Міністерство освіти і науки України Донецький

національний університет імені Василя Стуса Факультет

інформаційних та прикладних технологій Кафедра
інформаційних технологій.

Реферат
на тему:

Аналіз ресурсу безпеки Honeypot.

Підготував студент:
Яринюк Богдан Олександрович

Вінниця, 2021

Зміст
ВСТУП 3
1 Коротко про Honeypot. 4
1.1 Плюси кіберпасток. 4
1.2 Мінуси кіберпасток . 5
3 Архітектури Honeypot. 5
4 Коли з’явилися Honeypots. 7
5 Класифікація Honeypots. 7
5.1.1 Приманки з низьким рівнем взаємодії 7
5.1.2 Приклад інструменту із середнім рівнем взаємодії: 8
5.2.1 Виробничі приманки 8
5.2.2 Дослідницькі приманки 8
6 Приклад Роботи HoneyBOT 9
7 Висновок 11
Література 12

ВСТУП
Honeypots – це тип інтернет-ресурсів безпеки, які використовуються як наживка
для зловмисників, щоб спонукати їх вторгнутися до мережі для будь-якого
незаконного використання. Такі приманки зазвичай налаштовуються вивчення
активності зловмисника у мережі, щоб створювати більш надійні засоби
захисту. Honeypot не несуть жодних цінних даних, оскільки це підроблений
хост, який допомагає реєструвати мережевий трафік.
Приманка імітує комп'ютерну систему з додатками та даними, і кіберзлочинці
сприймають її як справжню. Наприклад, honeypot може імітувати систему для
виставлення рахунків клієнтам компанії. Це популярна мета серед
кіберзлочинців, які бажають отримати номери кредитних карток. За хакерами,
що потрапили в пастку, можна спостерігати, щоб, вивчивши їхню поведінку,
створити більш ефективні способи захисту справжніх систем.
Щоб зробити пастки привабливішими для зловмисників, їх навмисне роблять
уразливими. Наприклад, використовують порти, які можна знайти за
допомогою сканування, або ненадійні паролі. Вразливі порти часто залишають
відкритими: так зростають шанси, що приманка спрацює і злочинець
відвернеться від захищених реальних мереж.
1 Коротко про Honeypot
Приманка – не антивірус і мережевий екран, вона допомагає вирішувати
конкретні проблеми безпеки. Це швидше інформаційний інструмент, який
допомагає вивчити наявні та виявити нові загрози. Використовуючи зібрані
дані, можна пріорітізувати проблеми та правильно розподілити ІБ-ресурси.
Кіберпастки - хороший спосіб знайти вразливість важливих систем. Наприклад,
пастка може не лише продемонструвати, наскільки небезпечні атаки на
пристрої інтернету речей, а й підказати, як можна посилити захист.
Є кілька причин використовувати пастки, замість того, щоб намагатися виявити
атаки на справжню систему. Так, у пастці за визначенням може бути легітимної
активності – будь-які зафіксовані дії, швидше за все, є спробою прозондувати
