Pull to refresh

Что такое honeypot и от чего защищать виртуальные ИС?

Код Безопасности corporate blog
Хочется написать пару слов о том, что, оказывается, есть такие решения для защиты информации, которые еще в новинку для многих российских компаний. То ли в силу своей нераскрученности, то ли в силу того, что все новое в России появляется позднее, чем во всем остальном мире, но это так.

Хотя, казалось бы, что еще такого нового можно придумать в области ИБ? Перечень ИБ решений и технологий, программных и аппаратных, уже давно всем известен и понятен. Но, как показывает опыт «Кода Безопасности», еще есть технологии и программные решения на их основе, которые только набирают обороты в плане использования в российских компаниях. То есть «неизведанные зоны» на карте технологий защиты информации для российских компаний все еще остались.
Читать дальше →
Total votes 6: ↑2 and ↓4 -2
Views 4.9K
Comments 3

Первый случай конфискации биткоинов

Information Security *Payment systems *
Управление по контролю за распространением наркотиков США сообщило о конфискации биткоинов, принадлежащих Эрику Дэниелю Хьюзу (Eric Daniel Hughes), поскольку эта собственность была «приобретена либо потрачена незаконным путём», а именно — за счёт продажи или покупки незаконных веществ.

В информационном сообщении указано, что округ Южной Каролины 12 апреля 2013 года конфисковал 11,02 BTC с адреса 1ETDwGUC1QcjYuehFr3u1FD3MvDaUs7SFy.

Судя по всему, это первый случай, когда биткоины изъяли по официальной процедуре. История транзакций показывает, что 11,02 BTC были получены на указанный адрес 12 апреля и потрачены 17 апреля. По мнению экспертов, в данном случае конфискация, скорее всего, была осуществлена в результате спецоперации на подпольной бирже Silk Road. Управление по контролю за распространением наркотиков США могло открыть подставной аккаунт (honeypot), после чего конфисковало полученные от покупателя монеты.
Читать дальше →
Total votes 46: ↑36 and ↓10 +26
Views 25K
Comments 43

Сражаясь с анонимностью

Information Security *
Тема анонимности в Интернете является сейчас достаточно модной и интересной, и особенно теперь, когда новостные порталы пугают наc всякими там PRISM, правительственными инициативами и прочим. Большинство людей озабочены тем, как сохранить тайну своей личности в сети и поэтому все темы так или иначе посвящены ЗАЩИТЕ. Но иногда, раскрытие анонимности это не такое уж и плохое дело. Да-да, эта заметка — мой опыт борьбы с анонимностью своими силами, без помощи спец-служб…

image

Читать дальше →
Total votes 253: ↑238 and ↓15 +223
Views 152K
Comments 61

Сайт UploaderTalk оказался антипиратской ловушкой

Information Security *
Владелец форума UploaderTalk закрыл сайт и опубликовал неожиданное откровение. Он признался, что в течение 12 месяцев работал на антипиратские корпорации и собирал сведения обо всех пользователях, которые раздавали нелицензионные файлы, о пиратских хостингах и компаниях, которые способствуют распространению нелицензионных файлов. Собственно, для этого и был основан UploaderTalk.

Форумы UploaderTalk были посвящены заработку на раздаче файлов через файлохостинги. Участники обсуждали, где лучше публиковать файлы, какие тарифы у разных компаний и тому подобные профессиональные темы.
Читать дальше →
Total votes 112: ↑103 and ↓9 +94
Views 64K
Comments 62

Телнет и ботнет

System administration *IT Infrastructure **nix *

Недавняя крупнейшая DDoS атака на DNS-серверы компании Dyn на Хабре не прошла незамеченной. Особенностью этого блэкаута стала широкое применение http запросов c IoT устройств и открытый 23-й tcp порт, используемый службой telnet.





Оказывается, телнет жив и хорошо устроился на встроенных системах и приманках. По злому-ли умыслу или человеческому недомыслию что это, глупость или измена? telnet порт был открыт и вовсю гадил у огромного количества IoT устройств, за несколько месяцев до блэкаута, но контр-мер не принимали, пока гром не грянул.

AYT 246 are you there?
Total votes 14: ↑14 and ↓0 +14
Views 29K
Comments 12

И так сойдёт… или Дыра как средство защиты

Information Security *System administration *System Analysis and Design *Server Administration *


По мотивам "И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках"...


Статья, которую вы сейчас читаете, вовсе не ответ на вышеозвученный пост. Это будет скорее попытка показать что уже сейчас иногда делается, и что вообще можно сделать в области информационной безопасности, если немного отойти от общепринятых канонов при защите систем.


