Hacking
December 29, 2021

Ловушки для хакеров

Никогда не знаешь, что может ждать тебя на сайте, который ты хочешь взломать.

Салют, Аноним!
Сегодня хочу рассказать о ловушках для хакеров. Вернее для тех, кто умеет запускать скрипты, но не следит за анонимностью. Я покажу тебе, какие данные получают владельцы ловушек, а также как создать свой ресурс-приманку.

Главный посыл этой статьи — всегда используй инструменты анонимности в сети. Ведь никто точно не знает, действительно ли это Apache сервер, или очередная подготовленная ловушка.


Что такое Honeypot?

Honeypot — ресурс-приманка, который создан для привлечения внимания хакеров.

Как правило, под приманку создают уязвимый ресурс с открытым портом или публично доступным эксплоитом. Это может быть как отдельный выделенный сервер, так и сетевой сервис. Цель одна — собрать максимальное количество данных и посмотреть, какие атаки и техники используются для взлома сервиса.

Вот так выглядит современная опенсорсная ловушка tpotce с интерфейсом kibana, которая позволяет получать данные в режиме реального времени. Можно отслеживать IP, операционные системы, отпечаток браузера, а также другие параметры.


Как запустить свою Honeypot?

Для наглядного примера, установим Pentbox на Kali Linux. Функционал позволяет открывать различные порты и "слушать" входящие соединения.

  • Чтобы установить выполняем следующие команды:

wget http://downloads.sourceforge.net/project/pentbox18realised/pentbox-1.8.tar.gz

  • После завершения загрузки этого файла распакуй архив с помощью команды:
tar xvfz pentbox-1.8.tar.gz
Это создаст новый каталог с именем pentbox-1-8.
  • Перейди в этот новый каталог с помощью cd pentbox-1.8
  • И запусти софт с помощью команды ./pentbox.rb
  • Если все прошло успешно, увидим интерактивное меню:

Для быстрого запуска выбираем Network tools -> Honeypot, а потом Fast Auto Configuration. Послеуспешного запуска увидим такое сообщение: "HONEYPOT ACTIVATED ON PORT 80".

Чтобы проверить работоспособность нашей ловушки достаточно перейти на IP адрес машины в браузере. При переходе получаем вот такое сообщение:

В этот момент получаем сообщение об успешном открытии в консоли браузера. Вот такие данные прилетают при стандартной настройке.

Для ручной настройки выбираем Network tools -> Honeypot, а потом Manual Configuration. Далее указываем любой порт, который будет доступен, ответ, который будет возвращаться и выбираем, нужно ли записывать логи. Приятный бонус — звуковое оповещение при подключении.

Пытаемся подключиться по IP и 22 порту, используем значение member. В итоге получаем false message, а логи прилетают в консоль программы:

Как видишь, Pentbox имеет простой и наглядный функционал. Более продвинутые ловушки имеют намного больший функционал и могут одновременно работать с разными портами, показывать детальную статистику в реальном времени, а также оповещать при появлении новых атак или активности.


Ищем ловушки на Shodan

Важно понимать, что honeypot требует грамотной настройки иначе его можно просто взломать. Также нужно учитывать, что ловушки можно маскировать, как под сервера Nginx, так и операционные системы Windows XP. В не зависимости от портов, как было продемонстрировано выше.

  • Посмотрим, откровенно дефолтные настройки для популярных ловушек:
Welcome to HoneyPot FTP service.

Шодан запустил сервис, который позволяет оценить рейтинг ловушки. Достаточно ввести IP, чтобы оценить правдоподобность сервера. Все относительно и при грамотной конфигурации невозможно обнаружить приманку. Поэтому необходимо использовать инструменты для анонимизации.


Заключение

В последнее время существенно увеличилось количество honeypots. Многие компании размещают ловушки перед своим фаерволом чтобы отслеживать атаки, и попытки скомпрометировать систему. Только на GitHub опубликовано 406 проектов, которые позволяют поднимать фейковые ресурсы и логировать активность. Я рекомендую использовать инструменты для обеспечения базовой анонимности. Ведь никогда не знаешь, что может ждать тебя за стандартным баннером.

На сегодня это все! Береги себя и не забывай о анонимности. Спасибо за внимание.

Да, хочу!