W dzisiejszych czasach bezpieczeństwo w środowisku cyfrowym staje się coraz bardziej istotne. Hakerzy i cyberprzestępcy nieustannie doskonalą swoje umiejętności, co wymusza na nas konieczność posiadania skutecznych narzędzi w zakresie ochrony przed atakami. Jednym z takich narzędzi jest honeypot, czyli pułapka, która pozwala na zwabienie oraz monitorowanie potencjalnych intruzów. W niniejszym artykule omówimy, jak efektywnie wdrożyć honeypoty w środowisku organizacji w celu wzmocnienia jej cyberbezpieczeństwa.
Sprawdź, czego nauczysz się dzięki kursowi Grafany!
Udostępniamy darmowo ponad godzinny materiał z kursu. Przekonaj się, że jest idealny dla Ciebie!
Chcesz wziąć udział w kursie? Kliknij w link i obejrzyj co Cię czeka: https://asdevops.pl/demo-grafana/
Definicja i rodzaje honeypotów
Honeypot to specjalnie stworzone środowisko lub system komputerowy, którego używa się w celu zwabienia potencjalnych atakujących lub hakerów i monitorowania ich działań. Ma na celu symulowanie słabo zabezpieczonego celu lub systemu. Po co? Aby przyciągnąć uwagę potencjalnych agresorów i umożliwić administratorom lub analitykom zrozumienie ich technik, celów i zachowań.
Klasyfikacja honeypotów pod względem interaktywności:
Honeypoty niskiej interakcji (Low-Interaction Honeypots): Te honeypoty są zwykle wirtualne i działa na ograniczonym poziomie interakcji z potencjalnymi atakującymi. Przykłady to Honeyd i Kippo.
Honeypoty wysokiej interakcji (High-Interaction Honeypots): Te honeypoty to bardziej zaawansowane narzędzia, które są bardziej realistyczne i wiarygodne w oczach potencjalnych atakujących. Przykłady to Specter oraz Dionaea.
Honeypoty interaktywne (Interactive Honeypots): To rodzaj honeypota, który jest bardziej elastyczny w stosunku do sposobu, w jaki potencjalni atakujący mogą wejść w interakcje z honeypotem. Przykłady to Glastopf oraz Thug.
Honeynets: Honeynet to zestaw powiązanych ze sobą honeypotów i innych narzędzi służących do monitorowania i analizy działań potencjalnych agresorów w bardziej kompleksowym środowisku. Honeynets używa się do dokładniejszego zrozumienia ataków i koordynacji działań obronnych.
Klasyfikacja honeypotów pod względem lokalizacji:
Wewnętrzne honeypoty są wdrażane wewnątrz sieci LAN. Ten typ może służyć jako sposób monitorowania sieci pod kątem zagrożeń pochodzące z wnętrza. Takimi atakami mogą być ataki pochodzące od zaufanego personelu lub ataki, które analizują zapory sieciowe, takie jak ataki phishingowe.
Zewnętrzne honeypoty wdraża się w otwartym Internecie i służą do monitorowania ataków które przychodzą spoza sieci LAN. Są w stanie zebrać znacznie więcej danych o atakach, ponieważ mają gwarancję, że są atakowane przez cały czas.
Cele i korzyści wynikające z użycia honeypotów
Cele stosowania honeypotów:
Detekcja ataków: Głównym celem honeypotów jest wykrywanie prób nieautoryzowanego dostępu lub ataków na systemy i sieci organizacji. Honeypoty mogą działać jako pułapki, przyciągając potencjalnych hakerów.
Monitorowanie i analiza: Honeypoty umożliwiają zbieranie cennych danych na temat ataków, takich jak używane narzędzia, techniki, źródła ataków i cele. Te informacje są nieocenione w celu zrozumienia i analizy strategii atakujących oraz w celu dostosowania środków obronnych.
Szkolenie personelu: Honeypoty mogą służyć jako narzędzie edukacyjne dla personelu ds. cyberbezpieczeństwa. Pozwalają na lepsze zrozumienie działań cyberprzestępców oraz pozyskanie wiedzy na temat najnowszych zagrożeń i technik ataków.
Korzyści wynikające z użycia honeypotów:
Identyfikacja luk w zabezpieczeniach: Honeypoty pomagają organizacjom zidentyfikować słabe punkty w swoich systemach i sieciach. Dzięki analizie ataków można dostosować środki obronne i zwiększyć ogólną odporność na ataki.
Zbieranie informacji wywiadowczych: Dane zgromadzone za pomocą honeypotów mogą dostarczyć cenne informacje na temat działań konkurencji, działań szpiegowskich lub innych zagrożeń zewnętrznych.
