Das Honeypot Deployment – Wie Hacker in die Falle tappen

Lesen Sie, wie Hacker durch den Einsatz der Netzabwehrstrategie Honeypot von eigentlichen Zielen weggelockt werden und in die Falle tappen.

Mai 5, 2022 - 3 Min.
Picture of: Branka Miljanovic
Branka Miljanovic

Die eigene Sicherheit ist das höchste Gut – auch in den weiten Feldern des Internets. Transaktionen, Geldgeschäfte und sensible Daten locken Hacker oder auch „Angreifer“ an wie Bienen der Honig. Um sich vor Attacken zu schützen, gibt es das Honeypot Deployment.  

Was ist ein Honeypot Deployment?

Die Anwendung des Honeypot Deployments führt zurück in eine Welt vor dem Internet. Früher wurden mittels Honig nämlich ungebetene Gäste wie Bären von ihrem eigentlichen Ziel, zum Beispiel menschlichen Behausungen, abgelenkt oder gar in eine Falle gelockt. Schon immer ging es bei dieser Taktik also um den persönlichen Schutz. Heute hat das Honey Deployment Einzug in die digitale Welt gefunden. Jetzt verstehen wir unter dem „Honeypot“ ein Computerprogramm oder einen Server, welcher die Netzwerkdienste eines Computers, eines Rechnernetzes oder das Verhalten eines Anwenders simuliert. 

Ein Honeypot stellt einen Dienst dar, der niemals von Anwendern oder Kommunikationspartnern genutzt wird und im normalen Betrieb nie angesprochen wird. Vielmehr handelt es sich um eine Falle, mit der Angreifer auf Irrwege geführt werden. Denn der externe Zugreifer kann zwischen der Falle und den echten Diensten, auf die er zugreifen will, nicht unterscheiden. Bei der Suche nach Schwachstellen im System wird er also unumgänglich auf die für ihn ausgelegte Falle treffen, wie der Bär auf den Honig stossen wird. Ist der Hacker einmal in die Falle getappt, zeichnet der Honeypot die Informationen auf und gibt eine Warnung an die Betreiber des attackierten Services aus. 

Funktionsweisen des Honeypots 

Honeypots, die Anwender simulieren (auf Englisch „honeyclients“), nutzen normale Webbrowser und besuchen Websites, um Angriffe auf den Browser oder Browser-Plug-ins festzustellen. Dabei sind Honeypots in zwei verschiedene Arten zu unterteilen. Dem „low interaction“ und dem „high interaction“ Honeypot. Ausserdem gibt es noch vier verschiedene Arten der Implementierungen, die diese Hacker-Fallen abbilden können. Ein physischer Honeypot ist ein realer Rechner im Netzwerk mit eigener Netzwerkadresse. Ein virtueller Honeypot ist ein logisch eigenständiges System, das durch einen anderen Rechner simuliert wird. Beim Client Honeypot wird ein realer Server von einer Honeypot-Software angesprochen. Beim Server Honeypot werden reale Clients von einer Honeypot-Software „bedient“.

Die Honeypot-Technologie und ihre Arten

Die low und high interaction Honeypots sind des Weiteren in Client- und Serverseitig zu unterteilen und bringen alle verschiedene Features mit. Zum Betrieb eines Honeypots wird dieser zunächst von einem Administrator eingerichtet. In beiden Fällen ist der Honeypot isoliert; einem Angreifer darf es nicht möglich sein, vom Ablenksystem auf das Produktivsystem zuzugreifen. Dabei stehen zwei Möglichkeiten zur Verfügung: 

Physische Honeypots

Es handelt sich dabei um einen eigenständigen Rechner, der mit eigener Adresse in ein Netzwerk eingebunden wird. 

Virtuelle Honeypots

Ein logisches System, das durch eine Virtualisierungs-Software Ressourcen eines physischen Rechners zugeteilt bekommt.

