Come creare in modo sicuro un "utente honeypot (linux)"

4

La seguente è una funzionalità di sicurezza fattibile per rilevare i tentativi?

Creazione di un utente con le seguenti specifiche:

  • Nome utente admin
  • Password abbastanza insicura (non 123456, ma una parola dictonary)
  • Autorizzazioni speciali: none
  • Uno script .bashrc che mi informa dell'accesso, ...

Domande

  • Questo creerebbe rischi per la sicurezza (escalation di privilegi, ecc.)?
  • Sarebbe un modo sensato di raccogliere informazioni su un utente malintenzionato o dovrebbe chiudere immediatamente la sessione all'interno dello script .bashrc ?
  • Quali misure dovrebbero essere prese per renderlo fattibile / sicuro?

Scopo

  • Per conoscere una minaccia più grave prima che sia "troppo tardi"
  • Per raccogliere informazioni su un utente malintenzionato: tecniche / strumenti che stanno utilizzando, chi sono (da dove provengono gli attacchi), ecc.
posta Levit 31.01.2018 - 16:43
fonte

2 risposte

1

Dai requisiti che hai inserito nei tuoi commenti, non stai cercando un "utente del miele" ma un honeypot ad alta interazione.

Gli honeypot ad alta interazione, come quello che stai suggerendo, non devono mai, mai essere eseguiti su sistemi di produzione. Qualsiasi vulnerabilità a livello di sistema operativo può consentire all'aggressore di eseguire l'escalation.

Metti sempre honeypot ad alta interazione sui propri sistemi murati.

Ma un honeypot ad alta interazione è necessario solo per raccogliere determinati tipi di informazioni sull'attaccante. Se stai cercando di analizzare tecniche, strumenti e raccogliere altri dati che possono venire solo dall'osservazione delle azioni dell'attaccante in tempo reale, allora hai bisogno di un honeypot ad alta interazione. E poi questo non è semplicemente un "utente del miele" come suggerisce il tuo titolo, ma un honeypot in piena regola.

Un vero "utente del miele" non dovrebbe, e non dovrebbe, essere ad alta interazione. Qualsiasi tentativo di accesso come quell'utente può attivare allarmi e registrazione aggiuntiva. È anche possibile acquisire qualsiasi utilizzo delle credenziali dell'utente nel sistema. Nessuna di queste cose richiede che le credenziali funzionino effettivamente, quindi non c'è alcun impatto sulla sicurezza. Puoi acquisire timestamp, IP di origine e le password che sono state tentate.

Quello che stai veramente cercando è Kippo / Cowrie (su cui corro regolarmente e ho fatto molte presentazioni). E gli sviluppatori sono molto chiari a non eseguire mai il loro honeypot su un sistema di produzione. Per gli honeypot che ho distribuito, li metto sempre in DMZ, su macchine virtuali, che si ripristinano ogni 24 ore (o prima) e i log vengono spediti a un server centrale. Qualsiasi traffico avviato da honeypot è bloccato. Gli attaccanti possono entrare, ma non possono uscire, anche se compromettono l'intera macchina.

Dovresti pensare a una configurazione simile.

    
risposta data 01.02.2018 - 11:18
fonte
1

Consentire l'esecuzione di una fonte sconosciuta non è una buona idea anche se l'utente ha privilegi minimi.

Cose che possono essere fatte dagli attaccanti:

  • L'utente malintenzionato può eseguire codice sull'hardware e può utilizzare al 100% la CPU per le criptovalute di mining, ad esempio.
  • L'utente malintenzionato potrebbe eventualmente avere l'opportunità di utilizzare un'escalation di privilegi come dirty-cow.
  • L'autore dell'attacco può trovare un file suid che è stato progettato male per l'escalation dei privilegi.

Ci sono progetti opensource su GitHub che emulano una sessione ssh e puoi avere il pieno controllo della sessione: link

    
risposta data 01.02.2018 - 08:37
fonte

Leggi altre domande sui tag