Honeypots – оборудование или ПО, которые специально развертываются отделами безопасности для изучение угроз. Ханейпот служит приманкой для сбора информации о злоумышленнике и защиты реальной целевой системы. Данный принцип был в основе и первых технологий Deception. О различиях DDP и Honeypots детально написано здесь.


Содержание:


  • Что такое Honeypots?
  • Классификация Honeypots
    • По уровню взаимодействия:
      • Приманки с низким уровнем взаимодействия
      • Приманки с средним уровнем взаимодействия
      • Приманки с высоким уровнем взаимодействия
      • Чистые приманки
    • По развертыванию:
      • Производственные приманки
      • Исследовательские приманки
    • По технологии обмана:
      • Приманки для вредоносного ПО
      • Email приманки
      • Приманки в виде баз данных
      • Приманки для «пауков»
      • Приманки для спама
      • Honeynets
  • Установка и работа Honeypots
    • Windows: HoneyBOT
    • Android: HosTaGe
    • Linux: Pentbox


Что такое Honeypots?


Honeypots – это тип интернет-ресурсов безопасности, которые используются в качестве наживки для злоумышленников, чтобы побудить их вторгнуться в сеть для любого незаконного использования. Такие приманки обычно настраиваются для изучения активности злоумышленника в сети, чтобы создавать более надежные средства защиты. Honeypot не несут никаких ценных данных, так как это поддельный хост, который помогает регистрировать сетевой трафик.


Типы данных, которые собирают приманки:


  • Сочетания клавиш вводимые злоумышленником
  • IP-адрес злоумышленника
  • Имена пользователей и различные привилегии, используемые злоумышленником.
  • Данные, к которым злоумышленник:
    • получил доступ
    • удалил
    • изменил

Классификация Honeypots


По уровню взаимодействия:


Приманки с низким уровнем взаимодействия


Соответствуют очень ограниченному количеству сервисов и приложений, как в системе, так и в сети. Этот тип приманки можно использовать для отслеживания портов и служб:


  • UDP
  • TCP
  • ICMP

Чтобы изучить атаки, которые могут произойти в режиме реального времени, в качестве приманки для злоумышленника используются поддельные:


  • базы данных
  • данные
  • файлы и т. д.

Примеры инструментов с низким уровнем взаимодействия:


  • Honeytrap
  • Spectre
  • KFsensor и т. д.

Приманки с средним уровнем взаимодействия


Основаны на имитации операционных систем реального времени и имеют все свои приложения и сервисы, как и у целевой сети. Обычно собирают больше информации, поскольку их цель — остановить злоумышленника, что дает больше времени для адекватной реакции на угрозу.


Примеры нескольких инструментов со средним уровнем взаимодействия:


  • Cowrie
  • HoneyPy и т. д.

Приманки с высоким уровнем взаимодействия


Представляет собой подлинно уязвимое ПО, которое обычно имеется в производственной системе, где взаимодействует с различными приложениями. Такие ханипоты сложнее поддерживать, но они предоставляют более полезную информацию.


Пример ханипота с высоким уровнем взаимодействия:


  • honeynet

Чистые приманки


Обычно имитируют реальную производственную среду организации, что заставляет злоумышленника считать ее подлинной и тратить больше времени на ее использование. Как только злоумышленник попытается найти уязвимости, организация будет предупреждена, следовательно, любой вид атаки может быть предотвращен раньше.


По развертыванию:


Производственные приманки


Такие ханипоты обычно устанавливаются в реальной производственной сети организации. Они также помогают найти любую внутреннюю уязвимость или атаку, поскольку присутствуют внутри сети.


Исследовательские приманки


Приманки с высокой степенью взаимодействия, но в отличие от обычных они предназначены для исследования различных правительственных или военных организаций, чтобы получить больше информации о поведении атакующих.


По технологии обмана:


Приманки для вредоносного ПО


Используются для перехвата вредоносных программ в сети. Цель — привлечь злоумышленника или любое вредоносное ПО.


