Pottes de miel et miel
Une partie des travaux de sécurité informatique est de se renseigner sur les types d'attaques ou de techniques utilisées par les pirates en collectant des informations pour une analyse ultérieure afin d'évaluer les caractéristiques des tentatives d'attaque. Parfois, cette collection d'informations se fait via des appâts ou des leurres conçus pour enregistrer l'activité suspecte des attaquants potentiels qui agissent sans savoir que leur activité est surveillée. Dans la sécurité informatique, ces appâts ou leurres sont appelés Pots de miel.
Que sont les pots de miel et les réceptions:
UN pot de miel Peut être une application simulant une cible qui est vraiment un enregistreur de l'activité des attaquants. Plusieurs points de miel simulant plusieurs services, appareils et applications sont libellés Tissus de miel.
Les pots de miel et les lits de miel ne stockent pas d'informations sensibles, mais stockent de fausses informations attrayantes aux attaquants pour les intéresser aux pots de miel; En d'autres termes, des honeynets parlent de pièges à pirate conçus pour apprendre leurs techniques d'attaque.
Les pots de miel nous offrent deux avantages: premièrement, ils nous aident à apprendre les attaques pour sécuriser correctement notre appareil de production ou notre réseau. Deuxièmement, en gardant des pots de miel simulant les vulnérabilités à côté des dispositifs de production ou des réseaux, nous gardons l'attention des pirates hors des appareils sécurisés. Ils trouveront plus attrayant les pots de miel simulant les trous de sécurité qu'ils peuvent exploiter.
Types de pot de miel:
Papots de miel de production:
Ce type de pot de miel est installé dans un réseau de production pour collecter des informations sur les techniques utilisées pour attaquer les systèmes au sein de l'infrastructure. Ce type de pot de miel offre une grande variété de possibilités, à partir de l'emplacement du pot de miel dans un segment de réseau spécifique afin de détecter les tentatives internes des utilisateurs légitimes du réseau pour accéder aux ressources non réparties ou interdites à un clone d'un site Web ou d'un service, identique à la Original comme appât. Le plus gros problème de ce type de pot de miel est de permettre un trafic malveillant entre des trafics légitimes.
Papés de miel de développement:
Ce type de pot de miel est conçu pour collecter plus d'informations sur les tendances de piratage, les cibles souhaitées par les attaquants et les origines d'attaque. Ces informations sont ensuite analysées pour le processus décisionnel sur la mise en œuvre des mesures de sécurité.
Le principal avantage de ce type de pots de miel est, contrairement à la production; Développement de pots de miel Les pots de miel sont situés dans un réseau indépendant dédié à la recherche; Ce système vulnérable est séparé de l'environnement de production empêchant une attaque du pot de miel lui-même. Son principal inconvénient est le nombre de ressources nécessaires pour la mettre en œuvre.
Il existe 3 sous-catégories de pot de miel ou types de classification définis par le niveau d'interaction qu'il a avec les attaquants.
Papots de miel à faible interaction:
Un pot de miel émule un service, une application ou un système vulnérable. Ceci est très facile à configurer mais limité lors de la collecte d'informations; Quelques exemples de ce type de pots de miel sont:
- Piège à miel: il est conçu pour observer les attaques contre les services réseau; Contrairement aux autres pots de miel, qui se concentrent sur la capture de logiciels malveillants, ce type de pot de miel est conçu pour capturer les exploits.
- Néphentis: émule les vulnérabilités connues afin de collecter des informations sur les attaques possibles; Il est conçu pour imiter les exploits des vers de vulnérabilités pour se propager, puis Nephetes capture leur code pour une analyse ultérieure.
- Miel: Identifie les serveurs Web malveillants dans la mise en réseau en émulant différents clients et en collectant des réponses de serveur lorsque vous répondez aux demandes.
- Se parer: est un démon qui crée des hôtes virtuels au sein d'un réseau qui peut être configuré pour exécuter des services arbitraires simulant l'exécution dans différents SG.
- Glastopf: émule des milliers de vulnérabilités conçues pour collecter les informations d'attaque contre les applications Web. Il est facile à configurer et une fois indexé par les moteurs de recherche; Cela devient une cible attrayante pour les pirates.
