возможности применения honeypot-систем как средств обнаружения атак на объекты сетевой инфраструктуры. Общие сведения о honeypotтехнологиях Описание классификации honeypotтехнологий

61
Далее необходимо выполнить запуск honeypot-системы. Для этого необходимо перейти в каталог «honeypot». Далее необходимо выдать права на выполнение bash-скрипта «honeypot.sh». Далее выполнить запуск данного скрипта от имени суперпользователя, введя пароль пользователя «user» (см. рисунок 19).
Рисунок 19 – Процесс запуска honeypot-системы
В результате запуска honeypot-системы с помощью bash-скрипта
«honeypot.sh» в терминале выведется меню с доступными сетевыми интерфейсами хостовой системы (см. рисунок 20). Сетевой интерфейс «lo» является локальным, интерфейс «docker0», а также с именованием «br-» используются для управления docker-контейнерами. После вывода всех сетевых интерфейсов программа попросит выбрать и ввести внешний сетевой интерфейс хостовой системы для дальнейшей работы c honeypot-системой (см. рисунок 20). В примере таким интерфейсом является «ens32». Необходимо ввести в терминале соответствующий внешний интерфейс (см. рисунок 20).
Рисунок 20 – Выбор внешнего сетевого интерфейса хостовой системы
После ввода внешнего сетевого интерфейса хостовой системы программа выводит сообщение об успешном или не успешном запуске honeypot-системы.

62
В случае неудачного запуска honeypot-системы (аварийное прерывание работы bash-скрипта «honeypot.sh» также повлечет за собой нерабочее состояние honeypot-системы) программа выведет на экран следующее сообщение (см. рисунок 21).
Рисунок 21 – Результат неуспешной попытки honeypot-системы
Для возобновления работы honeypot-системы необходимо выполнить команды по остановке и удалению docker-контейнера, входящего в состав honeypot-системы (см. рисунок 22).
Рисунок 22 – Механизм возобновления работы honeypot-системы
В случае же успешного запуска программа выведет сообщение об старте системе, а также выведет IP-адрес honeypot-системы (см. рисунок 23).
Рисунок 23 – Успешный запуск honeypot-системы

63
Кроме этого, программа выведет информацию об дальнейшем действии с honeypot-системой. Таким действием может быть завершение работы системы или ее перезапуск. Для дальнейшей работы с honeypot-системой вводить команды не нужно.
Далее необходимо перейти в web-интерфейс сервиса «Grafana», в котором будет находится информация, связанная с зарегистрированными honeypot-системой событиями. Необходимо открыть приложение «Web- браузер Firefox». В поисковой строке необходимо вести команду
«http://localhost:3000» для получения доступа к информационной панели
«Grafana» (см. рисунок 24).
Рисунок 24 – Получение доступа к информационной панели «Grafana»
В результате на экране будет отображена форма аутентификации в сервис «Grafana» (см. рисунок 25). Необходимо ввести в поле логина «admin», в поле пароля «admin» (см. рисунок 25).
Рисунок 25 – Форма входа в сервис «Grafana»
После этого будет предложено ввести новый пароль для учетной записи пользователя «admin». Необходимо ввести дважды новый пароль –
«P@ssw0rd!» (см. рисунок 26).

64
Рисунок 26 – Обновление учетной данных пользователя «admin»
В результате выполнится вход в web-интерфейс «Grafana» (см. рисунок 27).
Рисунок 27 – Результат входа в web-интерфейс «Grafana»
Далее необходимо выполнить настройки данного сервиса. В меню
«Configuration» необходимо выбрать раздел «Preferences» (см. рисунок 28). В пункте «UI Theme» необходимо выбрать «Light» (см. рисунок 28).

65
Рисунок 28 – Настройки web-интерфейса «Grafana»
В результате web-интерфейс «Grafana» будет отображаться в светлых цветах. Далее необходимо выполнить переход в меню «Data sources» (см. рисунок 29). Далее необходимо нажать на кнопку «Add data source» для создания нового источника данных. В меню доступных источников данных выбрать сервис «Loki» и нажать кнопку «Select» (см. рисунок 29).
Рисунок 29 – Добавление источника данных для информационной панели
«Grafana»

66
На странице по настройке источника данных «Loki» в поле данных
«URL» необходимо ввести адрес сервиса «Loki» (см. рисунок 30). Далее необходимо нажать кнопку «Save & Test». При верной настройке на экране выведется сообщение об успешном создании нового источника данных (см. рисунок 30).
Рисунок 30 – Настройка источника данных «Loki»
После создания источника данных «Loki» в панели меню сервиса
«Grafana» необходимо выбрать раздел «Explore» (см. рисунок 31).
Рисунок 31 – Переход в панель исследования «Grafana»

