Прототип проекта hunym0n

Уже довольно давно меня начали посещать мысли о том, чтобы поднять собственный ханипот. Во-первых, это действительно интересно. Сеть кишит разного рода ботами и прочим хламом, который постоянно норовит сделать гадость то тут, то там. Во-вторых, многие готовые решения оснащены функцией отправки логов разработчикам в дата-центр, что позволяет создавать распределённые сети ловушек, собирающих новейшие сигнатуры атак по всему Интернету. Вроде бы балуешься ради собственного развлечения, а сервер отправляет данные исследователям, что полезно. В-третьих, после переезда блога с DigitalOcean на Vscale, на аккаунте DO у меня осталось средств на два с половиной месяца беспечного хостинга, так что критерий «потому что могу» также имеет место.

Итак, идея заключается в следующем. Собрать на одном сервере несколько средне- и высокоинтерактивных ханипотов, а их лог вывести на веб-сайт, чтобы можно было холодными зимними вечерами укутаться в клетчатый плед, взять большую кружку чая и наблюдать за тем, как боты тщетно пытаются заливать шеллы и эксплуатировать системные уязвимости, которых на самом деле нет.

Вообще-то это далеко не свежее веяние. Существует исследовательский проект под названием HoneyNet, объединяющий исследователей и программистов, непрерывно генерирующий исследования и различные ловушки. Некогда существовал (а ныне, судя по всему, заглох, проект распределённой сети ханипотов от OWASP).

Имеются и готовые образы систем-ловушек, такие как HoneyDrive и T-Pot, разворачивающиеся в два клика и готовые к работе прямо из коробки, с обширным инструментарием на борту. Они очень хороши, если энтерпрайзу требуется автономный сервер для отвлечения внимания, но очень плохи, если тебе хочется самому настроить всё под себя, набить шишек и наплодить велосипедов.

Итак, в настоящее время сервер существует в следующем виде. Это Ubuntu 14.04, где на 22-м порту висит ssh-ханипот под названием Kippo, а на 80-м веб-ханипот, именуемый Glastopf. Несмотря на то, что я всё ещё не уверен, войдут ли они в «окончательный» конфиг, стоит сделать микроскопический обзор.

Kippo.

Это небольшой среднеинтерактивный ssh-ханипот. Он логгирует попытки брутфорса, которые, впрочем, довольно часто заканчиваются на второй итерации, потому что логину root по умолчанию соответствует пароль 123456. Отсюда начинается самое интересное — ханипот предоставляет залогинившемуся боту (ну или человеку, но будем реалистами) доступ к фейковой файловой системе, напоминающей Debian 5.0. Изначально эта файловая система практически пуста, но предусмотрена возможность наполнить её сочными файлами, такими passwd, чтобы сделать ещё более реалистичной и привлекательной для атакующего. Логгируются все выполняемые команды, а скачанный вредоносный код помещается в специальную директорию для последующего изучения. Превосходно! В целом, ловушка пока работает стабильно и потребляет мало ресурсов.

Отдельные боты, подобрав пароль, не выполняют внутри никаких команд, лишь изредка заходят обратно проверить, подходит ли ещё пароль. Однако за сутки работы ловушки уже были и попытки залить вредоносный код и тут же его выполнить.

Glastopf.

Это низкоинтерактивный ханипот, который всячески притворяется уязвимым веб-приложением. Ловушка имитирует не конкретные уязвимости, а целые типы уязвимостей. Простенький сайт крутится на 80-м порту. Конечно же, логгируются все запросы. На эту ловушку я пока не поймал ничего примечательного. Интернет намекает, что атакам не будет числа, если домен нацелить на ханипот и дать поисковикам его проиндексировать.

Что дальше?

  • Купить какой-нибудь простенький домен и нацелить его на Glastopf;
  • Продолжать устанавливать и конфигурировать различные ханипоты, отдавая предпочтение средне- и высокоинтерактивным, потому что они более зрелищные;
  • Настроить вывод логов с ловушек на веб-сайт, чтобы это было похоже tail -f в реальном времени;
  • Охватить как можно больше сервисов (SSH, SMTP, telnet…).

Продолжение в будущих апдейтах.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *