Обзор наиболее эффективных OpenSource-ловушек и фреймворков по их мониторингу и управлению

Сегодня, по нашим подсчётам, на GitHub можно найти более 4 000 проектов Open Source-ловушек. Они различаются уровнем интерактивности, количеством поддерживаемых протоколов, возможностями развёртывания и конфигурации. Чтобы выбрать подходящий под ваши задачи проект, потребуются значительные временные и человеческие ресурсы.

Наша команда провела исследование самых популярных Open Source-ловушек. Мы выделили наиболее эффективные из них, отметили их основные преимущества и недостатки.

Ловушки

1. HONEYD — низкоинтерактивный ханипот, который умеет имитировать различные операционные системы (Linux, Windows, MacOS), выдавать ответы на shell-команды и способен подменять SSH-баннеры.

Honeyd является утилитой для запуска множества виртуальных устройств в сети. Виртуальное устройство позволяет задетектировать UDP/TCP/OCMP-активность. Основной недостаток — устройства будут иметь один MAC-адрес, что влияет на их правдоподобность.

Для перенаправления трафика от виртуальных устройств к серверу-ловушке используется arpd, который работает на основе протокола ARP (Address Resolution Protocol). Основное достоинство — может подменять баннеры SSH и пробы Nmap, что позволяет обманывать различные сканеры в сети.

Honeyd собирает ограниченное количество информации о хакере (IP-адреса, данные о входе в систему и вводимые команды), что делает его менее привлекательным для анализа техник и тактик злоумышленника. Данный проект подойдёт для знакомства с концепцией киберобмана и учебных целей.  

Поддерживаемые протоколы:

• SSH
• FTP
• HTTPS
• TELNET
• OS
• MTP

Ссылка на GitHub: https://github.com/DataSoft/Honeyd

2. COWRIE — один из самых популярный среди Open Source SSH/Telnet-ханипотов.

Cowrie позволяет эмулировать различные уязвимые службы и неправильные конфигурации SSH-сервисов, а также файловые системы, которые могут содержать реалистичные файлы и каталоги. Эти возможности ханипота могут быть полезны для исследователей по безопасности.

Cowrie имеет свою файловую систему (pickle), которая позволяет создавать ложную структуру с правдоподобными названиями файлов, свойственными организации. Также ханипот записывает действия злоумышленника (выполненные команды, попытки входа в систему и действия по манипулированию файлами) во время его взаимодействия с ловушкой. При инциденте он отправляет уведомления на почту, телеграм и другие мессенджеры. Может быть расширен какими-то своими кастомными интеграциями.

Также Cowrie взаимодействует со злоумышленниками, используя поддельные учётные данные, команды и ответы, создавая иллюзию реальной системы.

Является монолитным Python-приложением с продуманной архитектурой и возможностями доработки (поддерживает использование плагинов и пользовательских конфигураций).

Cowrie можно использовать для изучения методов атак злоумышленника и в качестве дополнительного уровня мониторинга событий безопасности.

Поддерживаемые протоколы:

• SSH
• SFTP
• SCP
• TELNET

Ссылка на GitHub: https://github.com/cowrie/cowrie

3. DIONAEA — промежуточное звено между ханипотом и фреймворком.

Основное применение — обнаруживать вредоносное ПО (заманивая в ловушки) и проверять его в изолированной среде с помощью библиотеки (libemu). Таким образом компании могут получить сэмплы вредоносного программного обеспечения (ВПО).

Dionaea собирает следующую информацию: IP-адреса, местоположение удалённого узла, используемые учётные данные для входа в систему, время и частоту попыток подключения, а также загруженные или скачанные файлы.

Все ханипоты в составе Dionaea пишут свои логи и отправляют сообщения в разных форматах, что требует написания нормализаций. Также он создаёт большое количество сообщений при сканирование сети.

Поддерживаемые протоколы:

• SMB
• FTP
• HTTPS
• TELNET
• MongoDB
• MSSQL
• MySQL
• DNS
• PPTP
• TFP
• MQQT
• MEMCACHE
• BLACKHOLE
• SIP
• NTP

Ссылка на GitHub: https://github.com/DinoTools/dionaea

Фреймворки по управлению и мониторингу ловушек

С ростом количества ловушек возникает вопрос о том, как проводить их мониторинг и управлять ими. На просторах GitHub есть специальные фреймворки, которые решают эти задачи.

4. HONEYTRAP — фреймворк для управления ханипотами с низким и высоким уровнем интерактивности, который уже содержит в себе коллекцию различных ханипотов. Подключение внешних сильно ограничено.

Поддерживает скриптовые языки (Lua, Python, Ruby) для создания пользовательского поведения и ответов от ханипотов. 

Архитектура фреймворка представляет собой центральный сервер управления и агенты для перенаправления трафика, которые устанавливаются на реальные серверы в сети. Имеет три режима работы: режим сенсора, режим высокого и низкого взаимодействия. Первый просто обнаруживает вредоносный трафик. В режиме низкого взаимодействия на запросы будут реагировать предопределёнными ответами по умолчанию. В режиме высокого взаимодействия ловушки используют реальные виртуальные машины или контейнеры (использует LXC для поднятия контейнеров, при неправильной настройке которой позволяет получить root-доступ к хостовой машине).

Ссылка на GitHub: https://github.com/honeytrap/honeytrap

5. T–POT — фреймворк для гибкого развёртывания большого количества Open Source-ханипотов и управления ими.

T-pot запускает все ханипоты в докер-контейнерах. Это позволяет ограничивать каждую ловушку в пределах его собственной среды, а также разворачивать несколько ловушек на одном сетевом интерфейсе. Управлять всеми ловушками можно централизованно из единого веб-интерфейса.

Решение использует различные инструменты для сбора, мониторинга и анализа данных: Cockpit, Cyberchef, Elasticsearch, Fatt, Spiderfoot, Suricata. Подробнее о них можно почитать в документации на странице проекта.

Основной недостаток T-pot — его нестабильность. Решение содержит в себе все возможные Open Source-проекты ловушек, которые написаны разным языками программирования. В них заложены различные архитектурные возможности.

Кроме того, могут возникнуть проблемы с масштабируемостью, поскольку фреймворк требует значительных вычислительных ресурсов для его установки и время для разворачивания и конфигурации ханипотов. 

Ссылка на GitHub: https://github.com/telekom-security/tpotce

6. Modern Honey Network (MHN) — более гибкий и простой в управлении фреймворк (по сравнению с T-pot) для автоматизации процессов конфигурации и мониторинга ханипотов, а также получения от них информации об угрозах.

У решения продуманная архитектура, которая позволяет разворачивать ловушки и гибко управлять ими как внутри периметра, так за пределами организации. MHN состоит из сенсоров — Open Source-ханипотов. Они отправляют все события в hp-feeds (легковесная publisher-subscriber очередь), что позволяет поддерживать большое количество одновременно запущенных ханипотов. Для визуализации и отрисовки графа атаки используется модуль honeymap.

Решение имеет собственный нормализатор (Mnemosyne), который способен привести разные аутпуты в единый формат перед сохранением в базу данных. Данные хранятся в Mongodb. Сервис REST API используется для интеграции с внешними системами.  

Ссылка на GitHub: https://github.com/pwnlandia/mhn

Системы киберобмана

С развитием ландшафта киберугроз и инструментов для компрометации сетей компаний подход обмана хакеров развился в современные системы киберобмана или решения класса DDP (Distributed Deception Platform). Они позволяют управлять распределёнными приманками (о них мы поговорим в другой статье) и ловушками внутри сети предприятия (в чём отличие ловушек или ханипотов от DDP мы рассказали ранее в статье «Deception VS Honeypot»).

7. DEJAVU — один из первых представителей deception-фреймворков с открытым исходным кодом. Как и другие фреймворки, использует Open Source-ловушки и докер-контейнеры для их запуска.  

Одним из преимуществ DejaVu является применение единой платформы для создания различных VLAN-ов, к которым подключаются выбранные протоколы и докер-контейнеры с ханипотами.

Позволяет разворачивать приманки, которые устанавливаются на реальные хосты пользователей и серверы организации (но из коробки поддерживает только небольшое их количество).

Ссылка на GitHub: https://github.com/bhdresh/Dejavu