📶 SSH Honeypot.
📶 SSH Honeypot.
• В прошлом году публиковал ссылку на интересное исследование [1] [2], в котором автор собирал статистику и описывал варианты настройки своего SSH-ханипота. Если не читали, то обязательно ознакомьтесь!
• Так вот, в этом посте собрано небольшое кол-во open source SSH-ханипотов, которые можно использовать для защиты своих серверов и локальных сетей. Тут стоит отметить, что ханипоты не только замедляют атаку и дезориентируют злоумышленников, но и присылают алерты и собирают информацию об атакующем. В некоторых случаях этих данных хватает, чтобы понять его методы и мотивы. С помощью ханипотов можно получать ранние предупреждения о начавшейся атаке, выявлять "слепые пятна" в существующей архитектуре безопасности и совершенствовать стратегию защиты в целом.
➡Cowrie — приманка SSH и Telnet со средним и высоким уровнем взаимодействия. Предназначена для регистрации попыток брутфорса. В разных режимах работает как прокси-сервер для SSH и telnet или эмулирует систему UNIX с полноценной фейковой файловой системой. Хорошо работает в паре с Longitudinal Analysis для обработки журналов.
➡sshesame — простой в настройке поддельный SSH-сервер, который позволяет подключиться любому, и регистрирует SSH-соединения и активность, не выполняя на самом деле никаких команд и запросов.
➡Mushorg / Glutton — SSH и TCP-прокси, который работает как MITM между злоумышленником и сервером и позволяет шпионить за его действиями.
➡pshitt — легковесный поддельный SSH-сервер, предназначенный для сбора аутентификационных данных, отправленных злоумышленниками. Сохраняет в JSON логины и пароли, используемые программным обеспечением для перебора SSH.
➡SSH Honeypot — еще одно решение для сбора базовых сведений об атаке. Прослушивает входящие ssh-соединения и регистрирует IP-адрес, имя пользователя и пароль, которые использует клиент.
➡FakeSSH — докенизированный SSH-сервер-приманка с низким уровнем взаимодействия, написанный на Go. Регистрирует попытки входа в систему, но всегда отвечает, что пароль неверен.
➡docker-ssh-honey — еще одна простая приманка с аналогичной FakeSSH функциональностью.
➡ssh-auth-logger — регистрирует все попытки аутентификации в виде json, не взаимодействует со злоумышленником.
➡ssh-honeypotd — SSH-приманка с низким уровнем взаимодействия, написанная на C.
➡Honeyshell — написанная на Go SSH-приманка. Собирает логины и пароли.
➡Endlessh — коварная штука, которая открывает сокет и притворяется сервером SSH, который очень медленно отправляет SSH-баннер. Способна удерживать клиентов в течение нескольких часов или даже дней. Значительно замедляет и даже парализует работу ботов и сканеров.
S.E. ▪️ infosec.work ▪️ VT
• В прошлом году публиковал ссылку на интересное исследование [1] [2], в котором автор собирал статистику и описывал варианты настройки своего SSH-ханипота. Если не читали, то обязательно ознакомьтесь!
• Так вот, в этом посте собрано небольшое кол-во open source SSH-ханипотов, которые можно использовать для защиты своих серверов и локальных сетей. Тут стоит отметить, что ханипоты не только замедляют атаку и дезориентируют злоумышленников, но и присылают алерты и собирают информацию об атакующем. В некоторых случаях этих данных хватает, чтобы понять его методы и мотивы. С помощью ханипотов можно получать ранние предупреждения о начавшейся атаке, выявлять "слепые пятна" в существующей архитектуре безопасности и совершенствовать стратегию защиты в целом.
➡Cowrie — приманка SSH и Telnet со средним и высоким уровнем взаимодействия. Предназначена для регистрации попыток брутфорса. В разных режимах работает как прокси-сервер для SSH и telnet или эмулирует систему UNIX с полноценной фейковой файловой системой. Хорошо работает в паре с Longitudinal Analysis для обработки журналов.
➡sshesame — простой в настройке поддельный SSH-сервер, который позволяет подключиться любому, и регистрирует SSH-соединения и активность, не выполняя на самом деле никаких команд и запросов.
➡Mushorg / Glutton — SSH и TCP-прокси, который работает как MITM между злоумышленником и сервером и позволяет шпионить за его действиями.
➡pshitt — легковесный поддельный SSH-сервер, предназначенный для сбора аутентификационных данных, отправленных злоумышленниками. Сохраняет в JSON логины и пароли, используемые программным обеспечением для перебора SSH.
➡SSH Honeypot — еще одно решение для сбора базовых сведений об атаке. Прослушивает входящие ssh-соединения и регистрирует IP-адрес, имя пользователя и пароль, которые использует клиент.
➡FakeSSH — докенизированный SSH-сервер-приманка с низким уровнем взаимодействия, написанный на Go. Регистрирует попытки входа в систему, но всегда отвечает, что пароль неверен.
➡docker-ssh-honey — еще одна простая приманка с аналогичной FakeSSH функциональностью.
➡ssh-auth-logger — регистрирует все попытки аутентификации в виде json, не взаимодействует со злоумышленником.
➡ssh-honeypotd — SSH-приманка с низким уровнем взаимодействия, написанная на C.
➡Honeyshell — написанная на Go SSH-приманка. Собирает логины и пароли.
➡Endlessh — коварная штука, которая открывает сокет и притворяется сервером SSH, который очень медленно отправляет SSH-баннер. Способна удерживать клиентов в течение нескольких часов или даже дней. Значительно замедляет и даже парализует работу ботов и сканеров.
S.E. ▪️ infosec.work ▪️ VT
Канал источник:@Social_engineering