систему чи зламати її.
Можна легко виявити закономірності (наприклад, схожі або походять з однієї
країни IP-адреси), що свідчать про прочісування Мережі. Такі ознаки атаки
легко втратити на тлі звичайного інтенсивного трафіку у вашій опорній мережі.
Великий плюс пасток у тому, що ви навряд чи зафіксуєте щось, крім шкідливих
адрес, що спрощує виявлення атаки.
Крім того, кіберпастки споживають дуже мало ресурсів та трафіку. Їм не
потрібне потужне обладнання – для встановлення пастки підійдуть старі, нікому
не потрібні комп'ютери. Що стосується ПЗ, в онлайн-репозиторіях можна знайти
готові пастки, щоб не витрачати час та сили співробітників на їх створення та
запуск.
Також кіберпастки дають мінімум хибнопозитивних спрацьовувань, на відміну
від традиційних систем виявлення вторгнень (IDS). Знову ж таки, це допомагає
фокусувати зусилля на важливих проблемах і не марнувати ресурси. (До речі,
зіставляючи зібрані пасткою дані з даними журналів системи та мережевого
екрану, можна налаштовувати IDS на пошук найбільш релевантних загроз, щоб
знизити кількість хибнопозитивних спрацьовувань. Таким чином, пастки
допомагають удосконалювати інші системи кібербезпеки.)
Плюси та мінуси кіберпасток
2.1 Плюси пасток
Кіберпастки формують докладне уявлення про розвиток загроз, вектори атак,
експлойти та шкідливе ПЗ, а пастки для спаму – також про спамери та фішингові
кампанії. У той час як злочинці постійно відточують свої методи, пастки
допомагають виявляти нові загрози і вторгнення. Грамотно використовуючи
пастки, можна усунути сліпі зони системи кібербезпеки.
Також пастки – чудовий тренажер для співробітників ІБ-відділу, які можуть у
контрольованому середовищі безпечно вивчати методи кіберзлочинців та різні
типи загроз. Вони можуть повністю зосередитися на атаках, не відволікаючись
на справжній трафік.
Пастки допомагають упоратися і з внутрішніми загрозами. Більшість організацій
займаються захистом периметра від проникнень ззовні. Але якщо зосередитися
тільки на периметрі, зловмисник, що пройшов мережевий екран, зможе
розгорнути повномасштабну діяльність усередині мережі.
Мережевий екран не врятує і в тому випадку, якщо, наприклад, працівник
вирішить вивільнити файли перед звільненням. Пастка не тільки повідомить
цінну інформацію про внутрішні загрози, але й покаже вразливості, наприклад,
дозволи, що відкривають доступ до системи для сторонніх.
Нарешті, встановивши пастку, ви допоможете користувачам. Чим довше хакери
будуть зайняті приманкою, тим менше часу у них залишиться на злом справжніх
систем і тим менші збитки вони завдадуть вам чи комусь ще.