И чтобы расставить все точки над E, — я вовсе не пытаюсь оценить или как-то обелить "ответственные" лица, что с одной, что с другой стороны.


Я скорее просто попробую объяснить другой (возможно новый для некоторых читателей) концептуальный подход на примерах, в том числе и касающихся той статьи.


Кстати, то что в ней не всё или скорей всего возможно не совсем всё правда, "реальному хакеру" видно невооруженным глазом.


Например прочитав "Утащил базу весом 5 Гб… сколько времени это качалось. Вы думаете, кто-то заметил?" я лишь усмехнулся и продолжил чтение (ибо ИМХО некоторое преувеличение допускается в такого рода статьях).


Хотя автор и сам признал что он немного лгунишка апдейтом в конце статьи.


конечно же, никакой базы у меня нет, на протяжении 3-х дней я эмулировал скачивание ...

Теперь почему это очевидно/вероятно (даже не принимая другие типовые ограничения во внимание):

Читать дальше →
Total votes 44: ↑24 and ↓20 +4
Views 13K
Comments 43

Cuckoo 2.0. Собираем лучшую open source платформу анализа вредоносных файлов

Information Security *Open source *System administration *Antivirus protection *Virtualization *
Tutorial

Cuckoo Sandbox logo
Приветствую Хабр!


4 года назад я публиковал инструкцию по сборке платформы динамического анализа вредоносных файлов Cuckoo Sandbox 1.2. За это время проект успел обрасти внушительным функционалом и огромным комьюнити, недавно обновившись до версии 2.0, которая больше полутора лет висела в стадии Release Candidate.


Я наконец-то подготовил для вас полнейший мануал по сборке Cuckoo Sandbox 2.0.5 со всеми плюшками, какие есть в проекте на данный момент, с упаковкой Cuckoo в venv и без использования root, добавив более 12-ти security утилит в песочницу! По совокупности собранного материала, не побоюсь сказать: "Это самый полный и выверенный шаг в шаг гайд из всех опубликованных в интернете на данный момент". Тем кто, осилит статью до конца — дам маленький совет, что делать, когда песочница собрана и как получить максимальный профит с автоматизации процессов ИБ своими сиилами с помощью опенсорса. Всем гикам, вирусным аналитикам, безопасникам, ребятам из SOC, CERT, CSIRT и просто любителям потыкать кнопки в терминале — добро пожаловать под кат!

Читать дальше →
Total votes 17: ↑16 and ↓1 +15
Views 40K
Comments 6

Фальшивая конференция по компьютерной безопасности

Information Security *


Странно, но в этом году запланировано две Международные конференции по компьютерной безопасности ICCS 2016. Одна из них настоящая, а другая выглядит очень подозрительно.

Научному сообществу не привыкать иметь дело с фальшивыми «научными» журналами, которые берут деньги за публикации, но не проводят рецензирование и редактуру статей. В печать можно отдать бессмысленный набор слов — и его опубликуют.

Судя по всему, такая же история происходит с научными конференциями. В данном случае — по компьютерной безопасности. На сомнительную конференцию обратил внимание Ричард Клейтон, специалист по компьютерной безопасности из Кембриджа.
Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Views 13K
Comments 21

Honeypot- логгер на nodejs и tcpdump

Information Security *
Sandbox
Всем привет. Недавно тов. R_Voland рассказал о своём http ханипоте. Он меня и вдохновил к написанию этого поста. Но в этом случае, будем ловить все tcp и udp сканы, а не только http. Запросы будем ловить с помощью tcpdump.

Для tcp ловим только syn пакеты:

tcpdump -n "tcp[tcpflags] & (tcp-syn) != 0"

Для udp все входящие udp пакеты

 tcpdump -n inbound and udp

В теории вывод от tcpdump'а можно перенаправить в файл и дальше парсить его по необходимости, но я ещё тот извращенец, поэтому напишем сервис на nodejs, который будет слушать tcpdump и сохранять результаты в mysql базу.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 4.4K
Comments 4

Реализация honeypot на маршрутизаторах Cisco

Information Security *Cisco *Network technologies *
Sandbox


Пришла в голову мысль сделать на маршрутизаторе Cisco некое подобие известного пакета fail2ban, используя средства только самого маршрутизатора.

Работает это так. В списке доступа, прикреплённом к интерфейсу граничного интернет-маршрутизатора, создаются правила-ловушки. Когда правило срабатывает, в лог записывается событие. Каждая строка такого события содержит специальную метку, чтобы их легче было отобрать. Лог анализируется, и все попавшие в ловушку IP адреса заносятся в специальную объектную группу. Эту группу можно использовать в том же списке доступа, чтобы забанить доступ злоумышленникам уже ко всем IP адресам и портам нашей сети.

