セキュリティITスペシャリストの仕事の一部は、攻撃の試みの特性を評価するために後で分析するための情報を収集することにより、ハッカーが使用する攻撃の種類や手法について学ぶことです。この情報の収集は、活動が監視されていることを知らずに行動する潜在的な攻撃者の疑わしい活動を登録するように設計された餌またはおとりを介して行われることがあります。 ITセキュリティでは、これらの餌またはおとりは ハニーポット 。
ハニーポットとハニーネットとは何ですか:
に ハニーポット 実際には攻撃者の活動の記録者であるターゲットをシミュレートするアプリケーションである可能性があります。複数のサービス、デバイス、およびアプリケーションをシミュレートする複数のハニーポットは、 ハニーネット 。
ハニーポットとハニーネットは機密情報を保存しませんが、攻撃者がハニーポットに興味を持ってもらうために、偽の魅力的な情報を保存します。言い換えれば、ハニーネットは、攻撃手法を学習するために設計されたハッカートラップについて話しているのです。
ハニーポットには2つの利点があります。1つは、本番デバイスまたはネットワークを適切に保護するための攻撃を学習するのに役立ちます。次に、ハニーポットが本番デバイスまたはネットワークの隣にある脆弱性をシミュレートするようにすることで、ハッカーの注意をセキュリティで保護されたデバイスから遠ざけます。彼らは、悪用できるセキュリティホールをシミュレートするハニーポットがより魅力的であることに気付くでしょう。
ハニーポットの種類:
生産ハニーポット:
このタイプのハニーポットは、インフラストラクチャ内のシステムを攻撃するために使用される技術に関する情報を収集するために、実稼働ネットワークにインストールされます。このタイプのハニーポットは、ネットワークの正当なユーザーによる許可または禁止されたリソースへのアクセスの内部試行を検出するための特定のネットワークセグメント内のハニーポットの場所から、Webサイトまたはサービスのクローンまで、さまざまな可能性を提供します。餌としてオリジナル。このタイプのハニーポットの最大の問題は、正当なハニーポット間の悪意のあるトラフィックを許可することです。
開発ハニーポット:
このタイプのハニーポットは、ハッキングの傾向、攻撃者が望むターゲット、および攻撃の発信元に関する詳細情報を収集するように設計されています。この情報は、セキュリティ対策の実装に関する意思決定プロセスのために後で分析されます。
このタイプのハニーポットの主な利点は、生産とは反対です。ハニーポット開発ハニーポットは、研究専用の独立したネットワーク内にあります。この脆弱なシステムは本番環境から分離されており、ハニーポット自体からの攻撃を防ぎます。その主な欠点は、それを実装するために必要なリソースの数です。
攻撃者との相互作用レベルによって定義される3つの異なるハニーポットサブカテゴリまたは分類タイプがあります。
低相互作用ハニーポット:
ハニーポットは、脆弱なサービス、アプリ、またはシステムをエミュレートします。これは設定が非常に簡単ですが、情報を収集する際には制限があります。このタイプのハニーポットのいくつかの例は次のとおりです。
- ハニートラップ :ネットワークサービスに対する攻撃を監視するように設計されています。マルウェアのキャプチャに焦点を当てている他のハニーポットとは異なり、このタイプのハニーポットはエクスプロイトをキャプチャするように設計されています。
- ネフェンテス :考えられる攻撃に関する情報を収集するために、既知の脆弱性をエミュレートします。ワームが悪用して伝播する脆弱性をエミュレートするように設計されており、Nephentesは後で分析するためにコードをキャプチャします。
- HoneyC :さまざまなクライアントをエミュレートし、要求に応答するときにサーバーの応答を収集することにより、ネットワーク内の悪意のあるWebサーバーを識別します。
- HoneyD :は、異なるOSでの実行をシミュレートする任意のサービスを実行するように構成できるネットワーク内に仮想ホストを作成するデーモンです。
- Glastopf :Webアプリケーションに対する攻撃情報を収集するように設計された何千もの脆弱性をエミュレートします。設定は簡単で、検索エンジンによってインデックスが作成されると、それはハッカーにとって魅力的な標的になります。
ミディアムインタラクションハニーポット:
このシナリオでは、ハニーポットは情報のみを収集するようには設計されていません。これは、相互作用アクティビティを徹底的に登録しながら、攻撃者と相互作用するように設計されたアプリケーションです。攻撃者が期待する可能性のあるすべての回答を提供できるターゲットをシミュレートします。このタイプのいくつかのハニーポットは次のとおりです。
- カウリー:ブルートフォース攻撃とハッカーのシェルの相互作用を記録するsshとtelnetのハニーポット。 Unix OSをエミュレートし、プロキシとして機能して攻撃者のアクティビティをログに記録します。このセクションの後に、Cowrieの実装手順が記載されています。
- Sticky_elephant :PostgreSQLのハニーポットです。
- ホーネット :WordPressサイトの/ wp-adminなど、管理者向けのパブリックアクセスログインページを持つWebサイト向けに設計された偽のクレデンシャルプロンプトを備えたhoneypot-waspの改良版。
高相互作用ハニーポット:
このシナリオでは、ハニーポットは情報のみを収集するようには設計されていません。これは、相互作用アクティビティを徹底的に登録しながら、攻撃者と相互作用するように設計されたアプリケーションです。攻撃者が期待する可能性のあるすべての回答を提供できるターゲットをシミュレートします。このタイプのいくつかのハニーポットは次のとおりです。
- 傷 :HIDS(ホストベースの侵入検知システム)として機能し、システムアクティビティに関する情報を取得できます。これは、収集した情報をキャプチャしてサーバーに送信するハニーポットをLinux、Unix、およびWindowsに展開できるサーバークライアントツールです。
- HoneyBow :相互作用の少ないハニーポットと統合して、情報収集を増やすことができます。
- HI-HAT(高相互作用ハニーポット分析ツールキット) :PHPファイルを、情報の監視に使用できるWebインターフェイスを備えた相互作用の高いハニーポットに変換します。