2.2 Мінуси пасток

Хоча пастки допомагають удосконалювати заходи кібербезпеки, вони фіксують
тільки активність, яка націлена на них. У той же час, під прицілом зловмисників
може опинитися не пастка, а справжня система. Тому важливо стежити за
новинами IT-безпеки, не покладаючись тільки на приманки.
Хороша, правильно налаштована пастка змусить хакера думати, що він отримав
доступ до реальної системи. У ній все буде, як у житті: ті ж попередження про
вхід у систему та вікна введення даних, таке ж оформлення та логотипи. Однак
якщо зловмисник зрозуміє, що це фальшивка, він її не чіпатиме, а атакує інші
ваші системи.
Розпізнавши пастку, злочинець може провести помилкову атаку, щоб
відвернути увагу від справжнього експлойту, націленого на ваші виробничі
системи. Він також може "годувати" пастці невірні дані.
Що ще гірше, грамотний кіберзлочинець може використати пастку для
проникнення у вашу інфраструктуру. Ось чому пастки ніколи не замінять
якісний захист, такий як мережеві екрани та інші системи виявлення вторгнень.
Оскільки пастка може стати основою для атак, необхідно подбати про її
безпеку. Екран honeywall може забезпечити базовий захист пастки та завадити
націленим на пастку атакам проникнути у справжні системи.
Загалом переваги кіберпасток значно переважують ризики. Кіберзлочинців
часто сприймають як далеку та невидиму загрозу. За допомогою пастки ви
побачите їхні дії в режимі реального часу та зможете використати зібрану
інформацію проти них.[1]
3 Архітектури Honeypots.
Існує три основні архітектури Honeynet-мереж: І-ого покоління ; ІI-ого
покоління та ІII-ого. Honeynet-мережі І-ого покоління обмежені в
можливостях контролю та приборкування зловмисників, проте вони
демонструють достатню ефективність у виявленні автоматизованих атак і
атак початківців. Передусім Gen I Honeynets фокусуються на атаках
відповідно можливостей. Такі мережі-приманки достатньо легко
ідентифікуються.
Архітектура Honeynet-мереж І-ого покоління досить проста –ізольована
мережа розміщується за пристроєм контролю доступу до мережі,
найчастіше таким служить мережевий екран. Мета такого розміщення –
забезпечити неможливість атаки не honeypot-систем. Часто поряд з Honeynet-
мережею знаходиться виробнича ІКС для адміністрування і накопичення
зафіксованих даних. Також, можливим є розміщення інших контролюючих
пристроїв (наприклад, маршрутизатора) для додаткового контролю [2].
Фіксація активності шляхом комбінації можливостей файрволу, IDS-сенсорів
і системних логів забезпечує перехоплення інформації на таких чотирьох рівнях:
активність в мережі, системна активність, активність програм та активність
користувача.
Gen II Honeynets. Технологія Gen II була розроблена в 2002 р. і направлена на
усунення недоліків попередньої. Honeynet-мережі ІІ-ого покоління простіші в
розгортанні і складніші у виявленні [3]. Як описувалося вище, технологія
Gen I виконувала контроль даних за допомогою мережевого екрану, що
обмежував кількість можливих вихідних підключень. Незважаючи на свою
відносну ефективність таке рішення є недостатньо гнучким і забезпечує
легке «зняття зліпку». Honeynet-мережі ІІ-ого покоління вирішують цю
проблему шляхом модифікації загальної архітектури. Перша основна
розбіжність –використання єдиного Honeynet-сенсора, що об‘єднує функціонал
файрвола та IDS. Друга основна відмінність –сама реалізація Honeynet-
сенсора, що представляє собою пристрій другого рівня OSI (схожий на
міст). Така реалізація значно ускладнює виявлення, так як відсутня
маршрутизація пакетів, зменшення TTL і МАС-адреси пристроїв [4]. За
рахунок описаних принципів Honeynet-мережа ІІ-ого покоління може бути
частиною основної виробничої мережі, а не ізольованою як в технології Gen I.

Типова Honeynet-мережа: а) І-го покоління; б) ІІ-го покоління Honeynets

Технологія Gen III реалізує подальше удосконалення і розширення
можливостей контролю і аналізу даних. Модель аналізу даних базується на
таки абстракціях: хости, процеси, мережеві потоки і файли Такий підхід
реалізується на основі використання системи Honeywall, розроблений
фахівцями проекту Honeynet Project. Для контролю підключень і даних
застосовується підхід IP Performance Measerment Working Group, що полягає в
моніторингу потоків. У випадку використання Honeywall для цього
застосовується система Argus [5].
Іншим удосконаленням є використання засобу пасивного зняття зліпку
системи (passive fingerprinting), що ініціює ТСР-підключення. Для об‘єднання
цих двох типів даних (активність в ІКС і процесів на хості) навколо суцільної
картини концепції потоків мережі використовують додаткову зв‘язуючу ланку.
[6]
У роботі виконано моделювання Honeynet Gen III у віртуальному середовищі
UML, а праця містить варіант віртуалізації повноінтерактивних приманок.
Модель взаємозв‘язків даних у системі Gen III