Для понимания этой статьи нужно знать, что такое списки доступа (access lists), и для чего они нужны, а также знать, как использовать в списках доступа объектные группы (object-group).
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 6.1K
Comments 10

Security Week 43: тайная жизнь IoT-ханипотов

«Лаборатория Касперского» corporate blog Information Security *
«Лаборатория Касперского» выпустила новое исследование атак на IoT-устройства, в котором достаточно подробно описаны как методы сбора информации о подобных атаках, так и результаты. Статистика собирается с так называемых «ханипотов — устройств, которые с разной степенью достоверности изображают для атакующих настоящий роутер, IP-камеру или что-то еще. Основные цифры исследования приведены в этой новости: в среднем на каждый ханипот производилось 20 тысяч атак каждые 15 минут. Всего за первую половину 2019 года было зафиксировано 105 миллионов атак только по протоколу Telnet, но исходила вредоносная активность всего с 276 тысяч IP-адресов.



Чаще всего атаки инициировались с хостов, расположенных в Китае, Бразилии, а также в Египте и России. Количество уникальных IP-адресов по сравнению с прошлым годом снизилось, при этом интенсивность атак выросла: некоторые зараженные устройства настраиваются так, что постоянно отправляют запросы, пытаясь расширить сеть зомби-IoT. Под атаками в исследовании понимаются как сложные попытки взлома с применением эксплойтов, так и примитивный перебор паролей.
Total votes 12: ↑12 and ↓0 +12
Views 2.4K
Comments 1

Как ханипоты деанонимизируют хакеров и онлайн-мошенников

Varonis Systems corporate blog Information Security *System administration *Antivirus protection *Network technologies *
Translation


Ханипот – это утилита, которая служит в качестве приманки, и представляет с виду соблазнительную цель для атакующего и искушает его к раскрытию самого себя. В то время как продвинутые ханипоты спроектированы для более простого обнаружения и изучения типов атак, используемых хакерами в естественных условиях, современные ханипоты на основе URL-отслеживания развились до гибкого и удобного для пользователя инструмента, который часто используют обычные люди для выявления онлайн-мошенников.
Читать дальше →
Total votes 11: ↑9 and ↓2 +7
Views 10K
Comments 0

Невыразимо привлекателен: как мы создали ханипот, который нельзя разоблачить

Trend Micro corporate blog Information Security *
image
Антивирусные компании, ИБ-эксперты и просто энтузиасты выставляют в интернет системы-приманки — ханипоты, чтобы «поймать на живца» свежую разновидность вируса или выявить необычную хакерскую тактику. Ханипоты встречаются так часто, что у киберпреступников выработался своеобразный иммунитет: они быстро выявляют, что перед ними ловушка и просто игнорируют её. Чтобы исследовать тактику современных хакеров, мы создали реалистичный ханипот, который в течение семи месяцев жил в интернете, привлекая самые разные атаки. О том, как это было, мы рассказали в нашем исследовании «Caught in the Act: Running a Realistic Factory Honeypot to Capture Real Threats». Некоторые факты из исследования — в этом посте.
Читать дальше →
Total votes 32: ↑32 and ↓0 +32
Views 13K
Comments 17

Honeypot vs Deception на примере Xello

TS Solution corporate blog Information Security *System administration *Network technologies *

На Хабре уже есть несколько статей про технологии Honeypot и Deception (1 статья, 2 статья). Однако, до сих пор мы сталкиваемся с непониманием разницы между этими классами средств защиты. Для этого наши коллеги из Xello Deception (первый российский разработчик Deception платформы) решили подробно описать отличия, преимущества и архитектурные особенности этих решений.

Разберемся что же такое ханипоты и десепшены:

Читать далее
Total votes 20: ↑19 and ↓1 +18
Views 7.7K
Comments 1

Подробное руководство по Honeypot

AlexHost corporate blog Information Security *Habr
Translation


Honeypots – оборудование или ПО, которые специально развертываются отделами безопасности для изучение угроз. Ханейпот служит приманкой для сбора информации о злоумышленнике и защиты реальной целевой системы. Данный принцип был в основе и первых технологий Deception. О различиях DDP и Honeypots детально написано здесь.


Содержание:


  • Что такое Honeypots?
  • Классификация Honeypots
    • По уровню взаимодействия:
      • Приманки с низким уровнем взаимодействия
      • Приманки с средним уровнем взаимодействия
      • Приманки с высоким уровнем взаимодействия
      • Чистые приманки
    • По развертыванию:
      • Производственные приманки
      • Исследовательские приманки
    • По технологии обмана:
      • Приманки для вредоносного ПО
      • Email приманки
      • Приманки в виде баз данных
      • Приманки для «пауков»
      • Приманки для спама
      • Honeynets
  • Установка и работа Honeypots
    • Windows: HoneyBOT
    • Android: HosTaGe
    • Linux: Pentbox


Что такое Honeypots?


Honeypots – это тип интернет-ресурсов безопасности, которые используются в качестве наживки для злоумышленников, чтобы побудить их вторгнуться в сеть для любого незаконного использования. Такие приманки обычно настраиваются для изучения активности злоумышленника в сети, чтобы создавать более надежные средства защиты. Honeypot не несут никаких ценных данных, так как это поддельный хост, который помогает регистрировать сетевой трафик.


Типы данных, которые собирают приманки:


  • Сочетания клавиш вводимые злоумышленником
  • IP-адрес злоумышленника
  • Имена пользователей и различные привилегии, используемые злоумышленником.
  • Данные, к которым злоумышленник:
    • получил доступ
    • удалил
    • изменил

Классификация Honeypots

Читать дальше →
Total votes 8: ↑5 and ↓3 +2
Views 17K
Comments 4

Honeypot на RouterOS

Information Security *System administration *Network technologies *
Tutorial

Одним из способов обеспечения информационной безопасности сетевых ресурсов является организация специально подготовленных для легкого взлома «бочонков с медом», детектирования ими угроз, выявления и анализе соответствующих сигнатур с последующей своевременной блокировкой злоумышленников. В статье описано создание honeypot программными средствами от компании MikroTik.

Читать далее
Total votes 2: ↑2 and ↓0 +2
Views 14K
Comments 4

Кто копает под мой MikroTik?

RUVDS.com corporate blog Information Security *Server Administration *

В статье обобщены результаты работы honeypot на базе Cloud Hosted Router от MikroTik, поднятого на ресурсах отечественного провайдера RUVDS.com и намеренно открытого для посещения всему интернету. Устройство подвергалось многократному взлому со стороны известной с 2018 года малвари Glupteba. Полученные данные свидетельствуют о прекращении ее активного функционирования, однако отдельные зомби хосты продолжают существовать на бесконечных просторах цифровой сети и вмешиваться в работу слабо защищенных устройств на базе операционной системы RouterOS.
Читать дальше →
Total votes 60: ↑60 and ↓0 +60
Views 27K
Comments 42

Et tu, Brute? Что хотят от нас брутфорсеры?

Selectel corporate blog Information Security *IT Infrastructure *Server Administration *C *
✏️ Technotext 2021

Каждый владелец сервера с «белым» IP-адресом наблюдал в логах бесчисленные попытки подключиться к серверу по SSH с разных точек мира. Администраторы ставят средства противодействия, такие как fail2ban, переносят SSH на другие порты и всячески пытаются защититься от брутфорсеров. Но чего же хотят эти замечательные люди от наших серверов?

Поверхностный ответ, конечно, прост: наживы на бесплатных вычислительных ресурсах и полученных чувствительных данных. Но этот ответ недостаточно подробный. Давайте разложим виртуальные «приманки» и проследим, что происходит, когда автоматический брутфорс оказывается успешным.
Читать дальше →
Total votes 84: ↑84 and ↓0 +84
Views 15K
Comments 32

Бесплатный сыр в Docker — как поднять сотни сетевых ловушек на одной машине

Бастион corporate blog Information Security *System Analysis and Design *Virtualization *Network technologies *


Привет, Хабр! На связи Бастион. Мы занимаемся информационной безопасностью и, в том числе, разрабатываем систему предупреждения о вторжениях. В этом посте мы расскажем, зачем нужна такая защита, как поднять на одном компьютере сотни фейковых сервисов и превратить их в сетевые ловушки. И почему этого недостаточно, чтобы чувствовать себя в безопасности.

Читать дальше →
Total votes 28: ↑28 and ↓0 +28
Views 13K
Comments 23

Внедрение агентов и конфликт с антивирусами — как мы делаем собственную Deception-систему, и как она работает

Бастион corporate blog Information Security *System Analysis and Design *Network technologies *Software

На старте проекта у нас были: пять разработчиков, большая идея, перспективная технология и очень смутное представление о том, как должен выглядеть конечный продукт.



Уже больше двух лет мы разрабатываем Bastion Security Platform. В прошлой статье мы рассказали, как научились создавать дешевые сетевые ловушки в больших количествах. Но ловушки — всего лишь базовый компонент эффективной сетевой защиты.


Сегодня мы расскажем, как сделали из них полноценный продукт. Ведь Deception-система — нечто большее, чем набор ловушек, которые детектируют соединения и сообщают о вторжении.

Читать дальше →
Total votes 19: ↑18 and ↓1 +17
Views 2.7K
Comments 2
1