Fonctionnement

Tout d’abord, les honeypots sont des leurres qui ont pour buts de faire croire aux attaquants qu’ils s’introduisent dans une réelle machine de production. Ceci permettra à l’administrateur du système les méthodes utilisé pour mettre en place des attaques et s’en prémunir par la suite.

Un honeypot, mit en place correctement, met en parallèle seulement trois problématique. En effet, celui de la surveillance, la collecte d’information et l’analyse d’information.

En ce qui concerne la surveillance, il faut partir du principe que toute les données qui se trouve sur internet, allant vers le honeypot ou pas, sont important. La surveillance doit impérativement rester constante et porter sur aussi bien au niveau local et à distance. Elle doit reposer sur:

L’analyse de trafic du réseau La journalisation des événements

Ensuite, il faut récupérer l’information, grâce à des sniffeurs (Packet Analyzer) ont peut étudier les paquets qui circulent sur le réseau pour ensuite les enregistrer dans des base de données. Un autre moyen est de récupérer les informations brute en analysant les trames.
Pour finir il faut faire une analyse des informations récupéré pour découvrir les vulnérabilité du réseau et de savoir les motivations des attaquants.

Projets d'honeypots existants


Le monde des Honeypots est rempli d’outils très utiles d’utilisation et est donc facile d’accès pour des débutants.

Honeypot Buster: A Unique Red-Team Tool:


Honeypot Buster est un outil permettant à la Red Team d’éviter les pièges. L'outil détecte les sept types d'objets Honey Tokens associés à Active Directory que vous pourriez rencontrer en tant que Red Team, ou adversaire.
Lorsqu'elle est utilisée dans un contexte de piratage informatique, la Red Team est un groupe de pirates informatiques White hat qui attaquent l'infrastructure numérique d'une organisation comme le ferait un attaquant afin de tester les défenses de l'organisation (souvent appelé « test d'intrusion »). Des sociétés, dont Microsoft, effectuent régulièrement des exercices dans lesquels les Red Teams et Blue Team sont utilisées.


HoneyDrive


HoneyDrive est le paradi des Honeypots. HoneyDrive est une distribution de Linux Ubuntu fournie avec 15 HoneyPots différents pré-configurés et possédant plus de 30 outils forensic. Beaucoup de variétés y existe.
Honeyd, Kippo et Dionaea sont seulement quelques-uns de ceux-ci.


Honeynet


Le projet Honeynet est une organisation internationale de recherche sur la sécurité, "dédiée aux enquêtes sur les dernières attaques, au développement d'outils de sécurité open source pour améliorer la sécurité sur Internet et à l'apprentissage du comportement des pirates".




lien entre honeypot et ransomware


Selon le chercheur en sécurité Kevin Beaumont, « Quiconque a récemment créé un Honeypot saura que des connexions échouées RDP auront lieu en quelques secondes. Ils commencent par scanner les ports, puis arrivent par des milliers de tentatives de connexion. ». Les attaques RDP sont les plus répandue (Port : TCP 3389 (écoute) ). On peut aller sur le Darknet acheter des connections RDP d’un logiciel déjà compromis. Les connexions RDP exposées sont essentiellement un “signe ouvert au néon clignotant” qui ouvre la voie aux criminels responsables d'opérations telles que CryptON, SamSam, Bit Paymer, LockCrypt, CrySiS / Dharma, Matrix et SynAck.

En effet , comme dit dans le sujet des ransomwares , ces attaques utilisent des exploits en pratiquant une attaque de masse sur toutes les machines disponibles afin de savoir si le port , par exemple une connexion RDP , par lequel ils souhaitent entrer est ouvert ou non.
Si celui-ci est ouvert et possède une faille utilisable , bingo , il est infecté. L’Honeypot permet donc de se protéger des attaques qui se font actuellement sur leur vrais serveurs grâce aux données/connexions récoltées sur le piège.

L’Honeypot peut être utile mais est bien souvent trop onéreux niveau main d’oeuvre et déploiement pour être rentable pour les grosses entreprises.


Le honeyPot pour un particulier

L’utilisation de ce genre d’outils nécessite des connaissances et du temps, en général un honeyPot est surveillé par l’équipe de sécurité informatique qui le met en place, en effet un honeyPot à comme but principal de pouvoir analyser les méthodes d’intrusions et les manipulations du système effectuées par un quelconque attaquant.
Un particulier ne cherche pas à savoir tout ça il veut juste que son système soit sécurisé. Dans cette optique là les honeyPot ne sont pas le meilleur moyen, de plus il y a toujours le risque qu’il soit détourné et utilisé contre la société qui la mis en place. Donc dans le cas d’un particulier les HoneyPot ne sont pas une solution optimale et impliquent de trop grands risques par rapport aux bénéfices qu’il est possible d’en tirer.