Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

Honeypot — ловушка, которая перехитрит хакера

5
8 мин
Honeypot – это такой “лакомый кусочек” для злоумышленника, если более техническим языком: заведомо уязвимый сервис, сервер или учетная запись цель которого привлечь внимание злоумышленника, отвлечь его от реальных систем, серверов или других учетных записей и когда злоумышленник пытается совершить атаку на honeypot, эти действия сразу расцениваются, как нелегитимные, логируются и анализируются, что упрощает и затрудняет атаку многократно, его ip адреса блокируются, у синей команды (команда защиты, которая отвечает за обеспечение безопасности информационных систем организации и реагирование на инциденты) появляется информация об инструментах и тактиках злоумышленника, что в сумме не просто затрудняет атаку, но еще и финансово увеличивает ее стоимость, так как необходимо будет покупать новые домены, VPS/VDS. Основная цель такой ловушки — задержать и пустить по ложному следу злоумышленника, в то время, как синяя команда получает информацию об атаке. Так как атака отражается не просто на э
Оглавление

Что такое honeypot?

Honeypot – это такой “лакомый кусочек” для злоумышленника, если более техническим языком: заведомо уязвимый сервис, сервер или учетная запись цель которого привлечь внимание злоумышленника, отвлечь его от реальных систем, серверов или других учетных записей и когда злоумышленник пытается совершить атаку на honeypot, эти действия сразу расцениваются, как нелегитимные, логируются и анализируются, что упрощает и затрудняет атаку многократно, его ip адреса блокируются, у синей команды (команда защиты, которая отвечает за обеспечение безопасности информационных систем организации и реагирование на инциденты) появляется информация об инструментах и тактиках злоумышленника, что в сумме не просто затрудняет атаку, но еще и финансово увеличивает ее стоимость, так как необходимо будет покупать новые домены, VPS/VDS.

Зачем нужен honeypot и какие задачи он решает

Основная цель такой ловушки — задержать и пустить по ложному следу злоумышленника, в то время, как синяя команда получает информацию об атаке. Так как атака отражается не просто на этапе разведки (например сканирования портов ботнетом) по определенным паттернам в автоматическом режиме (такого добра в сети навалом и сейчас таким мало кого заинтересуешь), а на этапах начиная с доставки, это дает понимание синей команде о текущем ландшафте кибер угроз, сигнал о том, что компания стала целью незаурядной скриптовой атаки, нацеленной не столько на них, сколько на обнаружение “косяков” и попытки использовать их в своих целях (как пример: почти любой ботнет может самостоятельно брутить учетку для подключения по ssh и загрузить на сервер свой ключ (что сделает смену пароля не эффективной мерой устранения последствий атаки) и установки и запуски шифровальщика/майнера и другого вредоносного ПО), но дает информацию о более сложной и уникальной атаке, нацеленной конкретно на них, зачастую такие действия обогащают арсенал синей команды новыми IOC и IOA что несомненно является большой ценностью.

Анализ действий атакующего попавшего в honeypot позволяет:

  • Определить возможное местоположение и мотивы хакера. Изучая сетевой трафик и логи ловушек можно выяснить местонахождения киберпреступников (ну или скорее местоположение арендуемых атакующим VPS и VDS), увидеть какие уязвимости и сервисы ему интересны и понять уровень опасности атак.
  • Собрать информацию о методах атаки. Honeypot дает возможность регистрации всех запросов, команд и загруженных файлов хакера. Это помогает изучить его инструменты, эксплойты и даже фишинговые атаки. Все это можно логировать в удобном формате (например JSON) для последующего анализа и возможного хранения (можно даже собрать информацию и подгрузить в какой-нибудь OpenCTI, MISP, Yeti).
  • Получить раннее предупреждение об атаке. Поскольку на honeypot не должен приходить легитимный трафик, любое взаимодействие с ним – признак атаки. Это помогает заметить слепое пятно в защите (да, конечно honeypot могут быть не только во внешней сети, но и во внутренней) и среагировать до того как злоумышленник доберется до реальных ресурсов.
  • Отвлечь, рассеять внимание хакеров от реальных систем. Заставив злоумышленника полчаса копаться в honeypot не только весело, но и позволяет выиграть время для обнаружения и реакции на атаку. Чем дольше хакер занят приманкой, тем меньше у него остается ресурсов для атак на настоящую инфраструктуру.
  • Тренировка специалистов. Специалистами по кибербезопасности не рождаются, ими становятся, кропотливо изучая новые вектора атак. Honeypot может стать отличным учебным стендом, в его среде можно безопасно проверить те самые новые вектора атак и методы защиты. Например, можно наблюдать, как хакер исследует систему и какие “закладки” пытается найти. А потом написать алертов для SIEM на основе полученного опыта.

Резюмирую: honeypot дает подробное представление об угрозах: какие именно векторы атак используются, какие инструменты применяет злоумышленник и позволяет скорректировать защиту на основе реальных данных.

Примеры популярных honeypot-решений

К этому абзацу, я надеюсь, у вас появилось желание узнать, какие готовые решения существуют, чтобы самому опробовать их (или изучить и понять как с ними бороться. Да, красную команду не осуждаю).

Существует множество готовых Honeypot-решений от простых эмуляторов до сложных систем. Среди наиболее известных можно назвать:

Сowrie

– open-source honeypot для SSH и Telnet на Linux. Поднимает фейковую файловую систему и ssh-консоль, перехватывает команды хакера и скачиваемые файлы. Все действия записываются (например, в формате JSON) для последующего разбора.

