HoneyPot by MHN

Eccomi qua, era da un pò che non scrivevo sul mio blog, ma finalmente ho trovato un ritaglio di tempo per poter pubblicare un nuovo articolo.

Questa volta volevo portare all’attenzione di chi mi segue il concetto di Honeypot e come deployarne qualcuno in maniera “semplice”.

Partiamo dal principio, che cos’è un Honeypot ?

Un Honeypot (senza entrare in tecnicismi troppo complicati) è sostanzialmente un sistema fake, usato come sonda (probe) per catturare e successivamente permette di analizzare gli attacchi ricevuti.

In questo caso l’Honeypot che ho deciso di deployare è Cowrie, un Honeypot che simula un servizio SSH in ascolto e ne logga i brute force attacks e le eventuali shell interaction fatte dall’attaccante.

Per poter deployare Cowrie, ho usato MHN (Modern Honey Network ) e  Microsoft Azure ( per creare 2 VM).

Il primo passo è stato quello di registrare un account gratuito su Azure by Microsoft.

Creare 2 VM Ubuntu, una da usare come Server (MHN) e una come Probe ( Cowrie ).

Successivamente sulla macchina MHNServer ho installato tramite github il Modern Honey Network.

Una volta terminata la configurazione della macchina “Server” di MHN, tramite uno script messo a diposizione dal server stesso, ho “installato” Crowie sulla VM ProbeSSH (come la chiamo io).

 

non ho fatto altro che attendere……..

E questa è la dashboard attuale:

 

 

 

Come avrete notato anche voi, il numero di attacchi ricevuti (su di una singola probe) è di quasi 18mila, considerando che ho deployato Crowie Venerdì scorso, direi che non son pochi.

Sulla dashboard si ha anche una sezione apposita, dove vengono aggregati in maniera grafica i TOP attaccanti, le top password e/o i top username

Ovviamente il 99% degli attacchi ricevuti proverranno sicuramente da delle BotNet che in maniera iterativa tentano di violare servizi noti (come l’SSH per l’appunto).
Questo però ci può dare una piccola percezione di quanto sia “pericoloso” ad oggi esporre su Internet un servizio.

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.