Email приманки


Представляют собой ложные адреса электронной почты. Электронные письма, получаемые любым злоумышленником, можно отслеживать и проверять. Можно использовать для предотвращения фишинговых рассылок.


Приманки в виде баз данных


Представляют собой настоящие уязвимые базы данных обычно привлекающие такие атаки, как SQL-инъекции. Предназначены для того, чтобы заставить злоумышленников думать, что они могут содержать конфиденциальную информацию, например, данные банковских карт.


Приманки для «пауков»


Устанавливаются с целью перехвата различных поисковых роботов и «пауков», которые имеют тенденцию красть важную информацию из веб-приложений.


Приманки для спама


Представляют собой ложные mail-сервера, которые привлекают спамеров для использования уязвимых элементов электронной почты.


Honeynets


Не что иное, как сеть приманок, которые устанавливаются в виртуальной изолированной среде вместе с различными инструментами для записи действий злоумышленников и понимания потенциальных угроз.


Рассмотрим установку и работу honeypots в ОС:


  • Windows
  • Android
  • Linux

Windows: HoneyBOT


Рассмотрим известную приманку HoneyBOT, которую можно скачать здесь.



Включите Kali Linux в качестве атакующей машины и систему Windows в качестве хост-машины.


Давайте сначала проведем сканирование nmap на хост-машине, когда приманка не установлена.


nmap -sV 192.168.1.17


Теперь в Windows установим HoneyBOT и настроим его. Нажмем «да» чтобы продолжить.



Отметим все необходимые параметры в приманке и нажмем "Применить".



Добавим адрес электронной почты, чтобы на нее получать отчеты о работе нашей приманки.



При желании логи можно сохранять в формате CSV.



Атакующая машина выполняет сканирование nmap, в результате которого видно очень много фальшивых сервисов. Все это благодаря наличию honeypot в системе.



Давайте попробуем подключиться к FTP.



Появляется лог с IP-адресом злоумышленника и портом, к которому он был подключен.



Здесь вы можете увидеть подробный отчет о подключении, созданном злоумышленником.



Точно так же SSH-соединение было инициировано через порт 22 из другой ОС.



Теперь видно, что для того же был создан и лог о соединении, для которого используется 22 порт.



Android: HosTaGe


Ханейпоты можно устанавливать и на Android смартфоны. В данном случае мы будем использовать HosTaGe, которое мы скачали с Google Play.



При включении приложения мы видим сообщение о том, что все выглядит безопасно.



Теперь давайте проверим IP-адрес своего Android устройства и приступим.



Теперь вернемся к Kali Linux с которой проведем nmap сканирование IP-адреса Android устройства.



На Android устройстве появиться сообщение об угрозе, когда сканирование nmap начнется.



Будет создан лог, благодаря которому мы сможем увидеть IP-адрес системы злоумышленника и порты, которые были атакованы.



Linux: Pentbox


На Linux мы продемонстрируем ханейпот Pentbox, который можно легко установить на Ubuntu.


wget http://downloads.sourceforge.net/project/pentbox18realised/pentbox-1.8.tar.gz
tar -zxvf pentbox-1.8.tar.gz


После установки сразу попробуем его использовать. Выберите network tools и honeypot для установки ловушки, а с помощью manual configuration можно настроить все в соответствии своим предпочтениями.


./pentbox.rb


Теперь можно открыть поддельный порт и вставить поддельное сообщение, а также сохранять логи. Видно, что приманка активировалась на требуемом порту. Аналогично можно вручную активировать ее и для других портов.



Включите машину злоумышленника и просканируйте хост-машину с помощью nmap. Результаты открытых портов и сервисов показаны ниже.



Здесь злоумышленник пытается подключиться к хост-машине с помощью telnet.



При каждой попытке вторжения выводится предупреждение и создается лог, в котором записываются IP-адрес и порт злоумышленника.