Использование программных ловушек в компьютерной разведке

Введение  3

1 Основные теоретические сведения о компьютерной разведке   5

1.1 Общие сведения о компьютерной разведке 5

1.2 Классификация компьютерных разведок  6

1.3 Методы и особенности компьютерных разведок  7

1.4 Инструменты компьютерных разведок   9

2 Использование программных ловушек в компьютерной разведке  11

2.1 Общие сведения о ловушках 11

2.2 Типы ловушек  13

2.4 Обзор и сравнение программных ловушек для компьютерной разведки   18

3 Демонстрация работы конкретной ловушки   25

Заключение  28

Список использованных источников   29

Введение

Исследования показывают, что в 2021 году было скомпрометировано более 4,5 миллиардов записей, и это число, вероятно, увеличится к концу 2022 года. С развитием технологий киберпреступники также продвигаются вперед. Они используют современные инструменты для совершения киберпреступлений.Разведывательная деятельность, является эффективным средством, с помощью которого может быть раскрыта конфиденциальная информация. Это важно признать, поскольку атаки на национальную инфраструктуру всегда будут включать в себя ту или иную форму разведки. Цель разведки возможно достичь, используя удаленный доступ через Интернет; с помощью скомпрометированных или внедренных инсайдеров, имеющих доступ к критически важным локальным данным; с помощью методов социальной инженерии с помощью преднамеренной кражи, удаленного взлома. Независимо от техники или точки обзора, разведка используется для планирования и подготовки атак на инфраструктуру. Данный аспект подтверждает актуальность темы курсовой работы и необходимость изучения данной темы.Цель работы: изучить использование программных ловушек в компьютерной разведке. Для реализации данной цели необходимо решить ряд задач:провести обзор теоретических сведения о компьютерной разведке;описать использование программных ловушек в компьютерной разведке;продемонстрировать работу конкретной ловушки.Объект исследования- использование программных ловушек в компьютерной разведке, предмет исследования- программные ловушки.В исследовании раскрыт тематический материал, предложены новых данные о предмете и объекте исследования.В ходе исследования предложена возможность использования результатов исследования для решения практических задач.Структура работы включает введение, две главы, образованные семью параграфами, заключение, список литературы.1 Основные теоретические сведения о компьютерной разведке1.1 Общие сведения о компьютерной разведкеРазведка включает в себя поиск информации, обычно общедоступной, и используется для выявления людей или потенциальных точек, которые могут быть использованы для успешной эксплуатации в дальнейшем. Чем больше информации будет собрано с помощью разведки, тем легче проникнуть к цели. Объем информации в Интернете огромен, и с появлением социальных сетей количество информации растет в геометрической прогрессии. Если будет собрано достаточное количество информации и будет проведена достаточная разведка, шансы на получение конфиденциальных данных резко возрастут.Вся незначительная на первый взгляд информация может быть весьма ценной, если она соотнесена и собрана надлежащим образом. Сегодня киберразведка через Интернет позволяет любому человеку (в том числе и противнику) относительно легко собирать и сопоставлять большое количество информации.Рассмотрим краткий пример, чтобы продемонстрировать ценность разведки. Публичная компания проводит самые современные исследования в рамках нового проекта, и на их веб-сайте есть информация о том, как компания собирается изменить способ ведения бизнеса. По разным причинам иностранное правительство хочет выяснить, что они обнаружили, и получить результаты исследований. Поскольку это публичная компания, они могут зайти на публичный веб-сайт и просмотреть финансовые отчеты, которые компания обязана подавать по закону. В ходе анализа отчетов становится ясно, что у компании был довольно неудачный год, и бизнес был тяжелым. Компания на плаву, но сотрудникам компании придется искать способы сократить расходы и быть более бережливыми. Злоумышленник также узнает, что финансовый год организации заканчивается в июне. Теперь злоумышленник начинает искать в Интернете название компании и узнает, что один из старших инженеров проекта выступает с презентацией на другую тему на предстоящей конференции. Презентация посвящена тому, как внедрить технологию X на предприятии. После презентации доступны слайды, и, просматривая слайды, злоумышленник может увидеть, что компания планирует развернуть вторую фазу этого проекта в следующем финансовом году. Просматривая сайты социальных сетей, злоумышленники могут найти других сотрудников, работающих в компании, включая имя и адрес электронной почты. Теперь злоумышленник отправляет электронное письмо в апреле старшему инженеру и подменяет поле "От" адресом электронной почты директора. Тема - бюджетные ограничения для проекта X, фаза II. В электронном письме могут быть указаны любые выгодные для отправителя сведения. Поскольку злоумышленник проделал такую хорошую работу по разведке, вероятность компрометации практически гарантирована. Интересным упражнением является проведение анализа и определение того, какая информация является общедоступной в Интернете. Часто объявления, новостные статьи и пресс-релизы могут непреднамеренно упоминать организацию или человека в организации и подвергать организацию риску. Однако многие организации даже не осознают, что эта информация существует. 1.2 Классификация компьютерных разведокРазведка, также известная как сбор информации, классифицируется как активная и пассивная разведка. Активная разведка включает в себя непосредственное взаимодействие с целью. Важно отметить, что во время этого процесса цель может записывать IP-адрес и регистрировать активность. Пассивная разведка использует огромное количество информации, доступной в Интернете. Когда кто-то проводит пассивную разведку, он не взаимодействует непосредственно с целью, и поэтому цель не имеет возможности узнать, записать или протоколировать активность. Разведка направлена на сбор как можно большего количества информации о цели. На этом этапе теста на проникновение не следует упускать из виду ни одну деталь, какой бы безобидной она не казалась. Во время сбора информации важно хранить данные в центральном месте. Разведка начинается с тщательного изучения веб-сайта цели. В некоторых случаях для создания постраничной копии веб-сайта используется инструмент под названием HTTrack. Скопированный веб-сайт будет содержать все страницы, ссылки, изображения и код с исходного веб-сайта; однако он будет находиться на локальном компьютере. Отличным инструментом для использования в разведке является Harvester. The Harvester - это простой, но очень эффективный скрипт на Python, написанный Кристианом Мартореллой из Edge Security. Этот инструмент позволяет быстро и точно каталогизировать как адреса электронной почты, так и поддомены, которые непосредственно связаны с целью.1.3 Методы и особенности компьютерных разведокРазведка предполагает сбор максимально возможной информации о жертве. Обычно эта техника связана со взломом. Ниже перечислим некоторые методы разведки:социальная инженерия: этот метод включает в себя поиск аргументов для получения конфиденциальной информации или текста, стимулируя индивидуальный разум или чувство социальных норм;погружение в утилизированные данные: Этот метод включает в себя получение конфиденциальной информации из мест утилизации информации;инструменты Usenet: Этот метод основан на сборе данных с веб-сайтов компаний, сборе информации из социальных сетей сотрудников или сборе некоторой полезной информации от конкурентов;разведка системы доменных имен (DNS): DNS-сервер может быть хорошим местом для сбора важной информации, такой как адрес почтового сервера, адрес веб-сервера, информация об операционной системе и даже комментарии.Враждебные атаки редко бывают спонтанными; каждая атака требует определенного планирования.В большинстве случаев при планировании кибератак используются три уровня разведки:Первый уровень предполагает широкий, широкомасштабный сбор данных из различных возможных источников. Этот уровень может включать поиск в Интернете, личные контакты и деловое взаимодействие.Второй уровень разведки включает целенаправленный сбор данных, часто с использованием автоматизации. Сканирование сети является наиболее распространенной функциональной поддержкой для этого уровня разведки.Третий уровень предполагает прямой доступ к цели. Примером может служить успешное хакерское проникновение в какую-либо систему с последующим сбором целевых данных.Один из возможных сценариев, который объединяет три этапа, может включать широкую разведку, когда что-то, найденное в Интернете, вызовет более целенаправленную разведку, которая будет включать в себя сканирование для поиска, что затем может быть использовано на третьем этапе для прямого доступа к цели.Эта трехэтапная модель предполагает, что на каждом уровне сбора информации злоумышленником у инженеров по безопасности существует возможность ввести скрытую информацию. Цель скрытности состояла бы в том, чтобы попытаться предотвратить раскрытие определенного типа информации в ходе разведывательной деятельности. Конкретные типы информации о национальной инфраструктуре, связанной с безопасностью, которые должны быть скрыты, следующие:Атрибуты — это информация о, казалось бы, не связанных с безопасностью функциях, функциях и характеристиках вычислений, сетей, приложений и программного обеспечения, связанных с национальной инфраструктурой. Они могут включать тип оборудования, название поставщика, размер и мощность, а также поддерживаемые функциональные возможности. Злоумышленники часто жаждут такого рода информации, потому что она помогает обеспечить контекст для конкретной атаки.