Siber güvenliğin önemli bir parçası siber tehdit istihbarat çalışmalarıdır diyebiliriz*. Tehdit istihbarat çalışmaları sayesinde ilgili sistemlere yönelik olası saldırılar, bilgi ifşasına yönelik tespitler, zafiyet tespitleri (sıfırıncı gün zafiyetleri örneğin), eski bir zafiyetin sömürü kodlarının kullanıp kullanılmadığı, saldırganlar tarafından kullanılan yöntemler, zararlı yazılımlar, komuta kontroller gibi bir çok başlıkta önceden bir bilgi edinmek mümkündür.
* TDK’da istihbarat “Yeni öğrenilen bilgiler, haberler, duyumlar.” olarak açıklanmıştır.
Balküpü sistemleri araştırma veya tehdit istihbarat çalışmaları için kurulan sahte sistemlerdir. Bu sistemler zafiyetli de olabilir ya da bilinen herhangi bir zafiyeti bulunmayabilir. Sistem nasıl olursa olsun asıl amaç bu sisteme gelen saldırılar hakkında bilgi toplayabilmektir. Balküpü sistemleri veri toplama yöntemlerine göre düşük, orta veya yüksek etkileşimli olarak kategorize edilirler. Benzer şekilde saldırı tespitleri için honeytoken, honeynets gibi kavramlar da vardır.
Düşük etkileşimli honeypot genellikle sadece ağı dinleyen, temel seviyede bilgi toplandığı honeypotlardır. Orta seviyede ağ katmanı dışında servisleri emüle eden yazılımlarda bulunur. Yüksek etkileşimli honeypotlarda ise genellikle gerçek servisler kullanılır. Örneğin 22 portuna gelen trafiği dinleyerek port tarayan sistemleri bulmaya yönelik bir balküpü düşük etkileşimlidir. Ek olarak SSH servisini emüle ederek saldırganın port tarama işlemi dışında neler yaptığını tespit etmeye yönelik kurulan bir balküpü orta etkileşimli denebilir. Yüksek etkileşim ise artık gerçek bir SSH servisi kullanıldığı sistemlerdir.
Balküpleri doğru kurgulanırsa gerçekten etkili olabilir. Fakat unutulmaması gereken birkaç nokta var. Düşük yetkili balküplerinde tespit edilen verilerin güvenirliğini az olabilir. Örneğin ‘educational purpose’ amaçlı port taramaları da bu tarz balküplerine takılır. Aksyion alınabilir bir veri üretmek oldukça zor. Orta seviye balküplerinde saldırganın ‘gerçek’ bir aksiyon alması engellenmelidir. Aksi takdirde kurduğunuz balküpü başka sistemlere gerçek saldırılar yapabilir (örneğin SSH üzerinden yazılan kripto para üreticisi zararlı yazılımlar otomatik olarak başka portları tarayabilir). Bu duurmda başınız derde girebilir. Aynı risk yüksek seviye balküplerinde de vardır. Yüksek seviyede ise gerçekten çok iyi kontrol yapılması gerekmektedir. Doğası gereği balküpleri ürettiği veriyi bir şekilde analizciye sunmalıdır. Bu nedenle yüksek etkileşimli balküpleri aslında saldırgan ile sizin aranıza bir ara yol olabilir. Veri toplayacağım derken yeni oluşturduğunuz atak vektörlerine dikkat etmeniz gerekmektedir.
Açık Kaynak Balküpü (HoneyPot) Listesi Honeypotlar genellikle belirli bir servisi emüle eder ya da sadece belirli bir portu dinlerler. Buradaki github sayfasında oldukça kapsamlı bir honeypot listesi mevcut. Bir kısmını aşağıda paylaşıyorum :
Database Honeypots
-
Delilah - Elasticsearch Honeypot written in Python (originally from Novetta).
-
ESPot - Elasticsearch honeypot written in NodeJS, to capture every attempts to exploit CVE-2014-3120.
-
Elastic honey - Simple Elasticsearch Honeypot.
-
MongoDB-HoneyProxy - MongoDB honeypot proxy.
Web honeypots
-
Bukkit Honeypot - Honeypot plugin for Bukkit.
-
EoHoneypotBundle - Honeypot type for Symfony2 forms.
-
Glastopf - Web Application Honeypot.
Service Honeypots
-
ADBHoney - Low interaction honeypot that simulates an Android device running Android Debug Bridge (ADB) server process.
-
AMTHoneypot - Honeypot for Intel's AMT Firmware Vulnerability CVE-2017-5689.
-
Ensnare - Easy to deploy Ruby honeypot.
-
HoneyPy - Low interaction honeypot.
-
Honeygrove - Multi-purpose modular honeypot based on Twisted.
Distributed Honeypots
-
DemonHunter - Low interaction honeypot server.
Anti-honeypot stuff
-
kippo_detect - Offensive component that detects the presence of the kippo honeypot.
ICS/SCADA honeypots
-
Conpot - ICS/SCADA honeypot.
-
GasPot - Veeder Root Gaurdian AST, common in the oil and gas industry.
-
SCADA honeynet - Building Honeypots for Industrial Networks.
SSH Honeypots
-
Blacknet - Multi-head SSH honeypot system.
-
Cowrie - Cowrie SSH Honeypot (based on kippo).
-
DShield docker - Docker container running cowrie with DShield output enabled.
-
HonSSH - Logs all SSH communications between a client and server.
Liste bu şekilde uzayıp gidiyor gerçekten incelemek isteyenler sayfayı ziyaret etmeleri lazım.
Şimdi genel kurulum, dağıtık yapıda birden fazla basit veya orta seviye balküpleri kurulumu sonrası verilerin toplanarak analizciye sunulmasıdır. Fakat bu kurumlarda kullanılan (genellikle açık kaynak sistemler) sistemler tek bir servisi emüle eder ya da belirli portlar üzerinde çalışır. Ve çoğu (aslında incelediklerimin hiç biri bunu yapmıyor ama görmediğim olabilir diye çoğu diyorum) saldırgana özel bir response üretmez.
Not: Şu ana kadar en detaylı gördüğüm honeypot projesinin adı T-pot’dur. İlgililerin incelemesini tavsiye ederim.
https://github.com/dtag-dev-sec/tpotce
Siberkuvvet Balküpü Projesi
Biz de tüm portları dinleyen, protokol tespit eden, arkada ssh, telnet, ftp, web protokolleri için honeypot kurduk. 24 gün çalıştırdık. Açık kaynak olarak yayınladık. Detaylı bilgiye https://siberkuvvet.com/p/siberkuvvet-balkupu adresinden erişebilirsiniz.