Модель взаємозв‘язків даних у системі Gen III

4 Коли з’явилися Honeypots
Honeypot з'явилися з першими комп'ютерними зловмисниками завдяки
зусиллям фахівців з інформаційної безпеки. Створення та впровадження
Honeypot'ів відбувалися паралельно з дослідженнями систем виявлення
вторгнень.
Першим документальним згадуванням була книга Кліффорда Столла  «The
Cuckoo's Egg», написана в 1990 р. Через десять років, у 2000 р. honeypot стали
повсюдно поширеними системами-приманками.
Згодом IDS і honeypot стали єдиним комплексом із забезпечення інформаційної
безпеки підприємства.
5 Класифікація Honeypots:
За рівнем взаємодії:
5.1.1 Приманки з низьким рівнем взаємодії
Відповідають дуже обмеженій кількості сервісів та програм, як у системі, так і в
мережі. Цей тип принади можна використовувати для відстеження портів та
служб: UDP TCP ICMP
 Приклади інструментів із низьким рівнем взаємодії:
Specter – одне з небагатьох honeypot-рішень для середовища Windows. Він
розроблений для комерційних організацій, як невеликих, і великих корпорацій.
Їм надзвичайно легко користуватися: множинними honeypot можна керувати
віддалено, і він має всебічний механізм попереджень. Розроблений для
Windows він працює на NT, Win2000 і XP.
Specter це виробничий honeypot: його мета у забезпеченні безпеки організації
шляхом виявлення неавторизованої активності, а не збору відомостей про
атакуючих.[7]
KFSensor – це Honeypot системи Windows. Він також працює як IDS. Його
завдання – вивести на чисту воду всіх зловмисників у мережі. Він робить це,
імітуючи вразливе середовище та маскуючись під сервер та ІТ-шлях. Таким
чином, йому вдається не тільки зловити зловмисника, а й дізнатися про його
мотиви. KFSensor був спеціально розроблений для Windows, тому він містить
багато унікальних функцій. Він досить комфортний у використанні завдяки своїй
консолі на основі графічного інтерфейсу та низької вартості обслуговування.
Приманки із середнім рівнем взаємодії
Засновані на імітації операційних систем реального часу і мають усі свої
програми та послуги, як і у цільової мережі. Зазвичай збирають більше
інформації, оскільки їхня мета — зупинити зловмисника, що дає більше часу
для адекватної реакції на загрозу.[8]
5.1.2 Приклад інструменту із середнім рівнем взаємодії:
Cowrie — це медіальна система SSH і Telnet , призначена для реєстрації атак
грубої сили та взаємодії оболонки зловмисника. Cowrie також функціонує
як проксі -сервер SSH і telnet , щоб спостерігати за поведінкою зловмисника в
іншій системі. 
Чисті приманки
Зазвичай імітують реальне виробниче середовище організації, що змушує
зловмисника вважати його справжнім та витрачати більше часу на його
використання. Як тільки зловмисник спробує знайти вразливість, організація
буде попереджена, отже будь-який вид атаки може бути запобігти раніше.
По розгортанню:
7.2.1 Виробничі приманки
Такі Honeypot зазвичай встановлюються у реальній виробничій мережі
організації. Вони також допомагають знайти будь-яку внутрішню вразливість
або атаку, оскільки є всередині мережі.

5.2.2 Дослідницькі приманки

Приманки з високим ступенем взаємодії, але на відміну від звичайних, вони
призначені для дослідження різних урядових або військових організацій, щоб
отримати більше інформації про поведінку атакуючих.
За технологією обману:
Email приманки - є неправдивими адресами електронної пошти. Електронні
листи, які отримують будь-який зловмисник, можна відстежувати і перевіряти.
Можна використовувати для запобігання розсилкам фішингу.
Приманки у вигляді баз даних - є справжні вразливі бази даних, що зазвичай
залучають такі атаки, як SQL-ін'єкції. Призначені для того, щоб змусити
зловмисників думати, що вони можуть отримати конфіденційну інформацію,
наприклад, дані банківських карток.
Приманки для павуків. Встановлюються з метою перехоплення різних
пошукових роботів і павуків, які мають тенденцію красти важливу інформацію з
веб-додатків.
Приманки для спаму є помилковими mail-серверами, які залучають спамерів
для використання вразливих елементів електронної пошти.
Honeynets - мережа аддонів, які встановлюються у віртуальному ізольованому
середовищі разом із різними інструментами для запису дій зловмисників та
розуміння потенційних загроз.
Ні одна з наведених, вище або нижче, систем захисту, немає експертного
висновку Державної служби спеціального зв'язку та захисту інформації України!
6 Приклад Роботи HoneyBOT
HoneyBOT працює, відкриваючи понад 1000 роз’ємів прослуховування udp і tcp
на вашому комп’ютері, і ці сокети створені для імітації вразливих служб. Коли
зловмисник підключається до цих служб, його обманюють, думаючи, що
атакують справжній сервер. Honeypot безпечно фіксує всі комунікації зі
зловмисником і реєструє ці результати для подальшого аналізу. Якщо
зловмисник спробує здійснити експлойт або завантажить руткіт або троян на
сервер, середовище honeypot безпечно збереже ці файли на вашому
комп’ютері для аналізу та передачі постачальникам антивірусів. Тестовий
сервер може захопити кілька тисяч троянів і руткітів із цих імітованих служб,
включаючи:
 Dabber
 Devil
 Kuang
 MyDoom
 Netbus
 Sasser
  LSASS
 DCOM (msblast, etc)
 Lithium
 Sub7
 Honeypot Placement

