Файл: Общие сведения о honeypotтехнологиях Описание классификации honeypotтехнологий.pdf

69
Рисунок 35 – Просмотр файла «file_operation.log»
Кроме этого, далее необходимо выполнить переход во вкладку с файлом
«input_command.log», который будет отображать информацию, связанную с выполняемыми пользователями командами в интерактивном режиме (см рисунок 36).
Рисунок 36 – Просмотр файла «input_command.log»
Таким образом, honeypot-система полноценно работает для обнаружения атак.
Изучение механизма проведения сетевой разведки.
Для проведения атак на объект сетевой инфраструктуры, в качестве которого применяется хостовая система вместе с honeypot-устройством, используется виртуальная машина «Hack-Machine». Для дальнейшей работы необходимо запустить данную машину в стартовом окне программы Oracle
VirtualBox Менеджер. После запуска виртуальной машины «Hack-Machine»

70
будет отображаться меню входа в систему «Kali-Linux». Для входа в систему необходимо ввести имя учетной записи пользователя и пароль от учетной записи. Имя учетной записи – «user», пароль – «P@ssw0rd123» (см. рисунок
37).
Рисунок 37 – Вход в систему, используемая для проведения атак на honeypot- систему
После входа в систему необходимо открыть терминал ОС «Kali-Linux».
Для этого в верхней панели необходимо выбрать соответствующий ярлык терминала. В терминале необходимо ввести команду «ls» для отображения существующих файлов и каталогов в домашнем репозитории пользователя
«user» (см. рисунок 38).
Рисунок 38 – Проверка наличия существующих файлов и каталогов в домашнем репозитории пользователя «user»
Также необходимо ввести команду «ip a» для проверки, что виртуальная машина «Hack-Machine» находится в одной сети с машиной «Honeypot-
Machine» (см. рисунок 39). Сеть, в который должны располагаться машины –
192.168.110.0/24.
Рисунок 39 – Проверка сети на виртуальной машине «Hack-Machine»

71
Для проведения атаки на объект сетевой инфраструктуры, в качестве которого выступает машина «Honeypot-Machine», необходимо иметь первоначальные данные об атакуемой системе. Такой информацией является
IP-адрес «Honeypot-Machine» - 192.168.110.110. Перед началом проведения атаки на объект сетевой инфраструктуры проводится сетевая разведка цели атаки. Для начала необходимо проверить доступность системы, которая будет подвергаться атаки. Для проверки необходимо ввести команду «ping» (см. рисунок 40).
Рисунок 40 – Проверка доступности объекта сетевой атаки
Далее необходимо собрать информацию об атакуемом объекте, чтобы иметь представление, каким образом в дальнейшем получить доступ к объекту. Для сбора информации об объекте необходимо запустить утилиту nmap (см. рисунок 41).
Рисунок 41 – Запуск утилиты «nmap»
Приведенная на рисунке 41 команда по запуску утилиты nmap проверяет доступность основных портов любого сетевого объекта. Кроме этого, ключ –

72
«sV» позволил отобразить список сервисов, расположенных на том или ином порту, и их версии.
В результате работы утилиты «nmap» можно наблюдать, что у объекта, выбранного в качестве атаки, открыты 22, 80 и 8080 порт.
Таким образом в ходе проведения сетевой разведки были найдены открытые порты в системе, которая будет подвергаться дальнейшей атаке.
Изучение принципа работы honeypot-системы при проведении
злоумышленником сетевой разведки.
Необходимо переключиться на машину
«Honeypot-Machine», используемую в качестве honeypot-системы. Далее открыть информационную панель сервиса «Grafana». Также необходимо проверить состояние файлов, где отображается информация, зарегистрированная honeypot-системой. Для этого необходимо выполнить переход в раздел с файлом «docker_net.log» (см. рисунок с 42 по 43).
Рисунок 42 – Просмотр файла «docker_net.log»
Рисунок 43 – Просмотр файла «docker_net.log»