Второе — это информация, связанная с защитой безопасности национального актива. Данная информация может варьироваться от технической конфигурации или данных о настройке систем до нетехнической контактной информации для ключевых сотрудников службы безопасности. Ценность этой информации должна быть очевидна; когда она получена, она обеспечивает дорожную карту для типа контрмер, которые противник должен учитывать при планировании успешной атаки.Уязвимости — это информация, связанная с уязвимыми дырами в национальной инфраструктуре. Данная информация может варьироваться от хорошо известных ошибок в коммерческих операционных системах до серьезных уязвимостей в некоторых национальных активах. Противники будут искать такого рода информацию из любого возможного источника. Источники такой информации могут включать национальную команду по управлению инфраструктурой, соответствующих поставщиков технологий или услуг или даже широкую общественность. Хакерское сообщество также является богатым источником информации об уязвимостях, особенно в том, что касается национальных активов.Из этих трех атрибутов информация об уязвимости, как правило, доминирует в большинстве дискуссий о типах информации, которые могут потребоваться противнику. На самом деле сложно скрыть информацию об уязвимостях. Хотя по-настоящему скрыть информацию об уязвимостях, скорее всего, невозможно, менеджеры по безопасности должны стремиться к конфиденциальности в этом вопросе, насколько это возможно.1.4 Инструменты компьютерных разведокИнструменты разведки - это те средства, которые используются для сбора информации, обычно в пассивном состоянии, о сетях и системах, против которых можно планировать и предпринять действия в логическом смысле. Такие усилия могут включать сбор информации с общедоступных веб-сайтов, поиск записей сервера Системы доменных имен (DNS), сбор метаданных из доступных документов, извлечение очень специфической информации с помощью поисковой системы или любой из ряда других подобных действий. Для разведки возможно использовать информацию, собранную из таких источников, как:веб-сайты;поисковые системы;поиск в whois/dns-запросах;метаданные;специализированные инструменты поиска, такие как maltego.В результате исследования в первой главе курсовой работы были проанализированы общие сведения о компьютерной разведке, приведена классификация компьютерных разведок, методы, особенности компьютерных разведок и инструменты компьютерных разведок.2 Использование программных ловушек в компьютерной разведке2.1 Общие сведения о ловушкахЛовушка (honeypot) - это компьютерное устройство, которое используется в качестве ловушки для заманивания потенциальных кибератак и сбора информации, такой как информация о цели, способе атаки и отслеживании злоумышленника. Это устройство также служит мерой защиты, отвлекая потенциально вредоносное ПО от систем, содержащих конфиденциальную информацию. Ловушка состоит из операционной системы, приложений и данных, которые имитируют поведение рабочей системы и могут представлять ценность для потенциального злоумышленника, но на самом деле изолированы и контролируются для сбора информации.Ловушки все чаще используются для сбора информации о вредоносном ПО для организации подходящих методов защиты или контратак, особенно в случае ботнетов. С точки зрения злоумышленника, они представляют опасность, поскольку могут быть использованы для распространения неверной информации, тем самым (частично) сводя на нет фазу разведки. Таким образом, способность обнаруживать ограничения в виртуальном/ вымышленном пространстве является ключевым навыком, необходимым для разработки успешных угроз.С этой целью злоумышленник может проверить наличие устройств TUN/TAP или определенных записей в кэше ARP, чтобы иметь подписи для различения реальных или виртуальных настроек. Другой механизм использует в своих интересах честное поведение ловушки, которое мешает узлу нанести вред стороннему объекту. Таким образом, злоумышленник может попытаться скомпрометировать хост и запустить некоторые шаблоны. В зависимости от результата злоумышленник сможет понять, является ли узел реальным или фиктивным.Говоря простым языком, ловушка - это компьютерная система или приложение, созданные для привлечения вредоносных агентов, пытающихся атаковать компьютерные сети с помощью спама, фишинга, DDoS или других вредоносных методов.