часть 1 Типы брандмауэров
часть 2 Варианты обхода брандмауэров
часть 3 IDS Системы обнаружения вторжений
часть 4 Варианты обхода IDS

Honeypot — это форма защиты, сильно отличающаяся от двух последних, о которых мы только что говорили. Сильно отличается от брандмауэров и сильно отличается от систем обнаружения вторжений. Поскольку они отличаются друг от друга, они не будут обнаруживать целую кучу вещей, которые могли бы сделать брандмауэр или IDS, но Honeypot очень хорошо обнаруживают другие вредоносные действия, которые два других класса систем никогда не смогут обнаружить. Одна из вещей, которую вы узнаете о Honeypot, это то, что он является очень пассивным механизмом обнаружения. Он не блокируют трафик, как это сделал бы брандмауэр, и не проверяют объемный трафик, как IDS. Это уникальная система, и он сидит там, наблюдая и ожидая подключения злоумышленника. Это принципиально иная перспектива по сравнению с двумя другими классами защиты. Еще одна вещь, которую вы узнаете, это то, как трудно уклониться от Honeypot, потому что это такая привлекательная вещь. В этом и заключается основная цель Honeypot — казаться чем-то, к чему злоумышленники хотят подключиться, чтобы он мог идентифицировать потенциально вредоносный трафик в сети.

Вероятно, здесь также есть определенная ловушка, но цель состоит в том, чтобы попытаться установить, могут ли иметь место какие-то подозрительные намерения. Это хороший переход к Honeypot как системе информационной безопасности. Он сидит в сети, ожидая подключения людей. В этом вся его ценность. Это не фильтрация трафика или применение каких-либо правил или иное управление потоком запросов по сети. Он просто сидит там, выглядит привлекательно и ждет, когда его исследуют, атакуют или скомпрометируют. Преимущество Honeypot состоит в том, что это устройство, которое обычно не используется при нормальной работе внутри организации. Например, никто не должен передавать файлы вперед и назад, или подключаться к нему, или получать с ним какие-либо другие формы интерактивности. Когда он видит интерактивность, он знает, что это может быть что-то подозрительное. Что обычно делают Honeypot, так это регистрируют эту активность и предупреждают администратора, сообщая кому-либо, что она была проверена, и потенциальный злоумышленник, возможно, просматривает ее. Это становится системой раннего предупреждения. Он исследует устройство, которое на самом деле вообще не должно исследоваться. Это то, что может потребовать дальнейшего изучения. Давайте продолжим и посмотрим, как Honeypot может вписаться в сеть, и какое поведение она может демонстрировать, чтобы заманить в нее злоумышленника. Honeypot не служит законной цели в сети. Он не обслуживает файлы и не запускает приложения, и он не делает ничего другого, кроме как сидеть и ждать, когда появится потенциальный злоумышленник. Когда злоумышленник посещает Honeypot, информация о нем собирается.

Но что такого в Honeypot, что делает ее такой привлекательной для злоумышленника? Ну, во-первых, это может показаться старой операционной системой. Вскоре мы поговорим о различных типах Honeypot. Но на данный момент вам нужно понять, что это могут быть выделенные устройства, безусловно, множество операционных систем, или они действительно могут быть машинами, которые специально настроены как уязвимые, а затем отслеживаются на предмет подозрительной активности. Это может быть или не быть старая операционная система, но это не имеет значения, потому что она должна только выглядеть так. Он должен быть достаточно привлекательным, чтобы злоумышленник мог к нему подключиться. Еще одна привлекательная вещь, которая работает, — это устаревшие веб- серверы. Злоумышленники знают, что устаревшие веб-серверы часто имеют уязвимости. Злоумышленник в сети увидит его и будет очень рад возможностью извлечь из него ценные данные. То же самое, что быть непропатченным сервером, и это именно то, что злоумышленник ищет в сети. Они хотят найти уязвимости в средах, и серверы, к которым не применялись критические обновления, довольно привлекательны. Если Honeypot выглядит как сервер, который может подвергаться риску атак, которые противник может легко организовать против него, это та цель, на которую они захотят взглянуть. Помимо операционных систем и серверов, есть еще такие предпосылки, как заманчивые файлы. Payroll.xls или passwords.txt. файлы, находящиеся в Honeypot, будут именно теми фаилами, которые заинтересуют злоумышленников. Я уверен, вы видите, как все эти пункты кажутся очень привлекательными. Это именно то, что кто-то будет искать, когда просматривает сеть, пытаясь найти что-то ценное.

