Honeypots and Honeynits

Makary Stasiak
Honeypots and Honeynits
W tym samouczku wyjaśnia, jakie są honeypoty i noneki i jak działają, w tym praktyczny przykład wdrożenia.

Częścią pracy specjalistów ds. Bezpieczeństwa jest poznanie rodzajów ataków lub technik używanych przez hakerów poprzez zbieranie informacji do późniejszej analizy w celu oceny cech ataków. Czasami ten zbiór informacji odbywa się za pomocą przynęty lub wabików zaprojektowanych w celu zarejestrowania podejrzanej aktywności potencjalnych atakujących, którzy działają bez wiedzy, że ich aktywność jest monitorowana. W bezpieczeństwie IT, te przynęty lub wabiki są wywoływane Honeypots.

Co to są honeypots i nonecz:

A garnek miodu może być aplikacją symulującą cel, który jest tak naprawdę rejestratorem aktywności atakujących. Wiele Honeypots symulujących wiele usług, urządzeń i aplikacji jest denominowanych Nonecie.

Honeypots i nonety nie przechowują poufnych informacji, ale przechowują fałszywe atrakcyjne informacje dla atakujących, aby zainteresować się honeypotami; Innymi słowy, innymi słowy, mówią o pułapkach hakerów zaprojektowanych w celu poznania ich technik ataku.

Honeypots dają nam dwie korzyści: po pierwsze, pomagają nam nauczyć się ataków w celu poprawnego zabezpieczenia naszego urządzenia produkcyjnego lub sieci. Po drugie, utrzymując honeypots symulując luki obok urządzeń produkcyjnych lub sieci, utrzymujemy uwagę hakerów z zabezpieczonych urządzeń. Uważają, że HoneyPots symulują dziury bezpieczeństwa, które mogą wykorzystać.

Honeypot Rodzaje:

Honeypots produkcyjny:
Ten typ honeypot jest instalowany w sieci produkcyjnej w celu zbierania informacji o technikach używanych do ataku systemów w infrastrukturze. Ten rodzaj honeypot oferuje szeroką gamę możliwości, od lokalizacji honeypot w określonym segmencie sieci, aby wykryć próby wewnętrzne przez uzasadnione użytkowników sieci w celu uzyskania dostępu do niepełnosprawnych lub zakazanych zasobów, po klon witryny lub usługi, identyczny z Oryginał jak przynęta. Największym problemem tego typu honeypot jest umożliwienie złośliwego ruchu między legalnymi.

Honeypots rozwoju:
Ten rodzaj honeypot jest zaprojektowany w celu zebrania dodatkowych informacji na temat trendów hakerskich, pożądanych celów atakujących i ataku. Informacje te są później analizowane pod kątem procesu decyzyjnego wdrażania środków bezpieczeństwa.
Główną zaletą tego typu honeypots jest wbrew produkcji; Honeypots Development Honeypots znajdują się w niezależnej sieci poświęconej badaniom; Ten wrażliwy system jest oddzielony od środowiska produkcyjnego, zapobiegając atakowi samego honeypota. Jego główną wadą jest liczba zasobów niezbędnych do ich wdrożenia.

Istnieją 3 różne podkategorie Honeypot lub typy klasyfikacji zdefiniowane przez poziom interakcji z atakującymi.

Honeypots o niskich interakcjach:

Honeypot naśladuje wrażliwą usługę, aplikację lub system. Jest to bardzo łatwe do skonfigurowania, ale ograniczone przy zbieraniu informacji; Niektóre przykłady tego rodzaju honeypots to:

  • Pułapka miodu: Ma na celu obserwowanie ataków na usługi sieciowe; W przeciwieństwie do innych honeypotów, które koncentrują się na przechwytywaniu złośliwego oprogramowania, ten typ honeypot jest zaprojektowany do przechwytywania exploitów.
  • Nephentes: naśladuje znane luki w celu zebrania informacji o możliwych atakach; Został zaprojektowany w celu naśladowania luk w zakresie exploitów do propagowania, a następnie Nephentes przechwytuje swój kod do późniejszej analizy.
  • Honeyc: identyfikuje złośliwe serwery internetowe w sieci, emulując różnych klientów i zbierając odpowiedzi serwera podczas odpowiadania na żądania.
  • Honeyd: to demon, który tworzy wirtualne hosty w sieci, którą można skonfigurować do uruchamiania dowolnych usług symulujących wykonywanie w różnych systemach operacyjnych.
  • Glastopf: naśladuje tysiące luk zaprojektowanych do zbierania informacji o ataku na aplikacje internetowe. Jest łatwy do skonfigurowania, a po indeksowaniu przez wyszukiwarki; staje się atrakcyjnym celem dla hakerów.