Как только злоумышленник попадает в эту ловушку, ловушка позволяет администраторам получить ценные данные о типе злоумышленника, действиях, которые он пытался предпринять, и во многих случаях даже идентифицировать злоумышленника.Основной целью всех ловушек является выявление возникающих атак на различные типы программного обеспечения и сбор отчетов для анализа и получения разведывательных данных, которые впоследствии будут использоваться для создания методов предотвращения сетевых угроз.Системы-ловушки часто устанавливаются на виртуальной машине или облачном сервере, подключенном к сети, но изолированном и строго контролируемом системными и сетевыми командами. Чтобы помочь им быть замеченными злоумышленниками, ловушки спроектированы так, чтобы быть намеренно уязвимыми, с уязвимостями, которые злоумышленник обнаружит и попытается использовать.Эти недостатки могут быть частью дыры в безопасности внутри приложения или системных уязвимостей, таких как ненужные открытые порты, устаревшие версии программного обеспечения, слабый пароль или старое неотправленное ядро.Как только злоумышленник найдет свою уязвимую цель, он попытается начать атаку и повысить привилегии до тех пор, пока не сможет получить определенный контроль над приложением.Чего большинство из злоумышленников не знает, так это того, что администратор ловушки внимательно следит за каждым их шагом, собирая у злоумышленника данные, которые на самом деле помогут ужесточить текущие политики безопасности. Большинство ловушек работают как средства, которые отвлекают злоумышленников от важных данных, размещенных в реальных сетях. Еще одна общая черта заключается в том, что почти все попытки подключения к ловушкам могут рассматриваться как враждебные, поскольку существует мало причин, если таковые вообще имеются, которые могут побудить законного пользователя подключиться к этим типам систем.При настройке ловушки необходимо знать об уровне сложности взлома, который хочется предоставить злоумышленнику. Если ловушку слишком легко взломать, злоумышленники, вероятно, потеряют интерес или даже поймут, что имеют дело не с реальной производственной системой.С другой стороны, если система слишком защищена, фактически будут предотвращены любые атаки и не будет возможности собрать никаких данных. Таким образом, с точки зрения сложности, заманивание злоумышленника чем-то средним между простым и сложным - это лучший выбор для моделирования реальной системы.Может ли злоумышленник определить, находится ли он внутри ловушки? Конечно. Продвинутые пользователи с высоким уровнем технических знаний способны распознать несколько признаков того, что они попадают в ловушку.Даже не профессиональные пользователи могут обнаружить ловушки с помощью автоматических детекторов ловушки, таких как Honeyscore от Shodan, который дает вам возможность идентифицировать IP-адреса ловушки.2.2 Типы ловушек Существует два основных типа ловушек: исследовательские и производственные ловушки. Исследовательские ловушкиИсследовательские ловушки предназначены для проведения детального анализа хакерских атак и разработки средств для лучшей защиты от них. Исследовательские ловушки обычно содержат данные с уникальными идентификаторами, которые помогают отслеживать украденные данные и выявлять связи между атаками и конкретными объектами. Производственные ловушкиПроизводственные ловушки размещаются в сеть с другими производственными серверами и действуют как ловушка в рамках Системы обнаружения вторжений (IDS). Их цель - отвлечь злоумышленников от других производственных серверов на время, достаточное для того, чтобы администратор мог оценить и устранить уязвимости на реальных производственных серверах. Две или более ловушек в сети образуют сеть ловушек, которая представляет собой сетевую установку с преднамеренными уязвимостями. Также существуют различные уровни в зависимости от необходимого уровня сложности:Pure honeypot: это полномасштабная, полностью имитирующая производство система, которая работает на различных серверах. Она содержит «конфиденциальные» данные и информацию о пользователях, а также множество датчиков. Хотя они могут быть сложными в обслуживании, информация, которую они предоставляют, бесценна.Honeypot с высоким уровнем взаимодействия: этот тип ловушек похож на чистый honeypot в том смысле, что он запускает множество сервисов, но он не такой сложный и не содержит столько данных. Ловушки с высоким уровнем взаимодействия не предназначены для имитации полномасштабной производственной системы, но они запускают все службы, которые будут выполняться в производственной системе, включая надлежащую операционную систему. Этот тип ловушки позволяет видеть поведение и методы злоумышленника. Ловушки с высоким уровнем взаимодействия требуют больших ресурсов и сопряжены с трудностями в обслуживании, но результаты могут стоить усилий.Ловушка для промежуточного взаимодействия: данные тип эмулирует аспекты прикладного уровня, но не имеет собственной операционной системы. Они работают для того, чтобы задержать или запутать злоумышленников, чтобы было больше времени, для того чтобы понять, как правильно реагировать на атаку.Ловушка с низким уровнем взаимодействия: этот тип ловушки чаще всего используется в производственной среде. Ловушки с низким уровнем взаимодействия запускают несколько сервисов и чаще всего служат механизмом раннего предупреждения. Они просты в развертывании и обслуживании, так как многие службы безопасности развертывают несколько точек доступа в разных сегментах своей сети.Несколько используемых технологий honeypot включают в себя следующее: Ловушки для вредоносных программ: они используют известные векторы репликации и атаки для обнаружения вредоносных программ. Например, ловушки типа Ghost, были созданы для эмуляции в качестве USB-накопителя. Если компьютер заражен вредоносным ПО, которое распространяется через USB, honeypot обманет вредоносное ПО, чтобы заразить эмулируемое устройство.Спам-ловушки: они используются для эмуляции открытых почтовых ретрансляторов и открытых прокси-серверов. Спамеры будут тестировать открытую почтовую ретрансляцию, сначала отправив себе электронное письмо. Если им это удается, затем рассылают большое количество спама. Этот тип ловушки может обнаружить и распознать этот тест и успешно блокировать огромный объем спама, который следует за ним.Ловушка для базы данных: такие действия, как SQL-инъекции, часто могут оставаться незамеченными брандмауэрами, поэтому некоторые используют брандмауэр базы данных, который может обеспечить поддержку ловушки для создания баз данных-ловушки.Клиентские ловушки: большинство ловушек - это серверы, прослушивающие соединения. Клиентские ловушки активно ищут вредоносные серверы, которые атакуют клиентов, отслеживая подозрительные и неожиданные изменения в ловушке. Эти системы обычно работают на технологии виртуализации и имеют стратегию сдерживания, позволяющую свести к минимуму риск для исследовательской группы.Honeynet: вместо того, чтобы быть единой системой, honeynet - это сеть, которая может состоять из нескольких honeypots. Honeynets нацелены на стратегическое отслеживание методов и мотивов злоумышленника, сдерживая весь входящий и исходящий трафик.2.3 Преимущества и недостатки использования программных ловушек в компьютерной разведкеHoneypots предлагают множество преимуществ в области безопасности, в том числе следующие:По мере того, как злоумышленники перемещаются по среде, они проводят разведку, сканируют сеть и ищут неправильно сконфигурированные и уязвимые устройства. На этом этапе они, скорее всего, отключат ловушку, предупредив о необходимости провести расследование и ограничить доступ злоумышленника. Это позволяет вам отреагировать до того, как злоумышленник получит шанс успешно извлечь данные из среды. Злоумышленники также могут потратить значительное количество времени, пытаясь поработать с ловушкой, вместо того чтобы искать области, содержащие реальные данные. Перенаправление их атаки на бесполезную систему приводит к потере циклов и дает раннее предупреждение о готовящейся атаке.Современные honeypots не только просты в загрузке и установке, но и могут предоставлять точные предупреждения об опасных неправильных конфигурациях и поведении злоумышленников. В некоторых случаях команда может даже забыть о том, что honeypot когда-либо был развернут, пока кто-то не начнет копаться во внутренней сети. В отличие от систем обнаружения вторжений, honeypots не требуют известных сигнатур атак и свежей информации об угрозах, чтобы быть полезными.Ловушки - это недорогой способ помочь повысить уровень безопасности, поскольку они проверяют, знает ли ваша команда, что делать, если ловушка обнаруживает неожиданную активность. Может ли команда расследовать предупреждение и принять соответствующие контрмеры?Ловушки не должны быть полностью стратегией обнаружения угроз, но они представляют собой еще один уровень безопасности, который может быть полезен при раннем обнаружении атак. Это один из немногих методов, доступных специалистам по безопасности для изучения реального вредоносного поведения и выявления внутренних сетевых компрометаций. Поскольку единственные сообщения с ловушками являются враждебными, просмотр журналов очень эффективен, поскольку вся информация поступает от вредоносных действий. Это очень экономично, потому что для создания ловушки возможно использовать высококачественное бесплатное программное обеспечение honeypot с открытым исходным кодом.Недостатки:Ограниченное поле зрения: ловушки видят только то, какая активность направлена против них.