Eccomi qua, era da un pò che non scrivevo sul mio blog, ma finalmente ho trovato un ritaglio di tempo per poter pubblicare un nuovo articolo.
Questa volta volevo portare all’attenzione di chi mi segue il concetto di Honeypot e come deployarne qualcuno in maniera “semplice”.
Partiamo dal principio, che cos’è un Honeypot ?
Un Honeypot (senza entrare in tecnicismi troppo complicati) è sostanzialmente un sistema fake, usato come sonda (probe) per catturare e successivamente permette di analizzare gli attacchi ricevuti.
In questo caso l’Honeypot che ho deciso di deployare è Cowrie, un Honeypot che simula un servizio SSH in ascolto e ne logga i brute force attacks e le eventuali shell interaction fatte dall’attaccante.
Per poter deployare Cowrie, ho usato MHN (Modern Honey Network ) e Microsoft Azure ( per creare 2 VM).
Il primo passo è stato quello di registrare un account gratuito su Azure by Microsoft.
Creare 2 VM Ubuntu, una da usare come Server (MHN) e una come Probe ( Cowrie ).
Successivamente sulla macchina MHNServer ho installato tramite github il Modern Honey Network.
Una volta terminata la configurazione della macchina “Server” di MHN, tramite uno script messo a diposizione dal server stesso, ho “installato” Crowie sulla VM ProbeSSH (come la chiamo io).
non ho fatto altro che attendere……..
E questa è la dashboard attuale:
Come avrete notato anche voi, il numero di attacchi ricevuti (su di una singola probe) è di quasi 18mila, considerando che ho deployato Crowie Venerdì scorso, direi che non son pochi.
Sulla dashboard si ha anche una sezione apposita, dove vengono aggregati in maniera grafica i TOP attaccanti, le top password e/o i top username
Ovviamente il 99% degli attacchi ricevuti proverranno sicuramente da delle BotNet che in maniera iterativa tentano di violare servizi noti (come l’SSH per l’appunto).
Questo però ci può dare una piccola percezione di quanto sia “pericoloso” ad oggi esporre su Internet un servizio.
buonocoresecurity 