- キャプチャ-HPC :HoneyCと同様に、専用の仮想マシンを使用してクライアントと対話し、不正な変更を登録することにより、悪意のあるサーバーを識別します。
以下に、中程度の相互作用のハニーポットの実用的な例を示します。
SSH攻撃に関するデータを収集するためのCowrieの展開:
前述のように、Cowrieは、sshサービスを標的とした攻撃に関する情報を記録するために使用されるハニーポットです。 Cowrieは、攻撃者が偽の端末にアクセスできるようにする脆弱なsshサーバーをシミュレートし、攻撃者のアクティビティを記録しながら攻撃の成功をシミュレートします。
Cowrieが偽の脆弱なサーバーをシミュレートするには、それをポート22に割り当てる必要があります。したがって、ファイルを編集して実際のsshポートを変更する必要があります。 / etc / ssh / sshd_config 以下に示すように。
sudo ナノ /NS/ssh/sshd_config行を編集し、49152〜65535のポートに変更します。
港22 
再起動して、サービスが正しく実行されていることを確認します。
sudosystemctl restartsshsudosystemctlステータスssh
次のステップに必要なすべてのソフトウェアをインストールし、DebianベースのLinuxディストリビューションで以下を実行します。
sudoaptインストール -とpython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbind行く 
以下のコマンドを実行して、cowrieという非特権ユーザーを追加します。
sudoユーザーを追加する--disabled-passwordタカラガイ 
DebianベースのLinuxディストリビューションでは、次のコマンドを実行してauthbindをインストールします。
sudoaptインストールauthbind以下のコマンドを実行します。
sudo 接する /NS/authbind/byport/22以下のコマンドを実行して、所有権を変更します。
sudo chownカウリー:カウリー/NS/authbind/byport/22権限の変更:
sudo chmod 770 /NS/authbind/byport/22 
としてログイン タカラガイ
sudo これはタカラガイカウリーのホームディレクトリに移動します。
CD〜以下に示すように、gitを使用してカウリーハニーポットをダウンロードします。
git clonehttps://github.com/micheloosterhof/タカラガイカウリーディレクトリに移動します。
CDタカラガイ/ 
ファイルからコピーして、デフォルトの構成ファイルに基づいて新しい構成ファイルを作成します /etc/cowrie.cfg.distからcowrie.cfg カウリーのディレクトリ内で以下に示すコマンドを実行することによって/
cpNS/cowrie.cfg.distなど/cowrie.cfg 
作成したファイルを編集します。
ナノNS/cowrie.cfg以下の行を見つけてください。
listen_endpoints = tcp:2222:インターフェース= 0.0.0.0以下に示すように、ポート2222を22に置き換えて、行を編集します。
listen_endpoints = tcp:22:インターフェース= 0.0.0.0 
nanoを保存して終了します。
以下のコマンドを実行して、Python環境を作成します。
virtualenvカウリー-env 
仮想環境を有効にします。
ソースカウリー-env/午前/活性化 
次のコマンドを実行して、pipを更新します。
ピップインストール -アップグレードピップ 
次のコマンドを実行して、すべての要件をインストールします。
ピップインストール -アップグレード者Requirements.txt 
次のコマンドでカウリーを実行します。
午前/カウリースタート 
ハニーポットが実行してリッスンしていることを確認します。
netstat -それで 
これで、ポート22へのログイン試行は、cowrieのディレクトリ内のファイルvar / log / cowrie /cowrie.logに記録されます。
前に述べたように、ハニーポットを使用して偽の脆弱なシェルを作成できます。カウリーには、シェルへのアクセスを許可するユーザーを定義できるファイルが含まれています。これは、ハッカーが偽のシェルにアクセスするために使用できるユーザー名とパスワードのリストです。
リストの形式を次の画像に示します。
以下のコマンドをcowriesディレクトリから実行することにより、テスト目的でカウリーのデフォルトリストの名前を変更できます。そうすることで、ユーザーはパスワードを使用してrootとしてログインできるようになります 根 また 123456 。
mvNS/userdb.exampleなど/userdb.txt 
以下のコマンドを実行して、Cowrieを停止して再起動します。
午前/カウリーストップ午前/カウリースタート
次に、に含まれているユーザー名とパスワードを使用してssh経由でアクセスしようとするテストを行います。 userdb.txt リスト。
ご覧のとおり、偽のシェルにアクセスします。そして、このシェルで行われたすべてのアクティビティは、以下に示すように、カウリーログから監視できます。
ご覧のとおり、Cowrieは正常に実装されました。あなたはカウリーについてもっと学ぶことができます https://github.com/cowrie/ 。
結論:
ハニーポットの実装は一般的なセキュリティ対策ではありませんが、ご覧のとおり、ネットワークセキュリティを強化するための優れた方法です。ハニーポットの実装は、セキュリティの向上を目的としたデータ収集の重要な部分であり、ハッカーの活動、技術、資格情報、およびターゲットを明らかにすることで、ハッカーを協力者に変えます。これは、ハッカーに偽の情報を提供するための手ごわい方法でもあります。
ハニーポットに興味がある場合は、おそらくIDS(侵入検知システム)が興味深いかもしれません。 LinuxHintには、それらに関する興味深いチュートリアルがいくつかあります。
- SnortIDSを構成してルールを作成する
- OSSEC(侵入検知システム)の使用を開始する
ハニーポットとハニーネットに関するこの記事がお役に立てば幸いです。 Linuxのヒントやチュートリアルについては、Linuxのヒントに従ってください。