Papots de miel à interaction moyenne:
Dans ce scénario, les pots de miel ne sont pas conçus pour collecter des informations uniquement; Il s'agit d'une application conçue pour interagir avec les attaquants tout en enregistrant de manière exhaustive l'activité d'interaction; Il simule une cible capable d'offrir toutes les réponses auxquelles l'attaquant peut s'attendre; Certains pots de miel de ce type sont:
- Cowrie: un pot de miel SSH et Telnet qui enregistre les attaques de force brute et l'interaction des coquilles de pirates. Il émule un système d'exploitation Unix et fonctionne comme un proxy pour enregistrer l'activité de l'attaquant. Après cette section, vous pouvez trouver des instructions pour la mise en œuvre du Cow.
- Sticky_ephant: c'est un pot de miel postgresql.
- Frelon: Une version améliorée de Honeypot-Wasp avec de fausses informations d'identification conçue pour des sites Web avec une page de connexion d'accès public pour les administrateurs tels que / WP-Admin pour les sites WordPress.
Papés de miel à haute interaction:
Dans ce scénario, les pots de miel ne sont pas conçus pour collecter des informations uniquement; Il s'agit d'une application conçue pour interagir avec les attaquants tout en enregistrant de manière exhaustive l'activité d'interaction; Il simule une cible capable d'offrir toutes les réponses auxquelles l'attaquant peut s'attendre; Certains pots de miel de ce type sont:
- Sebek: fonctionne comme un HIDS (système de détection d'intrusion basé sur l'hôte), permettant de capturer des informations sur l'activité du système. Il s'agit d'un outil de serveur-client capable de déployer des pots de miel sur Linux, Unix et Windows qui capturent et envoient les informations collectées au serveur.
- Arme de miel: Peut être intégré aux pots de miel à faible interaction pour augmenter la collecte d'informations.
- Hi-Hat (boîte à outils d'analyse de miel à interaction élevée): convertit les fichiers PHP en pots de miel à interaction élevée avec une interface Web disponible pour surveiller les informations.
- Capture-HPC: Similaire à HoneyC, identifie les serveurs malveillants en interagissant avec les clients à l'aide d'une machine virtuelle dédiée et en enregistrant des modifications non autorisées.
Ci-dessous, vous pouvez trouver un exemple de pot de miel à interaction moyenne.
Déploiement de Cowrie pour collecter des données sur les attaques SSH:
Comme indiqué précédemment, Cowrie est un pot de miel utilisé pour enregistrer des informations sur les attaques ciblant le service SSH. Cowrie simule un serveur SSH vulnérable permettant à tout attaquant d'accéder à un faux terminal, simulant une attaque réussie tout en enregistrant l'activité de l'attaquant.
Pour que Cowrie simule un faux serveur vulnérable, nous devons l'attribuer au port 22. Nous devons donc modifier notre port SSH réel en modifiant le fichier / etc / ssh / sshd_config comme indiqué ci-dessous.
sudo nano / etc / ssh / sshd_config
Modifiez la ligne et modifiez-la pour un port entre 49152 et 65535.
Port 22
Redémarrer et vérifier que le service s'exécute correctement:
sudo systemctl redémarrer ssh
Sudo Systemctl Status SSH
Installez tous les logiciels nécessaires pour les prochaines étapes, sur les distributions Linux basées sur Debian Exécutez:
sudo apt install -y python-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbind git
Ajoutez un utilisateur non privilégié appelé Cowrie en exécutant la commande ci-dessous.
Sudo AddUser - Cow-Password Disabled-Password
Sur les distributions Linux basées sur Debian, installez AuthBind en exécutant la commande suivante:
sudo apt install authbind
Exécutez la commande ci-dessous.
Sudo Touch / etc / Authbind / Byport / 22
Changer la propriété en exécutant la commande ci-dessous.
Sudo Chown Cowrie: Cowrie / etc / Authbind / Byport / 22
Changer les autorisations:
Sudo Chmod 770 / etc / Authbind / Byport / 22
Se connecter en tant que coucher
sudo su Cowrie
Aller dans le répertoire de la maison de Cowrie.