Злоумышленники часто могут распознать ловушку по ожидаемым характеристикам или поведению. Вносит риск в другие системы: после атаки и компрометации honeypot может быть использован для атаки на другие системы или организации, если он не настроен должным образом.Honeypots не могут заменить другие механизмы безопасности, такие как брандмауэры, системы предотвращения вторжений, системы обнаружения вторжений и т.д., но это отличное дополнение к текущей архитектуре безопасности. Это отличный инструмент для сбора разведданных и активного выявления системных уязвимостей.2.4 Обзор и сравнение программных ловушек для компьютерной разведкиSSH honeypotsKippo: этот SSH honeypot, написанный на Python, был разработан для обнаружения и регистрации атак методом перебора. Он доступен для большинства современных дистрибутивов Linux и предлагает как управление и настройку с помощью командной строки, так и веб-интерфейс. Kippo предлагает поддельную файловую систему и возможность предлагать злоумышленникам поддельный контент (например, файлы паролей пользователей и т.д.), а также мощную систему статистики под названием Kippo Graph.Cowrite: это средство взаимодействия с SSH honeypot работает путем эмуляции оболочки. Он предлагает поддельную файловую систему, основанную на Debian 5.0, позволяющую добавлять и удалять файлы по своему усмотрению. Это приложение также сохраняет все загруженные файлы в защищенной и изолированной области, так что возможно выполнить последующий анализ, если это необходимо. Помимо эмулируемой оболочки SSH, он может использоваться в качестве прокси-сервера SSH и Telnet и позволяет перенаправлять SMTP-соединения на другой SMTP-сервер.HTTP honeypotsGlastopf: эта ловушка на основе HTTP позволяет эффективно обнаруживать атаки веб-приложений. Написанный на Python, Glastopf может эмулировать несколько типов уязвимостей, включая локальную и удаленную вставку файлов, а также SQL-инъекцию (SQLi) и использование централизованной системы ведения журнала с HPFeeds.Nodepot: это веб-приложение honeypot ориентировано на Node.js , и даже позволяет запускать его на ограниченном оборудовании, таком как Raspberry Pi / Cubietruck. Если необходимо получить ценную информацию о входящих атаках и узнать, насколько система уязвима, тогда это одна из самых актуальных ловушек. Доступный в большинстве современных дистрибутивов Linux, его запуск зависит всего от нескольких требований.Google Hack Honeypot: широко известный как GHH, этот honeypot эмулирует уязвимое веб-приложение, которое может быть проиндексировано веб-сканерами, но остается скрытым от прямых запросов браузера. Прозрачная ссылка, используемая для этой цели, уменьшает количество ложных срабатываний и предотвращает обнаружение ловушки. GHH предлагает простой конфигурационный файл, а также некоторые полезные возможности ведения журнала для получения важной информации о злоумышленнике, такой как IP, пользовательский агент и другие сведения о заголовке.WordPress honeypotsГрозный Honeypot: это один из самых популярных honeypot, используемых в Wordpress. Он буквально невидим для людей; только боты могут попасть в его ловушку, поэтому, как только автоматическая атака войдет в систему, она будет эффективно обнаружена и предотвращена. Это ненавязчивый способ защитить Wordpress от спама. Удобно, что он не требует какой-либо настройки. Необходимо только активировать плагин, и он будет добавлен во все формы, которые используются в Wordpress, как в бесплатной, так и в pro-версиях.Черная дыра: она создана для того, чтобы автоматические боты не использовали ненужную пропускную способность и другие серверные ресурсы инфраструктуры сайта. Установив этот плагин, появится возможность обнаруживать и блокировать вредоносных ботов. Эта ловушка для Wordpress работает путем добавления скрытой ссылки в нижний колонтитул всех страниц. Таким образом, он не обнаруживается людьми и ловит только ботов. Как только бот будет пойман, ему будет заблокирован доступ к веб-сайту.Wordpot: это один из самых эффективных плагинов Wordpress, который возможно использовать для повышения безопасности Wordpress. Это поможет обнаружить вредоносные признаки для плагинов и других распространенных файлов, используемых для проверки установки WordPress. Написанный на Python, он прост в установке, может быть легко обработан из командной строки и включает в себя файл wordpot.conf для простой настройки honeypot. Он также позволяет устанавливать пользовательские плагины Wordpot, чтобы была возможность эмулировать популярные уязвимости Wordpress.