История появления

Идейный вдохновитель проекта HoneyCorn, Максим Прокопов, с 2008 года активно участвует в проектах по кибербезопасности – занимается построением SOC центров, проведением пентестов и киберучений. Для эффективного решения задач в данной области не все присутствующие на рынке инструменты дают необходимый эффект. В связи с этим было принято решение начать разработку системы класса HoneyPot и Deception. Разработка стартовала в 2019 году. В то время сложно было представить, что к 2024 году будет не менее пяти Российских решений данного класса. На фоне этой, не совсем приятной новости, прогрессивно смотрелось наличие у разработчиков концепции, завязанной на решении практических вопросов. HoneyCorn не копировал Illusive и TrapX, а пошел по пути реального кибербеза.

                Тезисы концепции:

• Ловушки и приманки не отличатюся от реальных элементов инфраструктуры;
• Для всех типов сетей разработаны специализированные ловушки;
• Максимальное покрытие видимости, в соответствии с матрицей Mitre;
• Хорошая управляемость системы и качественный мониторинг «здоровья» ложных объектов;
• Эффективное встраивание системы в концепцию работы SOC центров.

Рассмотрим практические аспекты концепции, примеры использования и экономику принятия решения по внедрению систем данного класса.

Как обмануть злоумышленника?

                Кто бы что ни говорил о мистике взлома и уникальности используемых техник, но базовые правила и методологии не меняются годами. На эти хакерские устоявшиеся техники и покушается решение HoneyCorn. Зная ход мыслей взломщика, HoneyCorn даёт возможность успешно провести злоумышленнику все базовые техники, не подозревая, что он на крючке.

                При необходимости, решение позволяет докручивать определенные хитрости для повышения уровня доверия злоумышленника к ловушке или приманке. Что бы взломать ловушку или получить данные с приманки злоумышленнику придется приложить немалые усилия:

• Двухэтапная ловушка для периметра, использующая уязвимость Proxy Shell, даёт себя проэксплуатировать только после «угона» учётной записи;
• Чтобы добыть ложные креды, спрятанные на бэкапе виртуалки на сетевом диске, придётся выкачать большой объём данных и «распотрошить» виртуалку.

Но не это самое главное. Фишка в том, что часть ловушек и приманок нельзя отличить от реальной инфраструктуры, потому что они ей и являются, но не по-настоящему.  

                Решение HoneyCorn использует «living of the land» инструменты, чтобы дополнительный инструментарий не вселял подозрения хакеру.

Вероятность взаимодействия с HoneyCorn при взломе.

                Для списка базовых техник в HoneyCorn подготовлены специализированные ловушки и иллюзии, которые предстоит находить злоумышленнику. Ниже приведены примеры пар – техника и метод обмана:

• OSINT – поддельная почта, «вброс» токенов в darkweb;
• Активная разведка – классические ловушки и анализатор сетевых соединений;
• Пассивная разведка – приманки и токены;
• Горизонтальное продвижение — токены;
• Социотехника – антифишинговая ловушка;
• OWASP top 10 – конструктор Web-ловушки;
• Брут и Password spraying – SSH, RDP, Web, FTP ловушки;
• Эксплуатация – конструктор Windows и Linux ловушек;
• Эксфильтрация – приманки для анонимизации.

Располагая выбором от 2х до 5 ловушек в каждом сегменте инфраструктуры, основываясь на особенностях сегмента и техниках нападения, применимых для сегмента, мы получаем высокую вероятность выявления злоумышленника. Причём приоритет идёт на обязательное покрытие каждого сегмента, чтобы видеть продвижение злоумышленника и компрометацию сегментов.

Увеличение числа ловушек не имеет смысла, т.к. это не повысит вероятность взаимодействия с ними злоумышленника, а скорее, наоборот, отпугнёт его. В частности, если они приходятся не к месту, имеют один MAC или явно «пробрасывают» сетевой трафик. Если злоумышленник проводит сканирование, фаззинг и изучение инфраструктуры, ловушку он найдёт в любом случае, будь их 2 или 2000.

Если злоумышленник продвинутый и не планирует производить активных действий в виде сканирования, фаззинга и т.д., чтобы не попасть под прицел SOC, то классические ловушки он не увидит.  Тогда на помощь приходят приманки, которые будут лежать на каждой рабочей станции и сервере. Они будут направлять хакера на ловушки и будут являются индикаторами компрометации, которые система передаёт в SOC. Плюсом есть специализированные ловушки, которые можно найти не привлекая внимание SOC центра. Ниже примеры приманок и специализированных ловушек:

• RDP, SSH поддельные аутентификационные данные;
• Ложные учётные данные;
• Локальные DNS записи;
• Псевдоконфиденциальная информация;
• Сетевые диски с приманками;
• FTP с приманками;
• Конструктов Web;
• Ложный домен и др.

Учитывая описанные методики, у злоумышленника отсутствует шанс не попасть в ловушку, при условии правильной архитектуры внедрения решения HoneyCorn либо невероятной удачи хакера.

Минимизация риска за приемлемые деньги

                Системы класса HoneyPot и Deception — это возможность получить хорошую видимость действий злоумышленника с отсутствием ложных инцидентов и без необходимости построения полноценного SOC центра, а также решения, позволяющие обогатить действующий SOC центр данными событиями за абсолютно вменяемые затраты без использования больших человеческих и аппаратных ресурсов.