Что нового

Article Kali Linux - Honeypot для злоумышленника

Vander

Команда форума
10.11.2019
388
818
Приветствую уважаемую аудиторию форума Protey!​

В этой статье рассмотрим установку и практическое применение HoneyPot в вашей сети.

12.png

  • Honeypot («горшочек с мёдом») — ресурс, представляющий собой приманку для злоумышленников.
  • Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание взломщиков.
11.jpg

Одна вещь, от которой зависят многие эксперты по безопасности - это приманка.

Что такое приманка?

Проще говоря, это системы, созданные для имитации конкретных целей кибератак. При наличии приманки администраторы могут обнаруживать и регистрировать атаки на определенные службы, а также исходный IP-адрес указанной атаки.

Настроить honeypot довольно просто - особенно если у вас есть работающий экземпляр Kali Linux под рукой. И это именно то, что я собираюсь показать вам. Используя комбинацию Kali Linux и pentbox, вы можете создать и запустить honeypot за считанные минуты.

Что нам необходимо?

Установленный дистрибутив Kali Linux и учетная запись пользователя с правами администратора.

Pentbox.
  • Pentbox - это набор для обеспечения безопасности, содержащий различные инструменты для упрощения проведения тестирования на проникновение. Он написан на Ruby и ориентирован на GNU / Linux, с поддержкой Windows, MacOS и всех систем, где установлен Ruby.
Как скачать PentBox?

122.png

Выполняем в терминале следующую команду:

Код:
wget http://downloads.sourceforge.net/project/pentbox18realised/pentbox-1.8.tar.gz
1122.png

После завершения загрузки этого файла распакуйте архив:

Код:
tar xvfz pentbox-1.8.tar.gz
1133.png

Переходим в каталог pentbox и запускаем основной Ruby скрипт:

Код:
./pentbox.rb
1155.png

Далее, вас приветствует меню. В нём выберите 2 (для сетевых инструментов), а затем 3 для Honeypot.

1166.png

Запускаем наш Honeypot с дефолтными параметрами:

155.png

Проверим корректность работы, убеждаемся, что ловушка работает на 80-ом порту:

Код:
netstat –tpln
114433.png

Переходим в браузере на адрес Honeypot:

1121.png

Ничего, особо информативного нас не встречает, заглянем в логи Honeypot:

2233.png

По сути, он перехватил запрос и показал его тело, попробуем аудит с помощью Burp Suite:

14331.png

Burp Suite не составил карту сайта, а в логах отобразились попытки подключения и только.

Пробуем Nikto:

Код:
nikto –h localhost
3344.png

Тут, в принципе и смотреть не на что, сканер ничего не обнаружил, а в логах отобразилось несколько запросов от localhost, позволяющих идентифицировать User-Agent:

b1.png

С вебом, я полагаю, можно закончить и немного кастомизировать настройки, открыв фейковый SSH порт:

b12.png

Проверим состояние сетевых соединений:

1244.png

Пробуем подключиться к Honeypot по SSH:

1577455981912.png

В логах подключения наблюдаем следующее:

11553.png

Информации немного, но можно назвать её полезной, в целом, я ожидал несколько большего от этого сервиса, его конечно можно доделать и расширить функционал, но этим я заниматься не буду.

Существует подобный инструмент, по информации разработчиков наделенный богатым функционалом, к нему я и вернусь позже.

Спасибо за внимание, материал подготовлен специально для форума protey.net
 
Верх Низ