• Профессиональным авторам. Срочный заказ!

    Необходимо сделать развернутое описание каждой из наших услуг. Ограничений на объем текста нет. ЦА - руководство компаний (сухой технический текст). При отсутствии исполнителей среди участников форума, работа будет передана фрилансерам 10 февраля.

    Подробнее о заказе ...

Статья Обнаружение сетевой атаки с помощью KFSensor Honeypot или ловля на живца

Voron

Voron

Grey Team
26.02.2019
82
236
Если ваш сервер часто подвергается атакам недоброжелателей есть прекрасный способ выявить злодея и обезопасить при этом себя. Метод достаточно известен, но надеюсь всё же будет интересен кому то из жителей форума.

Для привлечения внимания и поимки атакующего мы воспользуемся KFSensor Honeypot . Поскольку из-за различных известных дефектов и уязвимостей злоумышленники по всему миру обращают внимание именно на серверы Windows мы и настроим приманку в этой среде. Затем, оставив её готовой к действию, основательно пополнив запасы попкорна удобно расположимся на диване - сможем наблюдать, как злодеи репетируют свою атаку, и готовятся к ней.

Введение в Honeypot

Honeypot (горшочек с медом – ресурс приманка) маскируется под фактический сервер, чтобы дать злоумышленникам ложную цель и отвлечь их атаки. Следовательно, honeypot должен быть настроен так же, как реальный сервер, чтобы данные могли выглядеть аутентичными, показывая поддельные файлы, поддельные порты, поддельные каталоги и т. Поскольку honeypot создает иллюзию легитимности; злоумышленник склонен полагать, что он получил доступ к реальному серверу. Замаскированная машина обычно устанавливается где-то в DMZ (Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных Цель ДМЗ - добавить дополнительный уровень безопасности в локальной сети, позволяющий минимизировать ущерб в случае атаки на один из общедоступных сервисов- внешний злоумышленник имеет прямой доступ только к оборудованию в DMZ. Это гарантирует, что внутренняя система не будет видна злоумышленнику.

Honeypots работают, проверяя и время от времени контролируя нарушителя в процессе работы. Это происходитнезависимо от того, исходило ли нападение из других мест или изнутри системы. В зависимости от зоны отвлечения внимания Honeypots, как правило, предназначены для проверки действий нарушителя - просмотра резервных копий журнала и записи таких случаев, как запущенные процессы, команды на запись, стирание, изменение и даже нажатия клавиш.

Введение в KFSensor

KFSensor - это продвинутая система honeypot для Windows, которая обеспечивает расширенное обнаружение вторжений и угроз изнутри для вашей сети. Программа действует как приманка, предназначенная для привлечения и обнаружения хакеров и червей путем симуляции уязвимых системных служб и троянов. Он предварительно настроен для мониторинга всех портов TCP и UDP, а также ICMP. Он начинает мониторинг сразу после установки и может быть легко настроен для последующего добавления дополнительных услуг для клиентов.

Действует как IDS(система обнаружения вторжений). Его задача - привлекать и выявлять всех злоумышленников в сети, отсюда и название «Honeypot». Он делает это, имитируя уязвимую среду и маскируя себя под сервер, и, таким образом, ему удается не только поймать злоумышленника, но и помочь узнать его мотив. Он специально разработан для Windows и содержит множество уникальных функций. Это довольно удобно для пользователя благодаря консоли на основе графического интерфейса, а также небольшому размеру.

Начинаем работу

Роль KFSensor заключается в том, чтобы служить сервером-приманкой для злоумышленников, для защиты реальных машин. Он отлично справляется со своей задачей, открывая поддельные порты в системе, в которой он установлен, и собирая информацию при установлении соединения. Он делает это точно так же, как обычная серверная программа , такая как веб-сервер или SMTP-сервер. Делая это, он устанавливает целевой сервер или honeypot-сервер, который будет записывать действия злоумышленника.
После загрузки и установки KFSensor ( взять программу можно по ссылке в конце статьи), при его включении вы увидите следующее окно. Здесь, нажмите на “Next”.

1.png


Затем вам будет предложено выбрать порты, как показано на рисунке ниже, после выбора портов нажмите кнопку «Далее».

2.png


Затем он спросит вас, хотите ли вы получать уведомления по электронной почте с предупреждениями о попытках вторжения. Итак, здесь вы можете добавить адрес электронной почты, с которого вы хотите отправить сообщение, и адрес электронной почты, на который вы хотите получать сообщения.

3.png


После этих формальностей, нажмите на кнопку “Готово”.

4.png


Как только вы нажмете кнопку «Готово», появится следующее окно.

5.png


Теперь, когда honeypot был настроен и вы сканируете цель-жертву (которая установлена с honeypot) с помощью nmap, он покажет вам все порты, открытые как приманка, как показано на рисунке ниже:

6.png


KFSensor покажет детали сканирования вместе со своим IP. Он также будет генерировать сигнал тревоги, чтобы предупредить вас.

7.png


Если злоумышленник использует любой другой инструмент для сканирования сети, например, Nessus, работа KFSensor будет такой же . Например, если атака осуществляется через Nessus, как показано на рисунке ниже:

8.png


И когда атака от Nessus будет завершена, он покажет вам ложный результат, как вы можете видеть на изображении ниже:

9.png


И аналогично, KFSensor предупредит вас, как показано на рисунке ниже:

10.png


Вот и всё - мы на практике рассмотрели неплохой способ обнаружить и запутать злоумышленника, обезопасив при этом себя.

Взять бесплатную пробную версию KFSensor можно здесь

Voronpes
 
Последнее редактирование:
Мы в соцсетях: