Применение honeypot-технологий: выявление и анализ атак на бизнес-системы

По данным отчёта «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25» компании F6, наблюдается значительное увеличение числа APT-групп (Advanced Persistent Threat), атакующих Россию и страны СНГ: если в 2023 году их количество составляло 17, то в 2024 году оно возросло до 27. Авторы отчёта также отмечают рост общего числа кибератак в регионе.

Он обусловлен не только расширением цифрового ландшафта, но и активным использованием злоумышленниками технологий искусственного интеллекта, в частности таких нейросетей, как ChatGPT, Google Gemini, GigaChat и других. В результате этого атаки становятся сложнее, а методы их реализации — более изощрёнными.

Для борьбы с киберугрозами специалисты в области информационной безопасности совместно с DevOps-инженерами разворачивают системы класса Honeypot в инфраструктуре компании. Такая система представляет собой ложную слабозащищённую среду выполнения программного кода, которая предназначена для привлечения внимания потенциальных злоумышленников: как хакеров с небольшим опытом и навыками — хактивистов, инсайдеров и script kiddie, так и вредоносных ботов и опытных киберпреступников.

Данная система позволяет специалистам аналитических центров кибербезопасности изучать реализованные кибератаки, анализировать поведение хакеров, их инструменты, техники и тактики. Полученные знания в результате эксплуатации такой системы могут быть использованы как для укрепления защиты собственной инфраструктуры, так и для совершенствования средств защиты информации. Кроме этого, с помощью указанной системы могут быть обнаружены новые уязвимости CVE (Common Vulnerabilities and Exposures) и недостатки безопасности CWE (Common Weakness Enumeration).

Следует отметить, что одной из главных задач системы Honeypot является отвлечение внимания злоумышленников от уязвимых компонентов настоящей инфраструктуры. Не всегда удаётся оперативно устранять уязвимости, и некоторые системы могут вовсе не поддерживаться. Это грозит невозможностью исправления уязвимостей после атаки, а использование системы Honeypot предоставляет специалистам Blue Team дополнительное время и иные ресурсы, чтобы оперативно отреагировать на возникающие киберугрозы.

Такая система может быть реализована как отдельная служба, сервер с уязвимым приложением или даже целая инфраструктура. Например, Honeypot может быть реализована как отдельный сервер с веб-приложением, имитирующий корпоративный портал.С В целом это является важной отправной точкой для хакеров, желающих присвоить данные учётных записей доменных пользователей и получить доступ ко всей инфраструктуре компании.

Какие бывают ловушки и как они работают

Каждая Honeypot разрабатывается с учётом специфики угроз, которые необходимо исследовать или предотвратить. Перечислим самые известные виды.

1. Почтовые сервера направлены на выявление фишинговых писем. Такие Honeypot позволяют не только отлавливать вредоносные почтовые вложения, но и определять техники социальной инженерии.

2. Уязвимые службы, такие как ssh, telnet, обычно предназначены для выявления уязвимостей, характерных для этих сервисов. Также они предоставляют возможность изучать поведение злоумышленников, получивших доступ к системе на уровне ОС, что позволяет лучше понять техники и тактики разведки и атак внутри инфраструктуры.

3. Веб-приложения направлены на выявление целого спектра уязвимостей и неправильных конфигураций¸ начиная от неисправного контроля доступа (Broken Access Control) и заканчивая подделкой запросов на стороне сервера (Server-Side Request Forgery) [2]. Broken Access Control возникает, когда пользователь получает возможность работать вне предполагаемых разрешений.Server-Side Request Forgery становится возможным, когда веб-приложение не проверяет предоставленный URL (Uniform Resource Locator).

4. Сетевое физическое оборудование или сетевое виртуальное оборудование может быть развёрнуто для поиска уязвимостей, однако подобное практически не встречается.

Преимущества Honeypot

Honeypot является эффективным инструментом для выявления уязвимостей в существующей инфраструктуре, позволяя создать копию действующего компонента системы и выставить его напоказ как приманку для злоумышленников. Однако при использовании Honeypot необходимо учитывать связанные с этим риски: возможность утечки учётных данных пользователей, персональных данных и другой конфиденциальной информации. Кроме того, Honeypot предоставляет уникальную возможность для исследования поведения злоумышленников, включая анализ вредоносных вложений, вредоносного программного обеспечения, а также отслеживание подозрительных URL- и IP-адресов.

Недостатки Honeypot

Среди основных недостатков использования Honeypot можно выделить следующий: в случае обеспечения недостаточного уровня интерактивного взаимодействия ловушки злоумышленник может быстро распознать её как приманку и проигнорировать. Кроме того, если Honeypot плохо настроена с точки зрения изоляции, это может привести к тому, что злоумышленники получат возможность проникнуть в инфраструктуру компании через уязвимости, которые они обнаружат в системе. Поэтому важно тщательно настраивать и изолировать Honeypot, чтобы минимизировать риски для компании и повысить эффективность Honeypot в качестве инструмента для защиты от кибератак.

Наш опыт с Honeypot

Когда-то давным-давно, в далёкой-далёкой галактике у нас возникла идея изучить новые кибератаки, а также тактики и техники их реализации. Мы понимали, что современный мир стремительно меняется и вместе с ним меняется цифровой ландшафт, что приводит к эволюции киберугроз, которые становятся всё более сложными и разнообразными. Чтобы эффективно противостоять этим угрозам, необходимо не только накапливать знания о существующих атаках, техниках и тактиках их проведения, но и изучать новые, ранее неизвестные.

Для решения этой задачи мы решили развернуть тестовый сервер и создать необходимую инфраструктуру, способную привлечь злоумышленников с различным уровнем компетенций.

1. Сначала нужно было отделить физический сервер от основной инфраструктуры: предполагалось вынести сервер в отдельный VLAN (Virtual Local Area Network), но правильным шагом стало подключение его напрямую к МСЭ (межсетевой экран), который отделяет корпоративную сеть от остального мира.
2. После чего была развёрнута многофункциональная платформа Honeypot — T-Pot [3] на базе Docker-контейнеров в операционной системе (ОС) Ubuntu 24.04.1 Live Server.
3. Следующим шагом было определение сервисов. Ими стали ssh-сервер и веб-приложение.
4. Далее шёл проброс портов (Port forwarding) в настройках МСЭ. В данном случает Port forwarding — это процесс пересылки трафика, адресованного конкретному сетевому порту МСЭ, с сетевого узла внешней сети на конкретный сетевой порт сетевого узла во внутренней сети.

Рис. 1. Схема межсетевого взаимодействия после Port forwarding

• После выполнения настройки возникла необходимость проверить доступность сервисов из внешней сети, что и было сделано.

К вашему сведению, T-Pot в своём арсенале содержит более 20 Honeypot, начиная от простых уязвимых сервисов ssh и telnet и заканчивая полноценным веб-приложением с имитацией поведения системы, приближённой к реальной, где имитация поведения осуществляется с помощью технологий ИИ.

После настройки можно перейти к наблюдению за действиями злоумышленников, чтобы понять, кто именно и каким образом осуществляет атаки.

Рис. 2. Интерфейс T—Pot

По нашему опыту, за время функционирования системы Honeypot в среднем было зафиксировано от 150 до 200 тысяч атак в месяц. В результате наблюдений за злоумышленниками было установлено, что 76% атак осуществлялись ботами, 22% — малоквалифицированными хакерами, а оставшиеся 2% составляют серьёзные APT-атаки, выполненные высококвалифицированными специалистами.

Полученные в ходе эксплуатации системы Honeypot данные можно использовать для совершенствования средств защиты информации, включая разработку новых подходов и методов, правил корреляции, усовершенствование моделей поведения злоумышленников, что мы и будем делать далее.

А вы пользуетесь данной системой или узнали о ней впервые? Если вы только узнали о технологии Honeypot, то стоит отметить, что она действительно является мощным инструментом для защиты от киберугроз. Используя Honeypot, компании могут не только обнаруживать и анализировать атаки в режиме реального времени, но и совершенствовать свои системы безопасности на основе полученных данных. Если же вы уже знакомы с этой технологией, то, вероятно, стоит рассмотреть возможность её внедрения или оптимизации в вашей компании. Давайте вместе стоять на страже кибербезопасности и использовать такие эффективные решения, как Honeypot, для защиты от постоянно эволюционирующих угроз. Вместе мы можем создать более безопасную цифровую среду, где информация и ресурсы будут надёжно защищены от злоумышленников.

Статью подготовил Максим Мельник, инженер – аналитик компании «Газинформсервис».