Ловушки для базы данныхElasticHoney: это простая, но эффективная ловушка, которая позволит перехватывать вредоносные запросы, пытающиеся использовать уязвимости RCE. Он работает, получая запросы на атаку на нескольких популярных конечных точках, таких как /, /_search и /_nodes, а затем отвечает, отправляя ответ JSON, идентичный уязвимому экземпляру Elasticsearch. Все журналы сохраняются в файле с именем elastichoney.log. Одна из лучших особенностей этого инструмента заключается в том, что он доступен как для операционных систем Windows, так и для Linux.HoneyMysql: этот простой MySQL honeypot создан для защиты баз данных на основе SQL. Написанный на Python, он работает на большинстве платформ и может быть легко установлен путем клонирования его репозитория GitHub.MongoDB-HoneyProxy: один из самых популярных honeypots MongoDB, это специальный прокси-сервер honeypot, который может запускать и регистрировать весь вредоносный трафик на стороннем сервере MongoDB. Node.js , npm, GCC, g++ и сервер MongoDB необходимы для правильной работы этого MongoDB honeypot. Он может быть запущен внутри контейнера Docker или любой другой среды виртуальной машины.Honeypots электронной почтыHoneymail: способ остановить атаки на основе SMTP. Написанный на Golang, этот honeypot для электронной почты позволит настроить множество функций для обнаружения и предотвращения атак на ваши SMTP-серверы. Его основные функции включают в себя: настройку пользовательских ответных сообщений, включение шифрования StartSSL / TLS, хранение электронных писем в файле BoltDB и извлечение информации о злоумышленнике, такой как исходный домен, страна, часть адреса электронной почты (HTML или TXT). Он также обеспечивает простую, но мощную защиту от DDoS-атак при массовых подключениях.Mailoney: это отличная ловушка для электронной почты, написанная на Python. Он может быть запущен в различных режимах, таких как open_relay (регистрация всех попыток отправки электронных писем), postfix_creds (используется для регистрации учетных данных при попытках входа в систему) и schizo_open_relay (который позволяет регистрировать все).SpamHAT: эта ловушка предназначена для улавливания и предотвращения попадания спама в любой из почтовых ящиков. Чтобы это заработало, убедитесь, что установлен Perl 5.10 или выше, а также некоторые модули CPAN, такие как IO::Socket, Mail::MboxParser, LWP::Simple, LWP::UserAgent, DBD::mysql, Digest::MD5::File, а также нужно проверить наличие работающего сервера MySQL с базой данных под названием ‘spampot’.IOT honeypotsHoneyThing: созданный для Интернета вещей с поддержкой TR-069, этот honeypot работает как полноценный модем / маршрутизатор под управлением веб-сервера RomPager и поддерживает протокол TR-069 (CWMP). Этот IOT honeypot способен эмулировать популярные уязвимости для Rom-0, Misfortune Cookie, RomPager и других. Он предлагает поддержку протокола TR-069, включая большинство его популярных команд CPE, таких как GETRPCMETHOD, получение / установка значений параметров, загрузка и т.д. В отличие от других, этот honeypot предлагает простой и отточенный веб-интерфейс. Наконец, все важные данные регистрируются в файле под названием honeything.logKako: конфигурация по умолчанию будет запускать ряд симуляций обслуживания, чтобы захватить атакующую информацию из всех входящих запросов. Он включает в себя серверы Telnet, HTTP и HTTPS. Для правильной работы Kako требуются следующие пакеты Python: Click, Boto3, Requests и Cerberus. Позволяет настроить этот IOT honeypot с помощью простого файла YAML под названием kako.yaml. Другие виды ловушекDionaea: эта ловушка с низким уровнем взаимодействия, написанная на C и Python, использует библиотеку Libemu для эмуляции выполнения инструкций Intel x86 и обнаружения шелл-кодов. Кроме того, можно сказать, что это мультипротоколная ловушка, которая предлагает поддержку таких протоколов, как FTP, HTTP, Memcache, MSSQL, MySQL, SMB, TFTP и т.д. Его возможности ведения журнала обеспечивают совместимость с Fail2Ban, hpfeeds, log_json и log_sqlite.Miniprint: поскольку принтеры являются одними из самых недооцененных устройств в компьютерных сетях, Miniprint является идеальным союзником, когда нужно обнаруживать и собирать атаки на основе принтеров. Он работает, предоставляя принтеру доступ к Интернету с использованием виртуальной файловой системы, где злоумышленники могут считывать и записывать имитированные данные. Miniprint предлагает очень глубокий механизм ведения журнала и сохраняет любые задания на печать postscript или обычного текста в каталоге загрузки для последующего анализа.Honeypot-ftp: написанный на Python, этот FTP honeypot предлагает полную поддержку обычного FTP и FTPS, поэтому позволяет выполнять глубокое отслеживание учетных данных пользователя и пароля, используемых при незаконных попытках входа в систему, а также загруженных файлов для каждого сеанса FTP / FTPS.HoneyNTP: NTP - один из самых недооцененных протоколов в Интернете, и именно поэтому рекомендуется запустить NTP Honeypot. Это NTP-сервер, смоделированный на Python, который работает без сбоев как в операционных системах Windows, так и в Linux. Он работает путем занесения всех пакетов NTP и номеров портов в базу данных Redis, чтобы была возможность выполнить последующий анализ.