67
В результате на экране будет выведена информационная- исследовательская панель «Grafana» (см. рисунок 32). Далее необходимо нажать на кнопку «Log labels», выбрать раздел «filename» для отображения списка log-файлов, куда собирается вся зарегистрированная honeypot- системой информация (см. рисунок 32).
Рисунок 32 – Информационная панель «Grafana»
Далее необходимо выбрать из списка файл «docker_logs.log», в котором будет хранится информация, связанная с запуском служб в docker-контейнере
«honeypot» (см. рисунок 33).
Рисунок 33 – Просмотр файла «docker_logs.log»

68
Информация из данного log-файла, а также из последующих, будет располагаться на информационно-исследовательской панели «Grafana» по времени регистрации того или иного события, связанного с honeypot- системой. То есть, чем новее собранная информация по времени, тем выше она располагается на информационной панели.
После просмотра файла «docker_logs.log» необходимо нажать на кнопку
«Log labels», выбрать раздел «filename» и открыть содержимое файла
«docker_net.log» (см. рисунок 34).
Рисунок 34 – Просмотр содержимого файла «docker_net.log»
В информационной панели «Grafana» будут отображаться данные, информирующие, что утилита tcpdump «слушает» сетевой интерфейс
«docker0» для сбора входящего сетевого трафика, связанного с honeypot- системой.
Далее необходимо выполнить переход в разделе «filename» для отображения файла «file_operation.log», который выведет информацию, связанную с чтением, записью и изменением прав доступа к файлам и директориям, находящимся в docker-контейнере, применяемом в качестве модуля «обмана» злоумышленника (см. рисунок 35).

69
Рисунок 35 – Просмотр файла «file_operation.log»
Кроме этого, далее необходимо выполнить переход во вкладку с файлом
«input_command.log», который будет отображать информацию, связанную с выполняемыми пользователями командами в интерактивном режиме (см рисунок 36).
Рисунок 36 – Просмотр файла «input_command.log»
Таким образом, honeypot-система полноценно работает для обнаружения атак.
Изучение механизма проведения сетевой разведки.
Для проведения атак на объект сетевой инфраструктуры, в качестве которого применяется хостовая система вместе с honeypot-устройством, используется виртуальная машина «Hack-Machine». Для дальнейшей работы необходимо запустить данную машину в стартовом окне программы Oracle
VirtualBox Менеджер. После запуска виртуальной машины «Hack-Machine»

70
будет отображаться меню входа в систему «Kali-Linux». Для входа в систему необходимо ввести имя учетной записи пользователя и пароль от учетной записи. Имя учетной записи – «user», пароль – «P@ssw0rd123» (см. рисунок
37).
Рисунок 37 – Вход в систему, используемая для проведения атак на honeypot- систему
После входа в систему необходимо открыть терминал ОС «Kali-Linux».
Для этого в верхней панели необходимо выбрать соответствующий ярлык терминала. В терминале необходимо ввести команду «ls» для отображения существующих файлов и каталогов в домашнем репозитории пользователя
«user» (см. рисунок 38).
Рисунок 38 – Проверка наличия существующих файлов и каталогов в домашнем репозитории пользователя «user»
Также необходимо ввести команду «ip a» для проверки, что виртуальная машина «Hack-Machine» находится в одной сети с машиной «Honeypot-
Machine» (см. рисунок 39). Сеть, в который должны располагаться машины –
192.168.110.0/24.
Рисунок 39 – Проверка сети на виртуальной машине «Hack-Machine»

71
Для проведения атаки на объект сетевой инфраструктуры, в качестве которого выступает машина «Honeypot-Machine», необходимо иметь первоначальные данные об атакуемой системе. Такой информацией является
IP-адрес «Honeypot-Machine» - 192.168.110.110. Перед началом проведения атаки на объект сетевой инфраструктуры проводится сетевая разведка цели атаки. Для начала необходимо проверить доступность системы, которая будет подвергаться атаки. Для проверки необходимо ввести команду «ping» (см. рисунок 40).
Рисунок 40 – Проверка доступности объекта сетевой атаки
Далее необходимо собрать информацию об атакуемом объекте, чтобы иметь представление, каким образом в дальнейшем получить доступ к объекту. Для сбора информации об объекте необходимо запустить утилиту nmap (см. рисунок 41).
Рисунок 41 – Запуск утилиты «nmap»
Приведенная на рисунке 41 команда по запуску утилиты nmap проверяет доступность основных портов любого сетевого объекта. Кроме этого, ключ –