Например, злоумышленнику часто нужно узнать, открыт ли порт 80. Работает ли веб-сервер? Могут ли там быть ценные файлы? Подключения к Honeypot через порт 80, когда нет абсолютно никаких причин для подключения к этой машине, могут быть очень ранним индикатором компрометации. Очень часто вы увидите Honeypot, который расположен во внутренней сети. Он будет находиться там среди всех других серверов, ПК, коммутаторов и другого оборудования, которое есть в типичной организации. Злоумышленник, подключающийся к этой сети, не сможет отличить обычные машины от Honeypot. Есть некоторые наблюдаемые модели поведения, которые могут их предупредить, и мы поговорим о них по мере продвижения в следующих главах. Действительно, намерение состоит в том, чтобы он находился в сети и выглядел легитимным.

Типы Honeypot

Обычно есть два разных типа Honeypot. Один из них — с низким взаимодействием, а другой — с высоким взаимодействием. Когда мы говорим о низком уровне взаимодействия, мы имеем в виду эмуляцию привлекательных сервисов. Это слово «подражать» имеет важное значение. Дело не в том, что работает сервер, который используется для доступа к файлам, он просто должен выглядеть так. Honeypot может быть настроен для эмуляции поведения SMB, FTP или практически любого другого сетевого протокола, о котором вы только можете подумать. Ему не нужно поддерживать эти службы и запускать их в интерактивном режиме, например, в случае SMB, и вам не нужно иметь возможность перемещать по нему файлы. Он просто должен выглядеть достаточно привлекательно, чтобы злоумышленник пытался это сделать. Как только у нас есть их попытка подключения и у нас есть информация, например, откуда пришел этот злоумышленник, тогда Honeypot с низким уровнем взаимодействия выполнил свою задачу. Одним из преимуществ Honeypot с низким уровнем взаимодействия является то, что он не будет скомпрометирован, потому что он не реализует их должным образом. Это только выглядит так; это имитирует поведение. Это означает, что Honeypot'ы могут стоять там, в сети, выглядеть как общие файловые ресурсы, без риска их компрометации. Поскольку Honeypot с низким уровнем взаимодействия не ведет себя как сервер, которые он эмулирует, его также легче идентифицировать как Honeypot.

Например, если злоумышленник видит общую папку и не может извлечь из нее файлы или записать в нее данные, это начинает выглядеть довольно подозрительно. Но это может даже не иметь значения, и мы поговорим об этом подробнее, когда перейдем к методам уклонения. Honeypot существует не для того, чтобы пытаться вести себя точно так же, как сервер, который он эмулирует, а просто для того, чтобы увидеть, подключается ли к нему злоумышленник. Теперь он может пометить, что была попытка подключения. Все это отличается от Honeypot с высоким уровнем взаимодействия. Другими словами, он придерживается нормального поведения. Вы сможете читать из него файлы, или записывать в него данные, или делать что-то еще. Во многих случаях это будет машина, которую он эмулирует. Основное отличие состоит в том, что когда это Honeypot, он должен иметь возможность собирать информацию для криминалистических целей. Например, это может быть настоящий сервер Windows, но он также централизованно регистрирует нажатия клавиш. Он также может реализовывать элементы управления, которые мешают злоумышленнику замести следы. Очень часто это то, что противник хотел бы сделать. Они захотят убрать за собой, и как бы мы ни хотели, чтобы Honeypot с высоким уровнем взаимодействия вел себя как настоящая машина, нам также необходимо собирать данные о поведении злоумышленников. Сеть-Honeypot может представлять собой набор машин, имитирующих настоящую сеть. Например, это могут быть веб-серверы, серверы баз данных и файловые серверы, и все это могут быть виртуальные машины, они не обязательно должны быть физическими устройствами в сети, они должны выглядеть легитимно. В чем-то вроде Honeypot это будет гораздо более сложная среда. Это уже не просто одна машина, в которой сидит Honeypot. Сейчас мы говорим, об изолированной подсети, содержащей несколько компьютеров, демонстрирующих стандартное сетевое поведение. Главное здесь то, что злоумышленники могут с ними взаимодействовать. Чем более реалистичным он выглядит, тем больше у злоумышленника может возникнуть соблазн перемещаться по сети. Это ключ. Мы хотим собрать эти данные. Мы хотим понять, как злоумышленник передвигается в этой среде? Это ценное предложение Honeypot с высоким уровнем взаимодействия, и оно выглядит достаточно законным, чтобы злоумышленник мог обойти его, как если бы он находился в реальной сети. Все это также затрудняет идентификацию Honeypot, потому что он не только выглядит как настоящяя машина, но и ведет себя как таковая.

Canary

Canary — это специализированное физическое устройство-Honeypot «под ключ», созданное компанией Thinkst. Canary стал очень успешным инструментом благодаря плавной реализации. Canary — один из лучших примеров Honeypot с низким уровнем взаимодействия. Давайте посмотрим, как он настроен. Например, представьте, что сетевое хранилище — это то, к чему хочет подключиться злоумышленник. Но, в качестве альтернативы, он может вести себя как коммутатор HP. Коммутатор HP — это устройство, принципиально отличающееся от устройства NAS, но это не имеет значения, потому что он мало взаимодействует. Пока каждое из этих устройств может эмулировать то, что злоумышленник ожидает увидеть при подключении, этого достаточно.

Canary ведет себя так же, как и любое другое устройство. Теперь разберем, что видит злоумышленник, когда Canary настроена как маршрутизатор Cisco. Во-первых, все указывает на то, что в сети есть настоящий маршрутизатор Cisco. Не только открытые порты и баннер, он возвращает то, чем является это устройство, но даже доходит до Mac-адреса, который будет подлинным Mac-адресом из систем Cisco. Такие инструменты, как Nmap, всегда используются любыми злоумышленниками, которые ищут уязвимости в сети. Если они сканируют порт в среде и получают ответ, который является устройством Cisco, они сделают вывод, что это именно то, на что оно похоже. Тем не менее, как только они попали в канареечное устройство, все. Canary запишет инцидент, и он появится в консоли управления. Например, в предупреждениях мы видим, что была попытка входа в систему через telnet или ssh на устройстве с Canary. Одно дело понять, что кто-то пытался подключиться к устройству и не просто подключиться к нему, а войти через telnet или ssh. Но то, что вы хотите знать, это больше о том, кто или что пыталось это сделать. Потому что, в конечном счете, весь смысл Honeypot состоит в том, чтобы попытаться идентифицировать злоумышленников в сети. Журналы Canary имеют отметку времени, но мы также можем видеть исходный IP-адрес, и это то, что будет интересно для администратора, обслуживающего устройство. Первое, что администратор хотел бы сделать, это выяснить, что происходит на этом исходном IP-адресе. Вполне возможно, что соединение не было злонамеренным, но хорошо сконфигурированный Honeypot будет установлен и сообщит вам об этом, если к нему не должен идти естественный трафик.

Примечательно, что когда вы смотрите на дополнительные детали, вы можете видеть, что кто-то пытается войти, например, с именем пользователя admin, поэтому это будет красный флаг. Вы, несомненно, захотите потратить немного времени на изучение того, что именно происходит на этом исходном IP-адресе. Еще одна приятная особенность Canary — это то, как он может интегрироваться с различными средами. Например, если вы увидите его в Slack, Canary также может интегрироваться с такими вещами, как веб-хуки. Например, он может зарегистрировать тикет в системе поддержки или создать другие оповещения, чтобы администраторы могли как можно быстрее разобраться в проблеме и выяснить, что происходит.

