Intra wiki allowed the hiding of critical information believably into the page edit history, while the prototype of a honeypot Microsoft SQL server gave a successful impression of a working database server while also highlighting what the full honeypot database system would need to fool more experienced attackers