72
«sV» позволил отобразить список сервисов, расположенных на том или ином порту, и их версии.
В результате работы утилиты «nmap» можно наблюдать, что у объекта, выбранного в качестве атаки, открыты 22, 80 и 8080 порт.
Таким образом в ходе проведения сетевой разведки были найдены открытые порты в системе, которая будет подвергаться дальнейшей атаке.
Изучение принципа работы honeypot-системы при проведении
злоумышленником сетевой разведки.
Необходимо переключиться на машину
«Honeypot-Machine», используемую в качестве honeypot-системы. Далее открыть информационную панель сервиса «Grafana». Также необходимо проверить состояние файлов, где отображается информация, зарегистрированная honeypot-системой. Для этого необходимо выполнить переход в раздел с файлом «docker_net.log» (см. рисунок с 42 по 43).
Рисунок 42 – Просмотр файла «docker_net.log»
Рисунок 43 – Просмотр файла «docker_net.log»

73
Информация панель отобразит, что honeypot-система зарегистрировала события, связанные с сетевой активностью. Так, файл «docker_net.log» отобразит записи о том, что объект с IP-адресом «192.168.110.150» отправлял пакеты типа «IP» на IP-адрес honeypot-системы, а именно на порты 80, 443, 23,
53, 21, 22, 8080, 3306, 389, 5432, 5910.
Далее необходимо проверить другие разделы с файлами, связанные с honeypot-системой. Изменений в них не должно было произойти. Таким образом, собранная на данном этапе информация, позволяет определить, что с honeypot-системой взаимодействует потенциальный злоумышленник.
Изучение механизма получения доступа к объекту сетевой
инфраструктуры методом подбора учетных записей.
Необходимо переключиться на машину «Hack-Machine», используемую в качестве системы для проведения атак. На этапе сетевой разведки, было определено, что система, выбранная в качестве атаки, имеет открытый 22, 80 и 8080 порт. Так как 22 порт связан со службой «SSH», то потенциально можно получить доступ к атакуемой системе через подбора данных учетных записей.
Данная атака имеет название «Brute-force SSH». Для начала необходимо проверить не имеет ли атакуемая система стандартных пар логин-пароль для ssh-соединений. Стандартными парами будем считать следующие пары логин- пароль:
 user-user;
 root-root;
 admin-admin.
Необходимо сделать попытки подключения по SSH с данными парами логин-пароль. Для этого в терминале необходимо выполнить команды для подключения по SSH со стандартными парами (см. рисунок с 44 по 46).
Рисунок 44 – Попытка подключения по SSH с парой «user-user»

74
Рисунок 45 – Попытка подключения по SSH с парой «root-root»
Рисунок 46 – Попытка подключения по SSH с парой «admin-admin»
Так как стандартные пары логин-пароль не подходят для подключения по SSH к атакуемой объекту, то необходимо провести атаку «Brute-force SSH».
Для проведения данной атаки понадобятся два словаря – словарь, содержащий набор логинов для подключения по SSH, а также словарь, содержащий набор паролей.
Имя файла со словарем «логинов» - «username.txt», имя файла со словарем «паролей» - «password.txt». Необходимо выполнить команду «cat», чтобы просмотреть, что данные файлы содержат нужные словари (см. рисунок с 47 по 48).
Рисунок 47 – Проверка наличия словаря «логинов» для атаки «Brute-force
SSH»
Рисунок 48 – Проверка наличия словаря «паролей» для атаки «Brute-force
SSH»

75
После подготовки словарей необходимо провести атаку «Brute-force
SSH». Для этого необходимо применить утилиту «hydra». Необходимо ввести команду по запуску данной утилиты с выводом всех пар «логин-пароль» во время перебора, с остановкой работы утилиты при нахождении верной пары
«логин-пароль», с указанием словарей, применяемых для проведения атаки
«Brute-force SSH», а также сервиса и IP-адреса атакуемого объекта (см. рисунок 49).
Рисунок 49 – Запуск утилиты «hydra» для проведения атаки «Brute-force
SSH»
После запуска утилиты «hydra» в терминале будут отображаться подбираемые пары «логин-пароль». При нахождении верной пары «логин- пароль» утилита «hydra» выделит пару цветом, а также остановит свою работу
(см. рисунок 50).
Рисунок 50 – Успешная атака «Brute-force SSH»
Таким образом в результате атаки «Brute-force SSH» найдена пара
«логин-пароль» для подключения по SSH к атакуемому объекту с IP-адресом
192.168.110.110. Данная пара логин-пароль будет следующая: «user- qwerty123».