Таблица 1- Сравнение наиболее популярных систем-ловушекИмяловушкиПроцессустановкиинастройкиПроцессиспользованияи поддержкиУровеньпротоколированияУровеньимитацииУровеньрискаПротокол(ы),сервис(ы),приложенияCowrieСреднийСреднийВысокийСредний в режиме shellВысокий в режиме proxyНизкий в режиме shellВысокий в режиме proxyssh, telnetKippoНизкийСреднийВысокийСреднийНизкийssh, telnetGlastopfВысокийСреднийСреднийВысокийНизкийWeb-applicationFormidable HoneypotНизкийПростойНизкийВысокийВысокийРасширение для системы управления контентом WordpressBlackhole for Bad BotsНизкийПростойНизкийСреднийСреднийРасширение для системы управления контентом WordpressПродолжение таблицы 1ИмяловушкиПроцессустановкиинастройкиПроцессиспользованияи поддержкиУровеньпротоколированияУровеньимитацииУровеньрискаПротокол(ы),сервис(ы),приложенияWordpotНизкийПростойНизкийВысокийНизкий при грамотной настройке80, 443Web-ресурсDionaeaСложныйСреднийВысокийВысокийНизкийhttp, ftp, sip, smb, tftp, upnp, pptp, mssql, mqtt, memcache, epmap, blackholeMiniprintПростойПростойВысокийСреднийНизкийСетевой принтерHoneypot-ftpСреднийСреднийВысокийВысокийСреднийftp/ftpstelnet-iothoneypotНизкийНизкийВысокийНизкийНизкийtelnetВ результате исследования во второй главе курсовой работы были проанализированы общие сведения о ловушках, типы ловушек, а также проведены обзор и сравнение программных ловушек для компьютерной разведки.3 Демонстрация работы конкретной ловушкиKFSensor предварительно настроен для мониторинга всех портов TCP и UDP, а также ICMP. Он также настроен на эмуляцию общих служб.Он начинает мониторинг сразу после установки и может быть легко настроен для последующего добавления дополнительных услуг.Рисунок 1- Установка ловушки Рисунок 2- Запуск ловушкиРисунок 3- Выбор параметровРисунок 4- Мониторинг портовРисунок 5- Просмотр данныхЗаключениеЛовушка (honeypot) - это компьютерное устройство, которое используется в качестве ловушки для заманивания потенциальных кибератак и сбора информации, такой как информация о цели, способе атаки и отслеживании злоумышленника. Это устройство также служит мерой защиты, отвлекая потенциально вредоносное ПО от систем, содержащих конфиденциальную информацию. Ловушка состоит из операционной системы, приложений и данных, которые имитируют поведение рабочей системы и могут представлять ценность для потенциального злоумышленника, но на самом деле изолированы и контролируются для сбора информации.Honeypots не могут заменить другие механизмы безопасности, такие как брандмауэры, системы предотвращения вторжений, системы обнаружения вторжений и т.д., но это отличное дополнение к текущей архитектуре безопасности. Это отличный инструмент для сбора разведданных и активного выявления системных уязвимостей.В ходе выполнения курсовой работы рассмотрены понятие программной ловушки в компьютерной разведке, особенности и методы работы различных ловушек и описаны 20 лучших honeypot. Также, продемонстрировано использование ловушки KFSensor.Цель работы достигнута путем реализации трех поставленных задач. Список использованных источниковАлябьев А.А., Лагуточкин А.В. Проблемы осуществления оперативно-розыскных мероприятий в информационном пространстве сети Интернет // Проблемы правоохранительной деятельности. 2013. № 1.Номоконов В.А., Тропина Т.Л. Киберпреступность как новая криминальная угроза // Криминология: вчера, сегодня, завтра. 2012. № 24.Осипенко А.Л. Новые технологии получения и анализа оперативно-разыскной информации: правовые проблемы и перспективы внедрения // Вестник Воронежского института МВД России. 2015. № 2.Golchevsky U.V., Nekrasov A.N. On the issue of cyber security of Internet users // News of the Tula state university. Technical science. 2013. № 3.Movchan A.V. Some aspects of the use of computer intelligence to the operational-search activity // Problems of law enforcement. 2014. № 2.Osipenko A.L. New technologies of obtaining and analyzing operational and investigative information: Legal Problems and prospects of implementation // Bulletin VI Ministry of Internal Affairs of Russia. 2015. № 2.Компьютерная разведка [Электронный ресурс] URL: http://5rik.ru/best/best-199975.php?ysclid=l44hj2en9x (дата обращения:06.06.22)Ловушка, используемая в главе 3 [Электронный ресурс] URL: http://www.keyfocus.net/kfsensor/ (дата обращения:05.06.22)Модель и алгоритм функционирования клиент-серверной информационной системы в условиях сетевой разведки [Электронный ресурс] URL: https://sccs.intelgr.com/archive/2019-04/03-Maximov.pdf?ysclid=l44hktiaqc (дата обращения:05.06.22)Боевой OSINT [Электронный ресурс] URL: https://xakep.ru/2019/09/06/real-osint/ (дата обращения:06.06.22)