Стаття призначена для фахівців у галузі інформаційної безпеки, а також для широкої аудиторії користувачів, які цікавляться методами захисту від кіберзагроз. Читачі можуть дізнатися про різні типи ханіпотів, їх застосування та значення в сучасних умовах підвищеної кіберактивності. Ви дізнаєтесь про новітні технології обману атакуючих та методи збору розвідданих, які допоможуть підвищити рівень безпеки вашої мережі.
Honeypots – це тип інтернет-ресурсів безпеки, які використовуються як наживка для зловмисників, щоб спонукати їх вторгнутися до мережі для будь-якого незаконного використання. Такі приманки зазвичай налаштовуються вивчення активності зловмисника у мережі, щоб створювати більш надійні засоби захисту. Honeypot не несуть жодних цінних даних, оскільки це підроблений хост, який допомагає реєструвати мережевий трафік.
Поєднання клавіш, що вводяться зловмисником
IP-адреса зловмисника
Імена користувачів та різні привілеї, які використовуються зловмисником.
Дані, до яких зловмисник: отримав доступ видалив, змінив.
Відповідають дуже обмеженій кількості сервісів та програм, як у системі, так і в мережі. Цей тип приманки можна використовувати для відстеження портів та служб:
UDP
TCP
ICMP
Щоб вивчити атаки, які можуть статися в режимі реального часу, як приманка для зловмисника використовуються підроблені:
бази даних
дані
файли і т.д.
Приклади інструментів із низьким рівнем взаємодії:
Honeytrap
Spectre
KFsensor і т.д.
Засновані на імітації операційних систем реального часу і мають усі свої програми та послуги, як і у цільової мережі. Зазвичай збирають більше інформації, оскільки їхня мета — зупинити зловмисника, що дає більше часу для адекватної реакції на загрозу.
Приклади кількох інструментів із середнім рівнем взаємодії:
Cowrie
HoneyPy і т.д.
Являє собою справді вразливе ПЗ, яке зазвичай є у виробничій системі, де взаємодіє з різними додатками. Такі ханіпоти складніше підтримувати, але вони надають кориснішу інформацію.
Приклад ханіпоту з високим рівнем взаємодії:
honeynet
Зазвичай імітують реальне виробниче середовище організації, що змушує зловмисника вважати її справжньою та витрачати більше часу на її використання. Як тільки зловмисник спробує знайти вразливості, організація буде попереджена, отже будь-який вид атаки може бути запобігти раніше.
Виробничі приманки. Такі ханіпоти зазвичай встановлюються у реальній виробничій мережі організації. Вони також допомагають знайти будь-яку внутрішню вразливість або атаку, оскільки є всередині мережі.
Дослідницькі приманки. Приманки з високим ступенем взаємодії, але на відміну від звичайних, вони призначені для дослідження різних урядових або військових організацій, щоб отримати більше інформації про поведінку атакуючих.
Принади для шкідливого ПЗ. Використовуються для перехоплення шкідливих програм у мережі. Мета – залучити зловмисника чи будь-яке шкідливе ПЗ.
Email приманки. Є неправдивими адресами електронної пошти. Електронні листи, які отримують будь-який зловмисник, можна відстежувати і перевіряти. Можна використовувати для запобігання розсилкам фішингу.
Приманки у вигляді баз даних. Є справжні вразливі бази даних, що зазвичай залучають такі атаки, як SQL-ін’єкції . Призначені для того, щоб змусити зловмисників думати, що вони можуть містити конфіденційну інформацію, наприклад, дані банківських карток.
Приманки для павуків. Встановлюються з метою перехоплення різних пошукових роботів і павуків , які мають тенденцію красти важливу інформацію з веб-додатків.
Приманки для спаму. Є помилковими mail-серверами, які залучають спамерів для використання вразливих елементів електронної пошти.
Honeynets. Не що інше, як мережа приманок, які встановлюються у віртуальному ізольованому середовищі разом із різними інструментами для запису дій зловмисників та розуміння потенційних загроз.
Windows
Android
Linux
Розглянемо відому приманку HoneyBOT, яку можна завантажити тут.
Увімкніть Kali Linux як атакуючу машину і систему Windows як хост-машину.
Давайте спершу проведемо сканування nmap на хост-машині, коли приманка не встановлена.
nmap -sV 192.168.1.17
Тепер у Windows встановимо HoneyBOT та налаштуємо його. Натиснемо так, щоб продовжити.
Відзначимо всі необхідні параметри в приманці та натиснемо “Застосувати”.
Додамо адресу електронної пошти, щоб отримати звіти про роботу нашої приманки.
За бажанням логи можна зберігати у форматі CSV.
Атакуюча машина виконує сканування nmap, у результаті якого видно дуже багато фальшивих сервісів. Все це завдяки наявності honeypot в системі.
Спробуємо підключитися до FTP.
З’являється лог з IP-адресою зловмисника та портом, до якого він був підключений.
Тут ви можете побачити докладний звіт про підключення, створене зловмисником.
Так само SSH-з’єднання було ініційовано через порт 22 з іншої ОС.
Тепер видно, що для того ж було створено і лог про з’єднання, для якого використовується 22 порти.
Ханейпот можна встановлювати і на Android смартфони. В даному випадку ми будемо використовувати HosTaGe, яке ми завантажили з Google Play.
Коли програма вмикається, ми бачимо повідомлення про те, що все виглядає безпечно.
Тепер давайте перевіримо IP-адресу свого Android пристрою і приступимо.
Тепер повернемося до Kali Linux, з якої проведемо nmap сканування IP-адреси Android пристрою.
На Android пристрої з’явиться повідомлення про загрозу, коли сканування nmap розпочнеться.
Буде створено лог, завдяки якому ми зможемо побачити IP-адресу системи зловмисника та порти, які були атаковані.
На Linux ми продемонструємо ханейпот Pentbox, який можна легко встановити на Ubuntu.
wget http://downloads.sourceforge.net/project/pentbox18realised/pentbox-1.8.tar.gz tar -zxvf pentbox-1.8.tar.gz
Після встановлення одразу спробуємо його використовувати. Виберіть network tools і honeypot для встановлення пастки, а за допомогою manual configuration можна налаштувати все відповідно до своїх уподобань.
./pentbox.rb
Тепер можна відкрити підроблений порт та вставити підроблене повідомлення, а також зберігати логі. Видно, що приманка активувалася на потрібному порту. Аналогічно можна активувати її вручну і для інших портів.
Увімкніть машину зловмисника та проскануйте хост-машину за допомогою nmap. Результати відкритих портів та сервісів показані нижче.
Тут зловмисник намагається підключитись до хост-машини за допомогою telnet.
При кожній спробі вторгнення виводиться попередження та створюється лог, в якому записуються IP-адреса та порт зловмисника.