Średnie interakcje Honeypots:

W tym scenariuszu honeypoty nie są zaprojektowane tylko do zbierania informacji; Jest to aplikacja zaprojektowana do interakcji z atakującymi przy jednoczesnym rejestrowaniu aktywności interakcji; Symuluje cel, który może oferować wszystkie odpowiedzi, którego może oczekiwać atakujący; Niektóre honeypoty tego typu to:

  • Cowrie: Honeypot SSH i Telnet, który rejestruje ataki brutalnej siły i interakcję hakerów. Naśladuje system operacyjny UNIX i działa jako proxy, aby zarejestrować aktywność atakującego. Po tej sekcji można znaleźć instrukcje dotyczące implementacji Cowrie.
  • Sticky_elephant: To jest honeypot postgresper.
  • Szerszeń: Ulepszona wersja Honeypot-Wasp z fałszywymi poświadczonymi monitorami zaprojektowanymi dla stron internetowych ze stroną logowania publicznego dla administratorów, takich jak /WP-Admin dla witryn WordPress.

Honeypots o wysokiej interakcji:

W tym scenariuszu honeypoty nie są zaprojektowane tylko do zbierania informacji; Jest to aplikacja zaprojektowana do interakcji z atakującymi przy jednoczesnym rejestrowaniu aktywności interakcji; Symuluje cel, który może oferować wszystkie odpowiedzi, którego może oczekiwać atakujący; Niektóre honeypoty tego typu to:

  • Sebek: Działa jako HIDS (system wykrywania włamań oparty na hosta), umożliwiając przechwytywanie informacji na temat aktywności systemowej. Jest to narzędzie do-klienta, które jest w stanie wdrażać honeypots w systemie Linux, Unix i Windows, które przechwytują i wysyłają zebrane informacje do serwera.
  • Honeybow: można zintegrować z niskimi honeypotami interakcji w celu zwiększenia gromadzenia informacji.
  • HI-HAT (Analiza Honeypot Analysis Analysis): przekształca pliki PHP w wysokie honeypoty interakcji z interfejsem internetowym dostępnym do monitorowania informacji.
  • Capture-HPC: Podobnie jak Honecin, identyfikuje złośliwe serwery poprzez interakcje z klientami za pomocą dedykowanej maszyny wirtualnej i rejestrację nieautoryzowanych zmian.

Poniżej można znaleźć praktyczny przykład honeypot średniej interakcji.

Wdrażanie Cowrie do zbierania danych na temat ataków SSH:

Jak wspomniano wcześniej, Cowrie jest honeypotem używanym do rejestrowania informacji na temat ataków skierowanych do usługi SSH. Cowrie symuluje wrażliwy serwer SSH, który pozwala każdemu atakującemu uzyskać dostęp do fałszywego terminalu, symulując udany atak podczas rejestrowania aktywności atakującego.

Aby Cowrie symulować fałszywy wrażliwy serwer, musimy przypisać go do portu 22. Dlatego musimy zmienić nasz prawdziwy port SSH, edytując plik /etc/ssh/sshd_config jak pokazano niżej.

sudo nano/etc/ssh/sshd_config

Edytuj linię i zmień ją dla portu między 49152 a 65535.

Port 22

Uruchom ponownie i sprawdź, czy usługa działa poprawnie:

sudo systemctl restart ssh
SUDO SystemCtl Status SSH

Zainstaluj wszystkie potrzebne oprogramowanie do następnych kroków, w uruchomieniu dystrybucji Linux z Linux z Debian:

sudo apt instaluj-y Python-virtualenv libssl-dev libffi-dev kompilacyjny libpython3-dev python3-minimal Authbind git

Dodaj nieuprzywilejowany użytkownik o nazwie Cowrie, uruchamiając poniższe polecenie.

sudo adduser-Disabled-Password Cowrie

Na dystrybucjach Linux opartych na Debian Zainstaluj AuthBind, uruchamiając następujące polecenie:

sudo apt instal instaluj authbind

Uruchom polecenie poniżej.

sudo touch/etc/authbind/Byport/22

Zmień własność, uruchamiając poniższe polecenie.

Sudo Chown Cowrie: Cowrie/Etc/Authbind/Byport/22

Zmień uprawnienia:

sudo chmod 770/etc/authbind/Byport/22

Zaloguj się jako Cowrie

sudo su cowrie

Wejdź do katalogu domowego Cowrie.

CD ~

Pobierz Cowrie Honeypot za pomocą git, jak pokazano poniżej.

Git Clone https: // github.com/micheloosterhof/cowrie

Przejdź do katalogu Cowrie.

CD Cowrie/

Utwórz nowy plik konfiguracyjny w oparciu o domyślnie, kopiując go z pliku /etc/cowrie.CFG.Dist to Cowrie.CFG Uruchamiając polecenie pokazane poniżej w katalogu Cowrie/

CP itp./Cowrie.CFG.Dist itp./Cowrie.CFG

Edytuj utworzony plik:

nano itp./Cowrie.CFG

Znajdź linię poniżej.

Listen_endpoints = tcp: 2222: interfejs = 0.0.0.0

Edytuj linię, zastępując port 2222 na 22, jak pokazano poniżej.