Після підключення HoneyBOT користувач може налаштувати його, наприклад в

якому форматі зберігати логи, токени входу, налаштувати, яка саме інформація
про зловмисника буде регіструватись та зберігатись.

Коли зловмисник проводитиме сканування nmap, системи в якій налаштований

HoneyBOT він побачить таку картину.
Відображатиметься велика кількість ффальшивих серверів, спробувавши до них
підключитись, цей вхід буде запілінговано, всі дані про зловмисника будуть
збережені, і надані згідно налаштуваннями.
На машині хоста, в свою чергу, буде відображатися повна інформація про цей
сеанс.

Висновок: подібно до всіх технологій, у honeypots є свої недоліки, найбільший з

них –обмежена сфера їх перегляду.
Honeypots захоплюють лише активність, спрямовану проти них, і буде
пропускати напад на інші системи. З цієї причини фахівці з безпеки не
рекомендують ці системи, щоб замінити існуючі технології безпеки. Замість
цього, вони бачать honeypots як додаткову технологію захисту від вторгнення.
Переваги, які приносять honeypots для захисту від вторгнень, важко
ігнорувати, особливо зараз, коли починають розгортатися виробничі
honeypot. З часом, коли розгортання розповсюдиться, honeypots можуть
стати важливим компонентом операції безпеки на рівні підприємства.
Література

1. Касперскій В. Є. Що таке Honeypot?/ Касперскій В. Є. — режим доступу:

https://www.kaspersky.ru/resource-center/threats/what-is-a-honeypot —назва
экрану. 2019
2. Spitzner, L. (2002), Honeypots: Tracking Hackers, 1st edition, Addison-Wesley,
Boston, MA.
3. Know Your Enemy: Learning about Security Threats / Honeynet Project.
—NY.: Addison-Wesley Professional, 2004. —800 p.
4. Deal R. Router Firewall Security / R. Deal. —SF. : Cisco Press, 2004. —p. 912.
5.Argus and Infiniband [Електронний ресурс]: (ARGUS –Auditing Network Activity)
// QoSient —Режим доступу: http://www.qosient.com/argus, вільний;
6. Balas E. Honeynet data analysis: A technique for correlating Sebek and network
data / E. Balas // Workshop on Information Assurance and Security US Military
Academy, West Point, NY. —IEEE, 2004.
7. Інтернет архів/ WayBackMachine — режим доступу:
https://web.archive.org/web/20090308063216/http://www.tracking-hackers.com/
solutions/ --- 2022 24.05
8. Інтернет архів/ WayBackMachine — режим доступу:
https://web.archive.org/web/20080509135144/http://www.specter.com/
default50.htm--- 2022 24.05
9. Інтернет архів/ WayBackMachine — режим доступу:
https://web.archive.org/web/20090223112433/http://www.keyfocus.net/
kfsensor/--- 2022 24.05