Ochrona rzeczywistych zasobów: Dzięki przyciąganiu ataków na honeypoty, organizacja może zmniejszyć ryzyko ataków na swoje rzeczywiste zasoby. Hakerzy, którzy trafiają na honeypot, mogą być odciągnięci od rzeczywistych systemów i danych organizacji.
Dowód na działania przestępcze: Dane zebrane za pomocą honeypotów mogą być używane jako dowody w postępowaniach prawnych przeciwko atakującym. Pomagają w identyfikacji sprawców i przyczyniają się do ścigania cyberprzestępców.
Odstraszanie atakujących: Sam fakt obecności honeypotów w sieci organizacji może działać odstraszająco na potencjalnych hakerów. Wiedza o tym, że organizacja aktywnie monitoruje i reaguje na ataki, może sprawić, że potencjalni atakujący zrezygnują z próby ataku.
Zagrożenia związane z użyciem honeypotów
Honeypoty są potężnym narzędziem w dziedzinie cyberbezpieczeństwa. Ich wdrożenie wiąże się również z pewnymi zagrożeniami i wyzwaniami, które organizacje powinny uwzględnić.
Nadmierny ruch w sieci: Honeypoty, zwłaszcza te o wysokiej interakcji, mogą przyciągać znaczną ilość nieautoryzowanego ruchu sieciowego. To zwiększa obciążenie sieci i może spowodować opóźnienia lub problemy w dostępie do innych zasobów organizacji.
Ryzyko zanieczyszczenia danych: Honeypoty często zawierają fałszywe dane lub podatności, które są atrakcyjne dla atakujących. Jeśli atakujący zdobędą dostęp do honeypota, mogą wykorzystać go do przeprowadzenia kolejnych ataków na rzeczywiste zasoby organizacji lub do manipulacji danymi w honeypocie.
Kompromitacja honeypota: W niektórych przypadkach atakujący mogą wykryć, że trafili na honeypot i zignorować go lub zastosować specjalne techniki, aby zamaskować swoje rzeczywiste działania. To ogranicza skuteczność honeypota jako narzędzia detekcji.
Koszty i zasoby: Wdrożenie i utrzymanie honeypota może wymagać znacznych zasobów oraz kosztów. I to zarówno w zakresie sprzętu, jak i personelu ds. cyberbezpieczeństwa. Konieczne jest monitorowanie i analiza danych zgromadzonych przez honeypota, co może być czasochłonne.
Przyciąganie niebezpiecznych przestępców: Honeypoty przyciągają nie tylko przestępców internetowych, ale także zaawansowanych atakujących. Istnieje ryzyko, że organizacja przyciągnie uwagę potencjalnie niebezpiecznych przeciwników, którzy mogą spróbować przeprowadzić bardziej złożone ataki na rzeczywiste zasoby organizacji.
Naruszenie regulacji i przepisów: Użycie honeypota w organizacji może podlegać pewnym regulacjom prawno-etycznym. W niektórych jurysdykcjach może być konieczne zgłoszenie użycia honeypota lub zachowanie ostrożności, aby nie naruszyć praw użytkowników sieci.
Skomplikowana konfiguracja i zarządzanie: Honeypoty, zwłaszcza te o wysokiej interakcji, wymagają zaawansowanej konfiguracji i zarządzania. Organizacje muszą zrozumieć ich działanie, a także wiedzieć, jak analizować dane z honeypota, aby w pełni wykorzystać ich potencjał.
Praktyczny przykład
Honeypot Cowrie to popularny i otwartoźródłowy projekt honeypota. Ma na celu monitorowanie i zbieranie informacji o atakach przeprowadzanych na protokoł SSH (Secure Shell) przez cyberprzestępców. Cowrie jest znany z tego, że jest stosunkowo łatwy do konfiguracji i ustawienia. Czyni go atrakcyjnym narzędziem dla administratorów systemów oraz analityków ds. cyberbezpieczeństwa.
Projekt Honeypot Cowrie działa na zasadzie udostępnienia fałszywego serwera SSH, który przyciąga potencjalnych atakujących. Gdy cyberprzestępca próbuje nawiązać połączenie SSH z serwerem Cowrie, narzędzie monitoruje i rejestruje wszystkie próby logowania, wprowadzane hasła, komendy wykonywane przez atakującego i inne dane związane z atakiem. Te informacje są cenne dla zrozumienia taktyk i technik hakerów oraz pomagają w identyfikacji potencjalnych zagrożeń w środowisku sieciowym.
Instalacja Dockera:
Uruchomienie Cowrie:
Należy pobrać obraz dockera z strony
https://hub.docker.com/r/cowrie/cowrie
Po pomyślnym zainstalowaniu dockera należy uruchomić Cowrie w systemie:
Logowanie na Cowrie z maszyny atakującej:
Na Cowrie widzimy jakie polecenia wpisywał atakujący:
Atak typu Brute Force
Warto zaznaczyć, że Cowrie, w swojej domyślnej konfiguracji, koncentruje się wyłącznie na monitorowaniu protokołu SSH. Oznacza to, że potencjalni przeciwnicy są w stanie skompromitować honeypot tylko poprzez atak na usługę SSH. Ze względu na to, że przestrzeń ataku ograniczona jest do typowej instalacji SSH, większość prób ataku może przyjąć formę ataków typu brute-force. To oznacza, że hakerzy będą próbowali zdobyć nieautoryzowany dostęp, próbując różne kombinacje loginów i haseł, co jest jednym z najczęstszych rodzajów ataków na tę usługę. Jednak warto zaznaczyć, że wraz z rosnącym zrozumieniem tej metody przez społeczność związaną z cyberbezpieczeństwem, obserwuje się coraz bardziej zaawansowane próby ataku na SSH, co wymaga odpowiedniego dostosowania honeypota do śledzenia i analizy tych zmian.
Komenda której użyłem to:
hydra -l demo -P /home/kali/Documents/Cowrie/passwords.txt ssh://10.10.134.176:1400 -t 4 -o /home/kali/Documents/Cowrie/Output.txt -e nsr
Oto kilka narzędzi i technik, które mogą być używane w celu testowania odporności honeypotów na ataki brute force:
Hydra: Hydra to popularne narzędzie do przeprowadzania ataków brute force na różne usługi, w tym SSH i FTP.
Metasploit: Metasploit to platforma do testowania penetracyjnego, która zawiera wiele modułów i narzędzi, w tym te do przeprowadzania ataków brute force na różne usługi.
Ncrack: Ncrack to narzędzie zaprojektowane specjalnie do testowania haszy i usług wrażliwych na ataki brute force.
Patator: Patator to narzędzie do automatycznego testowania słabości, które obsługuje wiele protokołów, w tym SSH, FTP, i wiele innych.
John the Ripper: John the Ripper to znane narzędzie do łamania haseł, które może być używane w testach penetracyjnych oraz w celu oceny odporności honeypotów na ataki brute force.
Logowanie na honeypot za pomocą SSH:
W tym momencie widać iż system jest bardzo dobrze imitowany.
ssh root@10.10.134.176
Honeypot w samym swoim istnieniu mógłby być nieskuteczny, gdyby nie umożliwiał skutecznego zbierania i analizy danych dotyczących ataków, na które jest wystawiany. Na szczęście, narzędzie Cowrie jest wyposażone w rozbudowany mechanizm rejestracji zdarzeń, który precyzyjnie monitoruje i rejestruje każdą próbę połączenia oraz każdą komendę obsługiwaną przez system. Dzięki temu system ten dostarcza kompleksowych informacji o atakach, umożliwiając organizacjom pełne zrozumienie technik atakujących i dostosowanie odpowiednich środków obronnych.
Cowrie może logować się do wielu różnych formatów lokalnych i zestawów analizowania dzienników. W tym przypadku instalacja używa tylko dzienników JSON i tekstowych.
Po włamaniu się na honeypot można sprawdzić parametry procesora:
Dalsza exploitacja jest tematem na inny artykuuł. Tutaj chodziło jedynie o pokazanie jak wygląda przykładowa instancja honeypot.
Podsumowanie – Honeypot
Honeypoty to potężne narzędzia w dziedzinie cyberbezpieczeństwa, imitujące prawdziwe środowisko. Narzędzie to pozwala organizacjom na zwabianie, monitorowanie i analizę działań potencjalnych atakujących. Mogą być wykorzystywane w celu zbierania informacji na temat nowych ataków. Mogą także służyć do identyfikowania słabych punktów w systemach, monitorowania działań cyberprzestępców. Służyć mogą także do odstraszania potencjalnych hakerów od rzeczywistych zasobów organizacji. Warto jednak pamiętać, że honeypoty należy wdrażane ostrożnie, aby uniknąć niepożądanych skutków ubocznych. Do skutków ubocznych zaliczamy nadmierne obciążenie sieci czy potencjalne ryzyko ataku na honeypot. Honeypoty są cennym narzędziem w strategii cyberbezpieczeństwa, pozwalającym na identyfikację, analizę i reakcję na zagrożenia. Ich wdrożenie może przyczynić się do zwiększenia poziomu ochrony organizacji przed atakami. A także do lepszej reakcji na zmieniające się zagrożenia cybernetyczne.
Chcesz wiedzieć więcej na temat bezpieczeństwa? Przeczytaj nasze artykuły lub weź udział w kursach!