Dionaea

– низко-интерактивный honeypot, эмулирующий уязвимые протоколы Windows (HTTP, SMB, MSSQL, FTP, MQTT и др.). Его задача – ловить вредоносные файлы (черви, трояны) и регистрировать попытки их загрузки.

KFSensor

– коммерческое решение для Windows, выполняющее роль IDS/Honeypot. Позволяет быстро развернуть honeypot в сети и притягивает атаки к себе. KFSensor ведёт подробное логирование активности хакеров и интегрируется с другими системами безопасности (например, Snort).

Honeyd, Conpot, Modern Honey Network (MHN) и др.

– есть решения для самых разных задач: эмуляция целых сетей (honeynet), промышленных устройств (Conpot), централизованное развертывание крупных флотилий ловушек (T-Pot, MHN). Новичкам можно начать с простых: например, поставить Cowrie или Honeyd и понаблюдать за базовым трафиком атакующих.

Типы honeypot: низко-интерактивные и высоко-интерактивные

Все honeypot делятся по уровню взаимодействия с атакующими:

  1. Низко-интерактивные (low-interaction) ловушки эмулируют только несколько базовых сервисов (например открытый SSH или HTTP). На первый взгляд они выглядят правдоподобно, но при попытке глубже взаимодействовать становится очевидно что это ловушка. Их легко разворачивать и они требуют мало ресурсов. Такие системы собирают сухую статистику (сканирование портов, попытки входа, ip адреса и т.д) и подойдут для детектирования автоматизированных массовых атак.
  2. Высоко-интерактивные (high-interaction) honeypot создают полноценную рабочую среду: это может быть виртуальная машина с настоящей OC и сервисами. Атакующие думают, что попали в реальную сеть, поэтому проводят много времени внутри honeypot, исследуя его. Такие ловушки очень похожи на настоящие и злоумышленник может надолго залипнуть в них, что позволяет собрать максимум данных о его действиях. Но минусы также существенны: нужна изоляция, много ресурсов и постоянный мониторинг. При неправильной изоляции взломанный высоко-интерактивный honeypot можно использовать как плацдарм для атаки на другие хосты, поэтому очень важно изолировать его от реальной сети.

Выбор типа зависит от целей: низкоуровневые подходят для повседневного мониторинга и ловли автоматических сканеров, а высоко-интерактивные – для подробного изучения методов целевых атак. Часто используется комбинированный подход (смесь low и high interaction) для баланса эффективности и безопасности.

Советы

Изоляция и сегментация.

Honeypot НЕ ДОЛЖЕН быть частью боевой сети. Располагайте ловушки где-нибудь на выделенном сервере или виртуальной машине в отдельном сегменте.

Актуальность и обновления.

Используйте современные/актуальные версии эмулируемых сервисов и не забывайте ставить обновления. Хакеры быстро обнаруживают сильно устаревшее ПО и могут вычислить, что перед ними honeypot. Регулярное обновление ловушки и ее конфигурации заставит злоумышленника задержаться дольше и оставлять больше следов.

Мониторинг и интеграция.

Honeypot важно подключить к SIEM или IDS, чтобы все логи и оповещения из ловушки поступали SOC-аналитикам для рассмотрения. Это позволит своевременного реагировать: например своевременного среагировать на сканирование или попытку атаки на honeypot после чего аналитик увидит алерт. Honeypot Чаще всего является ранним индикатором атаки, поэтому для них также важно настраивать правила корреляции и заводить их логи в SIEM.

Важно помнить, что honeypot не панацея и имеет ограниченную область видения. Honeypot не обнаружит проникновение в сеть через другие сервисы. Honeypot расширяет защиту, но не заменяет другие инструменты (например фаервол или IDS).

Конфигурации.

Избегайте стандартных настроек. Злоумышленники могут распознать привычные баннеры, настройте реальный контент (добавьте несколько каких-нибудь файлов, фальшивых таблиц или даже баз данных), добавьте искусственные задержки. Чем более реалистичным будет поведение ловушки, тем дольше хакер будет считать ее настоящей и больше времени в ней проведет. Опытные злоумышленники умеют распознавать honeypot по мелким несовпадениям, поэтому важно проверять что ловушка не выдает себя.

Анализ данных.

Honeypot генерирует огромное количество логов (в том числе и спама от сканеров). Необходимо заложить время и инструменты на их фильтрацию. Необходимо обращать внимание на аномалии: повторяющиеся неудачные попытки входа и скачивание исполняемых файлов. Так как в логах honeypot остаются почти только вредоносные события, а ложных срабатываний почти нет с его логами очень легко работать, но при этом данные весьма объемные и требуется человек (или скрипты/система) для их разбора.

Заключение

Honeypot – мощный инструмент проактивной защиты. С его помощью организация получает живые данные об атаках, которых нет в свободном доступе (да и в целом могут быть уникальными) и может оперативно реагировать на новые угрозы. При грамотном подходе honeypot требует минимум ресурсов: его можно запустить на старом оборудовании или вообще на виртуалке.Но ключ к эффективности – грамотная настройка. Нужно правильно изолировать ловушку, регулярно обновлять ее и (ну уж очень круто когда такая возможность есть) интегрировать ее с системой мониторинга. Ну и очень важно понимать ее роль: honeypot помогает обнаруживать слепые пятна в безопасности и изучать реальные методы хакеров, но не заменяет полноценную архитектуру защиты. При сбалансированном использовании honeypot станет шикарным дополнением к SOC: он будет служить ранним индикатором атаки и давать ценные данные об атаке.

Автор статьи: Гришенков Арсений Евгеньевич, Специалист по информационной безопасности центра мониторинга.

Оригинал публикации на сайте CISOCLUB: "Настройка honeypot-систем для отслеживания проникновений в корпоративную сеть".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.