76
Изучение принципа работы honeypot-системы при получении
злоумышленником доступа к honeypot-системе методом подбора учетных
записей.
Необходимо переключиться на машину
«Honeypot-Machine», используемую в качестве honeypot-системы. В информационной панели
«Grafana» необходимо выполнить просмотр файла «docker_logs.log» (см. рисунок с 51 по 53).
Рисунок 51 – Просмотр файла «docker_logs.log»
Рисунок 52 – Просмотр файла «docker_logs.log»
Рисунок 53 – Просмотр файла «docker_logs.log»

77
В файле «docker_logs.log» будет отображаться информация, по которой можно сделать вывод, что было произведено множество попыток авторизации в honeypot-систему через ssh-сервис. Файл будет содержать имена пользователей, который делали попытки авторизации, результаты авторизации (успешная или не успешная попытка), IP-адрес пользователя, с которого проводилась попытка авторизации, а также время, в которое проводилась попытка авторизации.
Таким образом honeypot-система обнаружила все попытки авторизации в системе, при этом в разделе с файлом «docker_logs.log» можно наблюдать, что одна попытка авторизации была успешная. Это означает, что кто-то смог получить доступ к honeypot-системе.
Изучение механизма сбора и анализа данных внутри системы после
успешной атаки на объект сетевой инфраструктуры.
Необходимо переключиться на машину «Hack-Machine», используемую в качестве системы для проведения атак. На этапе получения доступа к атакуемому объекту была проведена атака «Brute-force SSH», в результате чего были найдены легитимные учетные данные для подключения по ssh.
Далее необходимо выполнить попытку подключения с использованием этих данных. В качестве логина для подключения необходимо использовать имя –
«user», в качестве пароля «qwerty123» (см. рисунок 54).
Рисунок 54 – Попытка подключения к атакуемому объекту с найденными учетными данными

78
В результате проведена успешная попытка авторизации в системе.
Таким образом получен доступ к атакуемому объекту, то есть атака на объект завершилась успешна. После получения доступа к системе необходимо первоначально собрать доступную информацию, которая сможет дать представление об объекте, который был скомпрометирован. Для начала необходимо выполнить команду «ifconfig» для просмотра сетевых интерфейсов и IP-адресов в системе (см. рисунок 55).
Рисунок 55 – Получение информации об сетевых интерфейсах и ip-адресах
Далее необходимо получить информацию о версии ядра операционной системы, а также об запущенных процессах в системе (см. рисунок 56).
Рисунок 56 – Получение сведений об ядре и запущенных процессов
Далее необходимо выполнить просмотр домашнего каталога, выполнить переход в корневой каталог и выполнить команду по подробному просмотру содержимого данной директории для определения прав доступа пользователей к содержимому корневого каталога (см. рисунок 57).

79
Рисунок 57 – Просмотр содержимого директорий системы
В результате выведется информация о том, что владельцем всех каталогов корневой директории является пользователь «root». Кроме этого, можем определить, какие права доступа ко всем каталогам имеет пользователь
«user».
Далее необходимо выполнить попытку просмотра файла «/etc/passwd», содержащего список всех пользователей, зарегистрированных в системе (см. рисунок 58). Кроме этого, необходимо выполнить просмотр прав доступа пользователя «user» к данному файлу (см. рисунок 58).
Рисунок 58 – Просмотр файла «/etc/passwd»

80
В результате выполненных действий будет осуществлен вывод содержимого файла «/etc/passwd», а также выведены права доступа к данному файлу.
Далее необходимо выполнить просмотр файла «/etc/shadow» от имени суперпользователя (см. рисунок 59). В результате попытки просмотра доступ к файлу не будет получен из-за отсутствия пользователя «user» в группе
«sudo» (см. рисунок 59). Поэтому необходимо выполнить команду для получения информации о пользователе «user» (см. рисунок 59).
Рисунок 59 – Просмотр файла «/etc/shadow» и вывод информации о пользователе «user»
В результате выведется информация о пользователе «user», отображающая, что данный пользователь состоит только в группе «user».
Далее необходимо выполнить команду для получения списка установленных пакетов в системе (см. рисунок 60).
Рисунок 60 – Получение списка установленных пакетов в системе
Далее необходимо получить список всех подключённых или созданных в системе блочных устройств (см. рисунок 61).

81
Рисунок 61 – Получение списка блочных устройств в системе
Таким образом, в ходе выполнения всех предыдущих команд будет выполнен сбор информации об атакуемой системе. Также в ходе анализа должна быть получена информация, что пользователь «user» не имеет прав суперпользователя в системе.