Обнаружение угроз в сети с помощью Kfsensor Honeypot

Дата: 20.10.2020. Автор: Игорь Б. Категории: Статьи по информационной безопасности
Обнаружение угроз в сети с помощью Kfsensor Honeypot

В этой статье будет представлен особый фреймворк для привлечения внимания злоумышленников, чтобы пользователи могли поймать их и изучить их действия. Поскольку большинство злоумышленников по всему миру нацелены на сервера Windows для использования их дефектов и уязвимостей, был создан фреймворк Windows.

В начале работы пользователь установит Honeypot. Если оставить его активным и не выходить из программы, то человек сможет наблюдать за тем, как проводится подготовка и сама атака злоумышленника.

Знакомство с Honeypot

Honeypot маскируется под реальный сервер, чтобы обмануть атакующего и отвлечь его атаки. Поэтому Honeypot должен быть настроен так же, как и настоящий сервер, чтобы данные казались подлинными для злоумышленника. Он будет показывать ему поддельные файлы, порты и каталоги. Поскольку Honeypot создает иллюзию легитимности, злоумышленник будет склонен полагать, что он получил доступ к реальному серверу.

Одним из главных отличий является область, где находится машина при подключении к подлинным серверам. Замаскированная машина обычно установлена где-то в DMZ. Это гарантирует, что внутренняя система не будет доступна злоумышленнику. Honeypot работает таким образом, что он постоянно проверяет и контролирует действия нарушителя во время его атаки на сервер. Это происходит независимо от того, возникло ли нападение внутри системы или извне.

Honeypot обычно предназначен для просмотра действий нарушителя и создания запасных документов журнала. Он также записывает такие моменты, как начало атаки, важные изменения в системе и даже нажатие определенных клавиш.

Знакомство с KFSensor

KFSensor – это Honeypot системы Windows. Он также работает как IDS. Его задача – привлечь и вывести на чистую воду всех злоумышленников в сети, отсюда и его название («приманка»). Он делает это, имитируя уязвимую среду и маскируясь под сервер и IТ-путь. Таким образом, ему удается не только поймать злоумышленника, но и узнать его мотивы.

KFSensor был специально разработан для Windows, поэтому он содержит множество уникальных функций. Он довольно комфортен в использовании благодаря своей консоли на основе графического интерфейса, а также низкой стоимости обслуживания.

Работа KFSensor

Роль KFSensor состоит в том, чтобы быть сервером-приманкой для атакующих хакеров, чтобы защитить реальный сервер. Он отлично справляется со своей работой, создавая поддельные порты в системе, где он установлен, и собирая информацию при подключении к машине злоумышленника. Инструмент делает это точно так же, как и обычная серверная программа, такая как веб-сервер или SMTP-сервер. Таким образом, он устанавливает цель (сервер Honeypot), который будет записывать действия злоумышленника.

После загрузки и установки KFSensor, пользователь откроет программу и увидит следующее окно. Здесь следует нажать на кнопку «Next».

Обнаружение угроз в сети с помощью Kfsensor Honeypot

Затем инструмент попросит пользователя выбрать порты, как показано на рисунке ниже. После осуществления выбора портов нужно нажать на кнопку «Next».

Обнаружение угроз в сети с помощью Kfsensor Honeypot

Затем программа спросит пользователя, хочет ли он получать уведомления по электронной почте о предупреждениях об опасности для сервера в течение этого времени. Пользователь может добавить адрес электронной почты, с которого он будет отправлять сообщения, и адрес электронной почты, на который он хочет получать письма.

Обнаружение угроз в сети с помощью Kfsensor Honeypot

После этих формальностей пользователь нажмет на кнопку «Finish».

Обнаружение угроз в сети с помощью Kfsensor Honeypot

Как только пользователь нажмет на кнопку «Finish», будет показано следующее окно.

Обнаружение угроз в сети с помощью Kfsensor Honeypot

Теперь, когда Honeypot был настроен, если пользователь просканирует «будущую жертву» (которой и является Honeypot) с помощью Nmap, ему будут показаны все порты, открытые как «приманка» для злоумышленника. Читатели могут ознакомиться с полученным результатом на картинке ниже.

Обнаружение угроз в сети с помощью Kfsensor Honeypot

А KFSensor покажет детали сканирования вместе с IP-адресом. Он также будет отправлять сигналы тревоги, чтобы предупредить пользователя, если что-то пойдет не так.

Обнаружение угроз в сети с помощью Kfsensor Honeypot

Если злоумышленник использует любой другой инструмент для сканирования сети, например Nessus, все равно KFSensor будет работать таким же образом.

Например, если атака происходит с помощью Nessus, как показано на рисунке ниже, то пользователь увидит следующее:

Обнаружение угроз в сети с помощью Kfsensor Honeypot

Когда атака с помощью Nessus будет завершена, злоумышленник получит ненастоящие данные, как можно заметить на изображении ниже:

Обнаружение угроз в сети с помощью Kfsensor Honeypot

И точно так же KFSensor предупредит пользователя о происходящем, как показано на рисунке ниже:

Обнаружение угроз в сети с помощью Kfsensor Honeypot

Таким образом, KFSenor – это прекрасный способ обнаружить и сбить с толку злоумышленника, чтобы защитить свою систему и личные данные.

Автор переведенной статьи: Shubham Sharma.

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *