Phenquestions
Приманка может быть приложением, имитирующим цель, которая на самом деле является регистратором активности злоумышленников. Множественные приманки, имитирующие несколько сервисов, устройств и связанных приложений, называются Honeynets.
Honeypots и Honeynets не хранят конфиденциальную информацию, а хранят фальшивую привлекательную информацию для злоумышленников, чтобы заинтересовать их в Honeypots, Honeynets, другими словами, мы говорим о хакерских ловушках, предназначенных для изучения их методов атаки.
Ханипоты сообщают нам о двух типах преимуществ: во-первых, они помогают нам изучать атаки, чтобы впоследствии должным образом защитить наше производственное устройство или сеть. Во-вторых, сохраняя приманки, имитирующие уязвимости, рядом с производственными устройствами или сетью, мы отвлекаем внимание хакеров от защищенных устройств, поскольку они найдут более привлекательными приманки, имитирующие дыры в безопасности, которые они могут использовать.
Существуют разные типы приманок:
Производственные приманки:
Этот тип приманок устанавливается в производственной сети для сбора информации о методах, используемых для атаки на системы внутри инфраструктуры. Этот тип приманки предлагает широкий спектр возможностей: от расположения приманки в определенном сегменте сети до обнаружения внутренних попыток законных пользователей сети получить доступ к запрещенным или запрещенным ресурсам до клона веб-сайта или службы, идентичных оригинал как наживка. Самая большая проблема этого типа приманок - разрешить вредоносный трафик между легитимными.
Приманки для разработки:
Этот тип приманок предназначен для сбора как можно большего количества информации о тенденциях взлома, желаемых целях злоумышленников и источниках атак. Эта информация в дальнейшем анализируется для принятия решения о внедрении мер безопасности.
Основное преимущество этого типа приманок заключается в том, что, в отличие от производственных приманок, приманки для разработки расположены внутри независимой сети, предназначенной для исследований, эта уязвимая система отделена от производственной среды, предотвращая атаку со стороны самой приманки. Его главный недостаток - количество ресурсов, необходимых для его реализации.
Существует 3 подкатегории или разные классификации приманок, определяемые их взаимодействием со злоумышленниками.
Приманки с низким уровнем взаимодействия:
Honeypot эмулирует уязвимую службу, приложение или систему. Его очень легко настроить, но он ограничен при сборе информации. Вот некоторые примеры таких приманок:
Honeytrap: он предназначен для наблюдения за атаками на сетевые службы, в отличие от других приманок, которые ориентированы на перехват вредоносных программ. Этот тип приманок предназначен для перехвата эксплойтов.
Нефент: имитирует известные уязвимости для сбора информации о возможных атаках, он предназначен для имитации уязвимостей, которые используют эксплойты червей для распространения, затем Nephentes захватывает их код для дальнейшего анализа.
HoneyC: выявляет вредоносные веб-серверы в сети, эмулируя различных клиентов и собирая ответы сервера при ответах на запросы.
HoneyD: - это демон, который создает виртуальные хосты в сети, которые можно настроить для запуска произвольных служб, имитирующих выполнение в разных ОС.
Гластопф: эмулирует тысячи уязвимостей, предназначенных для сбора информации об атаках на веб-приложения. Его легко настроить, и после того, как он проиндексирован поисковыми системами, он становится привлекательной целью для хакеров.
Приманки со средним взаимодействием:
Эти типы приманок менее интерактивны, чем предыдущие, и при этом не обеспечивается взаимодействие на уровне, допускаемое высокими приманками. Вот некоторые приманки этого типа:
Киппо: это ssh-приманка, используемая для регистрации атак грубой силы на системы unix и регистрации активности хакера, если доступ был получен. Он был снят с производства и заменен на Cowrie.
Каури: еще одна приманка для ssh и telnet, которая регистрирует атаки методом перебора и взаимодействие хакерской оболочки. Он эмулирует ОС Unix и работает как прокси для регистрации активности злоумышленника.
Sticky_elephant: это приманка PostgreSQL.
Шершень: Улучшенная версия honeypot-wasp с запросом поддельных учетных данных, предназначенная для веб-сайтов с общедоступной страницей входа для администраторов, например / wp-admin для сайтов wordpress.
Приманки с высоким уровнем взаимодействия:
В этом сценарии приманки не предназначены только для сбора информации, это приложение, предназначенное для взаимодействия со злоумышленниками при исчерпывающей регистрации активности взаимодействия, оно имитирует цель, способную предложить все ответы, которые может ожидать злоумышленник, некоторые приманки этого типа:
Себек: работает как HIDS (Host-based Intrusion Detection System), позволяя собирать информацию о деятельности системы. Это инструмент сервер-клиент, способный развертывать приманки в Linux, Unix и Windows, которые собирают и отправляют собранную информацию на сервер.
HoneyBow: может быть интегрирован с приманками с низким уровнем взаимодействия для увеличения сбора информации.
HI-HAT (набор инструментов для анализа приманок с высоким уровнем взаимодействия): преобразует файлы php в приманки с высоким уровнем взаимодействия с веб-интерфейсом, доступным для мониторинга информации.
Захват-HPC: аналогично HoneyC, идентифицирует вредоносные серверы, взаимодействуя с ними в качестве клиентов, используя выделенную виртуальную машину и регистрируя несанкционированные изменения.
Если вас интересуют Honeypots, возможно, вам могут быть интересны IDS (системы обнаружения вторжений), на LinuxHint у нас есть пара интересных руководств по ним:
- Настройте Snort IDS и создайте правила
- Начало работы с OSSEC (Система обнаружения вторжений)
Надеюсь, вы нашли эту статью о Honeypots и Honeynets полезной. Следите за LinuxHint для получения дополнительных советов и обновлений по Linux и безопасности.
