В этой статье будет представлен особый фреймворк для привлечения внимания злоумышленников, чтобы пользователи могли поймать их и изучить их действия. Поскольку большинство злоумышленников по всему миру нацелены на сервера Windows для использования их дефектов и уязвимостей, был создан фреймворк Windows.
В начале работы пользователь установит Honeypot. Если оставить его активным и не выходить из программы, то человек сможет наблюдать за тем, как проводится подготовка и сама атака злоумышленника.
Знакомство с Honeypot
Honeypot маскируется под реальный сервер, чтобы обмануть атакующего и отвлечь его атаки. Поэтому Honeypot должен быть настроен так же, как и настоящий сервер, чтобы данные казались подлинными для злоумышленника. Он будет показывать ему поддельные файлы, порты и каталоги. Поскольку Honeypot создает иллюзию легитимности, злоумышленник будет склонен полагать, что он получил доступ к реальному серверу.
Одним из главных отличий является область, где находится машина при подключении к подлинным серверам. Замаскированная машина обычно установлена где-то в DMZ. Это гарантирует, что внутренняя система не будет доступна злоумышленнику. Honeypot работает таким образом, что он постоянно проверяет и контролирует действия нарушителя во время его атаки на сервер. Это происходит независимо от того, возникло ли нападение внутри системы или извне.
Honeypot обычно предназначен для просмотра действий нарушителя и создания запасных документов журнала. Он также записывает такие моменты, как начало атаки, важные изменения в системе и даже нажатие определенных клавиш.
Знакомство с KFSensor
KFSensor – это Honeypot системы Windows. Он также работает как IDS. Его задача – привлечь и вывести на чистую воду всех злоумышленников в сети, отсюда и его название («приманка»). Он делает это, имитируя уязвимую среду и маскируясь под сервер и IТ-путь. Таким образом, ему удается не только поймать злоумышленника, но и узнать его мотивы.
KFSensor был специально разработан для Windows, поэтому он содержит множество уникальных функций. Он довольно комфортен в использовании благодаря своей консоли на основе графического интерфейса, а также низкой стоимости обслуживания.
Работа KFSensor
Роль KFSensor состоит в том, чтобы быть сервером-приманкой для атакующих хакеров, чтобы защитить реальный сервер. Он отлично справляется со своей работой, создавая поддельные порты в системе, где он установлен, и собирая информацию при подключении к машине злоумышленника. Инструмент делает это точно так же, как и обычная серверная программа, такая как веб-сервер или SMTP-сервер. Таким образом, он устанавливает цель (сервер Honeypot), который будет записывать действия злоумышленника.
После загрузки и установки KFSensor, пользователь откроет программу и увидит следующее окно. Здесь следует нажать на кнопку «Next».
Затем инструмент попросит пользователя выбрать порты, как показано на рисунке ниже. После осуществления выбора портов нужно нажать на кнопку «Next».
Затем программа спросит пользователя, хочет ли он получать уведомления по электронной почте о предупреждениях об опасности для сервера в течение этого времени. Пользователь может добавить адрес электронной почты, с которого он будет отправлять сообщения, и адрес электронной почты, на который он хочет получать письма.
После этих формальностей пользователь нажмет на кнопку «Finish».
Как только пользователь нажмет на кнопку «Finish», будет показано следующее окно.
Теперь, когда Honeypot был настроен, если пользователь просканирует «будущую жертву» (которой и является Honeypot) с помощью Nmap, ему будут показаны все порты, открытые как «приманка» для злоумышленника. Читатели могут ознакомиться с полученным результатом на картинке ниже.
А KFSensor покажет детали сканирования вместе с IP-адресом. Он также будет отправлять сигналы тревоги, чтобы предупредить пользователя, если что-то пойдет не так.
Если злоумышленник использует любой другой инструмент для сканирования сети, например Nessus, все равно KFSensor будет работать таким же образом.
Например, если атака происходит с помощью Nessus, как показано на рисунке ниже, то пользователь увидит следующее:
Когда атака с помощью Nessus будет завершена, злоумышленник получит ненастоящие данные, как можно заметить на изображении ниже:
И точно так же KFSensor предупредит пользователя о происходящем, как показано на рисунке ниже:
Таким образом, KFSenor – это прекрасный способ обнаружить и сбить с толку злоумышленника, чтобы защитить свою систему и личные данные.
Автор переведенной статьи: Shubham Sharma.
ЧИТАТЬ ВСЕ СТАТЬИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