73
Информация панель отобразит, что honeypot-система зарегистрировала события, связанные с сетевой активностью. Так, файл «docker_net.log» отобразит записи о том, что объект с IP-адресом «192.168.110.150» отправлял пакеты типа «IP» на IP-адрес honeypot-системы, а именно на порты 80, 443, 23,
53, 21, 22, 8080, 3306, 389, 5432, 5910.
Далее необходимо проверить другие разделы с файлами, связанные с honeypot-системой. Изменений в них не должно было произойти. Таким образом, собранная на данном этапе информация, позволяет определить, что с honeypot-системой взаимодействует потенциальный злоумышленник.
Изучение механизма получения доступа к объекту сетевой
инфраструктуры методом подбора учетных записей.
Необходимо переключиться на машину «Hack-Machine», используемую в качестве системы для проведения атак. На этапе сетевой разведки, было определено, что система, выбранная в качестве атаки, имеет открытый 22, 80 и 8080 порт. Так как 22 порт связан со службой «SSH», то потенциально можно получить доступ к атакуемой системе через подбора данных учетных записей.
Данная атака имеет название «Brute-force SSH». Для начала необходимо проверить не имеет ли атакуемая система стандартных пар логин-пароль для ssh-соединений. Стандартными парами будем считать следующие пары логин- пароль:
 user-user;
 root-root;
 admin-admin.
Необходимо сделать попытки подключения по SSH с данными парами логин-пароль. Для этого в терминале необходимо выполнить команды для подключения по SSH со стандартными парами (см. рисунок с 44 по 46).
Рисунок 44 – Попытка подключения по SSH с парой «user-user»

74
Рисунок 45 – Попытка подключения по SSH с парой «root-root»
Рисунок 46 – Попытка подключения по SSH с парой «admin-admin»
Так как стандартные пары логин-пароль не подходят для подключения по SSH к атакуемой объекту, то необходимо провести атаку «Brute-force SSH».
Для проведения данной атаки понадобятся два словаря – словарь, содержащий набор логинов для подключения по SSH, а также словарь, содержащий набор паролей.
Имя файла со словарем «логинов» - «username.txt», имя файла со словарем «паролей» - «password.txt». Необходимо выполнить команду «cat», чтобы просмотреть, что данные файлы содержат нужные словари (см. рисунок с 47 по 48).
Рисунок 47 – Проверка наличия словаря «логинов» для атаки «Brute-force
SSH»
Рисунок 48 – Проверка наличия словаря «паролей» для атаки «Brute-force
SSH»

75
После подготовки словарей необходимо провести атаку «Brute-force
SSH». Для этого необходимо применить утилиту «hydra». Необходимо ввести команду по запуску данной утилиты с выводом всех пар «логин-пароль» во время перебора, с остановкой работы утилиты при нахождении верной пары
«логин-пароль», с указанием словарей, применяемых для проведения атаки
«Brute-force SSH», а также сервиса и IP-адреса атакуемого объекта (см. рисунок 49).
Рисунок 49 – Запуск утилиты «hydra» для проведения атаки «Brute-force
SSH»
После запуска утилиты «hydra» в терминале будут отображаться подбираемые пары «логин-пароль». При нахождении верной пары «логин- пароль» утилита «hydra» выделит пару цветом, а также остановит свою работу
(см. рисунок 50).
Рисунок 50 – Успешная атака «Brute-force SSH»
Таким образом в результате атаки «Brute-force SSH» найдена пара
«логин-пароль» для подключения по SSH к атакуемому объекту с IP-адресом
192.168.110.110. Данная пара логин-пароль будет следующая: «user- qwerty123».

