Cowrie

Aus Xinux Wiki

Zur Navigation springen Zur Suche springen

Cowrie

Cowrie ist ein moderner, interaktiver SSH- und Telnet-Honeypot. Er simuliert ein echtes Linux-System mit Shell-Zugriff, Dateisystem und Netzwerkbefehlen. Angreifer können sich einloggen, Befehle ausführen und Dateien hochladen – alle Aktionen werden vollständig aufgezeichnet.

Zweck

Erkennung und Analyse von SSH- und Telnet-Brute-Force-Angriffen
Aufzeichnung von Angreiferverhalten (Befehle, Scripte, Malware)
Forschung, Schulung und Threat Intelligence
Integration in SIEM-Systeme oder Analyseplattformen

Funktionen

Vollständige Shell-Emulation mit interaktivem Prompt
Upload und Download von Dateien (via wget, curl, scp, etc.)
Logging aller Eingaben, Sessions, IPs, Nutzernamen, Passwörter
Simuliertes Dateisystem (chroot-artig, konfigurierbar)
JSON-Log-Ausgabe zur Weiterverarbeitung

Installation (Beispiel für Debian/Ubuntu)

apt install git python3-virtualenv libssl-dev libffi-dev build-essential
git clone https://github.com/cowrie/cowrie.git
cd cowrie
virtualenv cowrie-env
source cowrie-env/bin/activate
pip install --upgrade pip
pip install -r requirements.txt

Start

cp etc/cowrie.cfg.dist etc/cowrie.cfg
./bin/cowrie start

Logs und Aufzeichnung

Text-Logs: var/log/cowrie/
JSON-Events: var/log/cowrie/json.log
Session-Aufzeichnungen (TTY): var/log/cowrie/tty/
Hochgeladene Dateien: var/lib/cowrie/downloads/

Typische Erkennung

Brute-Force-Angriffe (z. B. root/root, admin/admin)
Automatisierte Exploits via Shell-Script
Dropper, Backdoors, IRC-Bots, Scanner
Angreifer, die versuchen Systeme zu übernehmen

Integration

SIEM: Anbindung an Wazuh, ELK Stack, Graylog
Weitergabe der Logs über Filebeat, syslog oder REST-API
Auswertung der Payloads z. B. mit Cuckoo Sandbox

Grenzen

Keine echte Shell – Emulation kann bei komplexem Verhalten auffallen
Angreifer könnten durch Fingerprinting den Honeypot erkennen
Nicht für High-Interaction-Systeme mit echten Services gedacht

Alternativen und Ergänzungen

OpenCanary – Für einfache Dienste wie HTTP, MySQL, Redis
Dionaea – Malware-Falle für Windows-Exploits
Tpot – Plattform mit Cowrie + ELK + weiteren Honeypots
Canarytokens – Für URLs, Dateien, E-Mail-Fallen

Abgerufen von „http://wiki.ixheim.de/index.php?title=Cowrie&oldid=61111“