Eine bekannte Open-Source-Lösung, mit der sich serverseitige Low-Interaction-Honeypots einrichten lassen, ist Honeyd. Die unter GPL veröffentlichte Software Honeyd ermöglicht Administratoren, verschiedene virtuelle Hosts in einem Computernetzwerk zu erstellen. Angreifer haben dabei in jedem Fall nur begrenzte Interaktionsmöglichkeit. Die virtuellen Rechner lassen sich so konfigurieren, dass sie diverse Servertypen abbilden. Auf diese Weise lässt sich ein Gesamtsystem inklusive der TCP/IP-Protokollstapel simulieren. 

Eine etwas grössere Auswahl unterschiedlicher Ansätze bieten clientseitige Honeypots . Bei clientseitigen Low-Interaction-Honeypots (auch Honeyclients genannt) handelt es sich um Programme, mit denen sich verschiedene Browser emulieren lassen. Anwender haben so die Möglichkeit, Webseiten zu besuchen und Angriffe auf die simulierten Webbrowser aufzuzeichnen. 

Honeypots gelingen mit folgenden Systemen: 

HoneyC:

Der Low-Interaction-Honeyclient HoneyC ermöglicht es Anwendern, gefährliche Server im Internet zu identifizieren. Statt eines vollfunktionsfähigen Betriebssystems und einer entsprechenden Client-Software kommt bei HoneyC ein emulierter Client zum Einsatz, der Serverantworten auf schädliche Inhalte untersucht. Im Grundaufbau besteht die Software aus drei Komponenten: Die Visitor-Engine ist verantwortlich für die Interaktion mit dem Server und emuliert durch Module diverse Webbrowser. Die Queue-Engine erstellt eine Liste von Servern, die von der Visitor-Engine abgearbeitet wird. Eine Evaluation der Interaktion mit einem Webserver erfolgt durch die Analyse-Engine, die nach jedem Besuch prüft, ob die Sicherheitsregeln der Software verletzt wurden.

Monkey-Spider:

 Bei Monkey-Spider handelt es sich um einen Webcrawler, der als clientseitiger Low-Interaction-Honeypot Verwendung findet. Dazu crawlt die Software Webseiten auf der Suche nach Schadcode, der eine Bedrohung für Webbrowser darstellen könnte.

PhoneyC:

 PhoneyC ist ein Honeyclient, mit dem sich diverse Webbrowser imitieren lassen, um Webseiten nach schädlichen Inhalten zu durchsuchen. Die Software ist in der Lage, Skriptsprachen wie JavaScript oder VBScript zu verarbeiten und unterstützt De-Obfuskations-Funktionen, um verschleierten Schadcode zu entwirren. 

High-Interaction-Server Honeypots

Etwas schwieriger einzurichten als Low-Interaction Honeypots sind High-Interaction Honeypots, welche zumeist vollständige Server darstellen, die Dienste anbieten. Der Fokus liegt hierbei auf manuell ausgeführten Angriffen von Hackern und darauf, diese zu protokollieren. Gerade in puncto der neuartigen Angriffsmethoden ist diese Art der Kontrolle sinnvoll. Für die Überwachung braucht es dazu sogenannte „Monitioring-Tools“:

Sebek:

Ist ein frei verfügbares Tool, welches alle Programme überwacht und die Daten an einen protokollierenden Server sendet. Ziel des Werkzeugs ist es, möglichst unerkannt zu bleiben, d. h. ein Angreifer soll möglichst weder wissen noch sollte er erahnen können, dass er überwacht wird.

Argos:

Um Angriffe über das Netzwerk zu erkennen, werden Speicherinhalte, die über das Netzwerk empfangene Daten enthalten, von dem System als verseucht markiert. Sobald verseuchter Speicherinhalt von der CPU ausgeführt werden soll, zeichnet Argos den Datenstrom und Speicherinhalt für die weitere forensische Analyse auf 

Als Ergänzung zum ohnehin schon bestehenden IT-Sicherheitssystem eignen sich Honepoty allemal. Allerdings sollte dabei immer genau geprüft werden, ob es sich bei etwaigen Fehler- oder Fremdmeldungen der Systeme tatsächlich um einen Angreifer von aussen handelt.

 

Cyber-Kriminalität – wie Sie Ihr Unternehmen schützen!