76
Изучение принципа работы honeypot-системы при получении
злоумышленником доступа к honeypot-системе методом подбора учетных
записей.
Необходимо переключиться на машину
«Honeypot-Machine», используемую в качестве honeypot-системы. В информационной панели
«Grafana» необходимо выполнить просмотр файла «docker_logs.log» (см. рисунок с 51 по 53).
Рисунок 51 – Просмотр файла «docker_logs.log»
Рисунок 52 – Просмотр файла «docker_logs.log»
Рисунок 53 – Просмотр файла «docker_logs.log»

77
В файле «docker_logs.log» будет отображаться информация, по которой можно сделать вывод, что было произведено множество попыток авторизации в honeypot-систему через ssh-сервис. Файл будет содержать имена пользователей, который делали попытки авторизации, результаты авторизации (успешная или не успешная попытка), IP-адрес пользователя, с которого проводилась попытка авторизации, а также время, в которое проводилась попытка авторизации.
Таким образом honeypot-система обнаружила все попытки авторизации в системе, при этом в разделе с файлом «docker_logs.log» можно наблюдать, что одна попытка авторизации была успешная. Это означает, что кто-то смог получить доступ к honeypot-системе.
Изучение механизма сбора и анализа данных внутри системы после
успешной атаки на объект сетевой инфраструктуры.
Необходимо переключиться на машину «Hack-Machine», используемую в качестве системы для проведения атак. На этапе получения доступа к атакуемому объекту была проведена атака «Brute-force SSH», в результате чего были найдены легитимные учетные данные для подключения по ssh.
Далее необходимо выполнить попытку подключения с использованием этих данных. В качестве логина для подключения необходимо использовать имя –
«user», в качестве пароля «qwerty123» (см. рисунок 54).
Рисунок 54 – Попытка подключения к атакуемому объекту с найденными учетными данными

78
В результате проведена успешная попытка авторизации в системе.
Таким образом получен доступ к атакуемому объекту, то есть атака на объект завершилась успешна. После получения доступа к системе необходимо первоначально собрать доступную информацию, которая сможет дать представление об объекте, который был скомпрометирован. Для начала необходимо выполнить команду «ifconfig» для просмотра сетевых интерфейсов и IP-адресов в системе (см. рисунок 55).
Рисунок 55 – Получение информации об сетевых интерфейсах и ip-адресах
Далее необходимо получить информацию о версии ядра операционной системы, а также об запущенных процессах в системе (см. рисунок 56).
Рисунок 56 – Получение сведений об ядре и запущенных процессов
Далее необходимо выполнить просмотр домашнего каталога, выполнить переход в корневой каталог и выполнить команду по подробному просмотру содержимого данной директории для определения прав доступа пользователей к содержимому корневого каталога (см. рисунок 57).

79
Рисунок 57 – Просмотр содержимого директорий системы
В результате выведется информация о том, что владельцем всех каталогов корневой директории является пользователь «root». Кроме этого, можем определить, какие права доступа ко всем каталогам имеет пользователь
«user».
Далее необходимо выполнить попытку просмотра файла «/etc/passwd», содержащего список всех пользователей, зарегистрированных в системе (см. рисунок 58). Кроме этого, необходимо выполнить просмотр прав доступа пользователя «user» к данному файлу (см. рисунок 58).
Рисунок 58 – Просмотр файла «/etc/passwd»

80
В результате выполненных действий будет осуществлен вывод содержимого файла «/etc/passwd», а также выведены права доступа к данному файлу.
Далее необходимо выполнить просмотр файла «/etc/shadow» от имени суперпользователя (см. рисунок 59). В результате попытки просмотра доступ к файлу не будет получен из-за отсутствия пользователя «user» в группе
«sudo» (см. рисунок 59). Поэтому необходимо выполнить команду для получения информации о пользователе «user» (см. рисунок 59).
Рисунок 59 – Просмотр файла «/etc/shadow» и вывод информации о пользователе «user»
В результате выведется информация о пользователе «user», отображающая, что данный пользователь состоит только в группе «user».
Далее необходимо выполнить команду для получения списка установленных пакетов в системе (см. рисунок 60).
Рисунок 60 – Получение списка установленных пакетов в системе
Далее необходимо получить список всех подключённых или созданных в системе блочных устройств (см. рисунок 61).

81
Рисунок 61 – Получение списка блочных устройств в системе
Таким образом, в ходе выполнения всех предыдущих команд будет выполнен сбор информации об атакуемой системе. Также в ходе анализа должна быть получена информация, что пользователь «user» не имеет прав суперпользователя в системе.