Listen_endpoints = TCP: 22: Interface = 0.0.0.0

Zapisz i wyjdź z nano.

Uruchom poniższe polecenie, aby utworzyć środowisko Python:

Virtualenv Cowrie-Env

Włącz środowisko wirtualne.

Źródło cowrie-env/bin/aktywacja

Zaktualizuj PIP, uruchamiając następujące polecenie.

instaluj PIP -upgrade PIP

Zainstaluj wszystkie wymagania, uruchamiając następujące polecenie.

Wymagania instalacji instalacji PIP.tekst

Uruchom Cowrie z następującym poleceniem:

bin/cowrie start

Sprawdź, czy honeypot słucha, biegając.

Netstat -tan

Teraz próba logowania do portu 22 zostaną zalogowane w pliku var/log/cowrie/cowrie.Zaloguj się w katalogu Cowrie.

Jak wspomniano wcześniej, możesz użyć honeypot, aby stworzyć fałszywą wrażliwą powłokę. Kowiny zawierają plik, w którym możesz zdefiniować „dozwolone użytkowników” w celu uzyskania dostępu do powłoki. To jest lista nazw użytkowników i haseł, za pomocą których haker może uzyskać dostęp do fałszywej powłoki.

Format listy jest pokazany na poniższym obrazku:

Możesz zmienić nazwę domyślnej listy Cowrie dla celów testowych, uruchamiając poniższe polecenie z katalogu Cowries. W ten sposób użytkownicy będą mogli zalogować się jako root za pomocą hasła źródło Lub 123456.

MV itp./Userdb.Przykład itp./Userdb.tekst

Zatrzymaj się i uruchom ponownie Cowrie, uruchamiając poniższe polecenia:

Bin/Cowrie Stop
bin/cowrie start

Teraz sprawdź próbę dostępu za pośrednictwem SSH za pomocą nazwy użytkownika i hasła zawartych w Userdb.tekst lista.

Jak widać, uzyskasz dostęp do fałszywej skorupy. I wszystkie działania wykonane w tej powładzie można monitorować z dziennika Cowrie, jak pokazano poniżej.

Jak widać, Cowrie został pomyślnie wdrożony. Możesz dowiedzieć się więcej o Cowrie na https: // github.com/cowrie/.

Wniosek:

Implementacja HoneyPots nie jest wspólnym środkiem bezpieczeństwa, ale jak widać, jest to świetny sposób na stwardnienie bezpieczeństwa sieci. Wdrożenie HoneyPots jest ważną częścią gromadzenia danych mających na celu poprawę bezpieczeństwa, przekształcanie hakerów w współpracowników poprzez ujawnienie ich aktywności, technik, poświadczeń i celów. Jest to również potężny sposób dostarczania fałszywych informacji hakerów.

Jeśli jesteś zainteresowany honeypotami, prawdopodobnie IDS (systemy wykrywania włamań) mogą być dla Ciebie interesujące; W Linuxhint mamy o nich kilka interesujących samouczków:

  • Skonfiguruj identyfikatory snortu i tworz reguły
  • Rozpoczęcie pracy z OSSEC (system wykrywania włamania)

Mam nadzieję, że ten artykuł na temat honeypots i miodu przydatny. Kontynuuj podążaj za Linux, aby uzyskać więcej wskazówek i samouczków Linux.

php
Jak korzystać z funkcji substr_replace w PHP
W PHP, SUBSTR_REPLACE () to wbudowana funkcja używana do zastąpienia części ciągu innym łańcuchem. P...
Renata Borowiec
PowerShell
Jak używać polecenia „Sleep Start-Sleep” w PowerShell?
CMDLET „Start-Sleep” w PowerShell jest odpowiedzialny za zawieszenie działania lub zatrzymanie sesji...
Oliwia Makowski
Git
Jak wymusić git kas?
Aby wymusić git kasy, przejdź do repozytorium głównego git> ls> start> git dodaj> git status> i git ...
Justyna Flak
Pyton
Python OS Mkdir
Larysa Witczak
Doker
Jaki jest cel kompozycji dokera.plik YML w Docker?
Bertram Jóźwiak
Golang
Jakie są typy danych w Golang
Albert Szcześniak
Golang
Co to jest dziedzictwo w Golang
Sebastian Kaczyński
Jawa
Jak przekonwertować mapę na ciąg w Javie?
Oliwia Makowski
Doker
Jak mogę zainstalować Docker za pośrednictwem terminalu Ubuntu?
Zofia Góra
AWS
Jak korzystać z menedżera sesji AWS Systems Manager?
Makary Stasiak
Doker
Czym różni się Docker od Docker Desktop?
Justyna Flak
Sqlite
Jak pobrać i zainstalować narzędzia SQLite?
Albert Szcześniak
Programowanie C
Jak drukować % za pomocą printf w programowaniu C?
Pani Julia Szwed