Обнаружение Honeypot

Обнаружение Honeypot несколько парадоксально. Для начала злоумышленнику необходимо исследовать Honeypot, чтобы выяснить, что это такое. Таким образом, подумайте о том, как они обычно определяют, что такое любая другая машина в сети. Это именно то, чего ждет Honeypot, и он сидит там, ожидая, когда кто-то потенциально злонамеренный подключится к нему. Самая первая фаза определения того, что представляет собой любое устройство в сети, — это активность, которая может вызвать оповещение Honeypot. Некоторые люди скажут, что Honeypot создан для того, чтобы быть очень интересной целью . Так, например, если вы видите в сети машину, которая выглядит как легкая цель, то это может быть ловушка, это может быть Honeypot. За исключением того, что проблема в том, что существует так много легких целей в очень многих сетях, что одного этого критерия недостаточно, потому что это может быть Honeypot или просто обычно плохо защищенный ящик в этой конкретной сети. Обнаружить без срабатывания оповещения непросто. Для тех, кто использует Honeypot, могут быть обеспокоены тем фактом, что могут быть обнаружены как Honeypot, реальность такова, что сам процесс опроса, который требуется, чтобы выяснить, будет ли устройство Honeypot или нет, является именно той деятельностью, которую вы должны предпринять. Есть несколько других способов идентификации Honeypot в сети. Можно наблюдать несколько вариантов поведения Honeypot. Их можно найти внутри, как только вы подключитесь к машине, но их также можно наблюдать снаружи. Наблюдения, которые можно сделать перед подключением к нему и последующим запуском оповещения. Внутренне Honeypot будет спроектирована очень точно. Часто это будет выглядеть как обычное устройство, на котором распределены заманчиво выглядящие файлы. Каковы шансы, что это произойдет? Что ж, во многих сетях нет ничего необычного в том, что среда плохо защищена. Ощущение совершенно новой машины тоже немного подозрительно. Еще одна раздача может заключаться в том, как ведут себя диски и устройства на машине. Имея в виду, что Honeypot с низким уровнем взаимодействия — это просто эмуляция, вы вряд ли увидите то же поведение, что должно быть физическими активами внутри машины, когда вы подключаетесь к Honeypot. То же самое и с драйверами. Одним из примеров является что-то вроде имени драйвера мыши. С другой стороны, подумайте о внешне наблюдаемых атрибутах Honeypot. Теперь мы говорим о вещах, которые вы можете увидеть, не подключаясь к ним. Одним из них будет отсутствие регулярного исходящего трафика. Honeypot не взаимодействует так же, как обычный сервер. У них будет очень разные модели трафика. Если вы можете наблюдать за этим трафиком, не подключаясь к машине, то ненормальное поведение — это то, что вы можете идентифицировать, не вызывая оповещения. Обнаружение только одной машины, находящейся в демилитаризованной зоне или подсети, было бы еще одним подарком. Это не типичный образец. Стоит отметить, что это тоже не принципы. У вас может быть одна машина, сидящая в демилитаризованной зоне. Это правило, конечно, не даст вам абсолютной уверенности в природе устройства. Но что-то вроде этого или ранее упомянутый аномальный трафик, как правило, является индикатором. Наконец, Honeypot или нет, некоторые сервисы могут определить, являются ли машины, обращенные к общедоступному Интернету, законными машинами или тихо сидят там, чтобы заманить в нее людей. Если это Honeypot, а не служба, и это служба, управляемая Shodan, поисковой системой для Интернета вещей, у Shodan есть фантастическое понимание того, что существует в Интернете. И поскольку Shodan сканирует такую обширную часть интернета и проиндексировал так много машин и устройств, у него есть возможность сообщить, может ли одно из них быть Honeypot или нет. Shodan можно найти на shodan.io, и если вы введете IP-адрес, который может вас заинтересовать, и вы проверите Honeypot, Honeypot будет найдена. Shodan сообщит вам, может ли IP-адрес быть Honeypot. Он делает это, просматривая определяющие характеристики известных ловушек, и Shodan неизбежно делает это, исследуя эти устройства, как и многие другие устройства в Интернете. Это означает, что вам не нужно самому проверять этот IP-адрес, чтобы установить, является ли устройство Honeypot или нет.