CD ~
Téléchargez le pot de miel Cowrie en utilisant Git comme indiqué ci-dessous.
git clone https: // github.com / Micheloosterhof / Cowrie
Déménager dans le répertoire de CowRrie.
CD Cowrie /
Créez un nouveau fichier de configuration basé sur le par défaut en le copiant à partir du fichier / etc / Cowrie.CFG.dist à Cow.CFG En exécutant la commande illustrée ci-dessous dans le répertoire de Cowrie /
CP etc / Cow.CFG.Dist etc / Cow.CFG
Modifiez le fichier créé:
Nano etc / Cow.CFG
Trouvez la ligne ci-dessous.
écouter_endpoints = tcp: 2222: interface = 0.0.0.0
Modifiez la ligne, en remplaçant le port 2222 par 22 comme indiqué ci-dessous.
écouter_endpoints = tcp: 22: interface = 0.0.0.0
Enregistrer et sortir nano.
Exécutez la commande ci-dessous pour créer un environnement Python:
VirtualEnv Cowrie-env
Activer un environnement virtuel.
Source Cowrie-Env / Bin / Activer
Mettre à jour PIP en exécutant la commande suivante.
Pip Installer - Pip de mise à niveau
Installez toutes les exigences en exécutant la commande suivante.
PIP Installation - Exigences de mise à niveau.SMS
Exécutez Cowrie avec la commande suivante:
bin / Cowrie Start
Vérifiez que le pot de miel écoute en courant.
netstat -tan
Maintenant, les tentatives de connexion au port 22 seront enregistrées dans le fichier var / log / cowrie / cowe.se connecter dans le répertoire de Cowrie.
Comme indiqué précédemment, vous pouvez utiliser le pot de miel pour créer une fausse coquille vulnérable. Les corres incluent un fichier dans lequel vous pouvez définir les «utilisateurs autorisés» pour accéder au shell. Ceci est une liste de noms d'utilisateur et de mots de passe à travers lesquels un pirate peut accéder au faux shell.
Le format de liste est affiché dans l'image ci-dessous:
Vous pouvez renommer la liste par défaut de Cowrie à des fins de test en exécutant la commande ci-dessous à partir du répertoire de CowRies. Ce faisant, les utilisateurs pourront se connecter comme root à l'aide de mot de passe racine ou 123456.
mv etc / userdb.Exemple etc / userdb.SMS
Arrêtez et redémarrez Cowrie en exécutant les commandes ci-dessous:
bac / Cowrie Stop
bin / Cowrie Start
Test maintenant en essayant d'accéder via SSH en utilisant un nom d'utilisateur et un mot de passe inclus dans le userdb.SMS liste.
Comme vous pouvez le voir, vous accéderez à un faux shell. Et toutes les activités effectuées dans cette coquille peuvent être surveillées à partir du journal de coche, comme indiqué ci-dessous.
Comme vous pouvez le voir, Cowrie a été mise en œuvre avec succès. Vous pouvez en savoir plus sur Cowrie sur https: // github.com / Cowrie /.
Conclusion:
La mise en œuvre des pots de miel n'est pas une mesure de sécurité courante, mais comme vous pouvez le voir, c'est un excellent moyen de durcir la sécurité du réseau. La mise en œuvre de Honeypots est une partie importante de la collecte de données visant à améliorer la sécurité, transformant les pirates en collaborateurs en révélant leur activité, leurs techniques, leurs informations d'identification et leurs cibles. C'est aussi un moyen formidable de fournir des informations fausses de pirates.
Si vous êtes intéressé par les pots de miel, les IDS (systèmes de détection d'intrusion) peuvent probablement être intéressants pour vous; Chez Linuxhint, nous avons quelques tutoriels intéressants à leur sujet:
- Configurer les identifiants de snort et créer des règles
- Début avec OSSEC (Système de détection d'intrusion)
J'espère que vous avez trouvé cet article sur les pots de miel et les miels utiles. Continuez à suivre l'astuce Linux pour plus de conseils et de tutoriels Linux.