28.10.2025 06:42
USSC 0 180 Источник

Решения, которые в этой статье мы будем называть «Deception», относятся к классу DDP/TDP (Distributed Deception Platform/Threat Deception Platform) и представляют собой слой ложной инфраструктуры, имитирующий часть реальной. Главная задача таких платформ — выявить присутствие потенциальных злоумышленников в защищаемой сети и замедлить их продвижение путем направления на ненастоящие активы. Ценность решений данного класса в том, что они позволяют выявить атаку до того, как она достигнет реальных систем и нанесет ущерб.

В данной статье мы расскажем о том, что из себя представляет Deception, рассмотрим эффективность приманок и ловушек, а также протестируем их на специально подготовленных стендах.

Ловушки и приманки

Главными сущностями любого Deception являются ловушки и приманки.

Ловушки представляют собой «цифровую копию» реальных устройств, присутствующих в инфраструктуре. Это может быть имитация целых операционных систем (например, Windows 10, Windows Server 2019, Debian и других), сетевого оборудования, IoT-устройств и так далее. А может быть имитация отдельных протоколов, например, SSH, HTTP(S), SMB.

Ловушки бывают нескольких типов, например, в виде:

  • контейнеров, разворачиваемых платформой на выделенном для них сервере;

  • вложенных виртуальных машин, запускаемых на все том же выделенном сервере;

  • отдельных виртуальных машин, на которые устанавливается полноценная ОС и дополнительное ПО.

Ловушки в формате вложенных или отдельных виртуальных машин называются FullOS/RealOS. Они максимально похожи на любой обычный хост инфраструктуры за счет наличия реальной операционной системы, но при этом требуют значительного количества ресурсов: ядер процессора, оперативной памяти и места на диске. Ловушки в виде контейнеров гораздо более легковесные и могут немного уступать по интерактивности, зато ими можно покрыть большее количество защищаемых хостов.

В любом случае в каждом Deception-решении ловушки подбираются и генерируются таким образом, чтобы быть максимально привлекательными для злоумышленника, но при этом соответствовать реальной инфраструктуре.

Приманки являются информацией, которая может заинтересовать злоумышленника и привести его на одну из ловушек. Они могут быть в виде истории выполнения команд в Linux, сохраненных паролей в браузерах для Windows, различных текстовых файлов и скриптов, содержащих ложные учетные данные и адрес ловушки, и еще множества вариантов. Для большей реалистичности ненастоящие учетные записи могут быть сгенерированы на основе существующих благодаря интеграции с Active Directory, FreeIPA или OpenLDAP.

Таким образом, ловушки и приманки вовлекают злоумышленника в контролируемую среду, где его действия могут быть быстро замечены и проанализированы для дальнейшего реагирования.

По мере знакомства и погружения в Deception может возникнуть несколько логичных вопросов: а на сколько реалистичны предлагаемые этими решениями ловушки? Сразу ли очевидны они будут для возможного злоумышленника? Эффективен ли Deception в обнаружении атак и сборе разведданных о противнике? Ответить на эти вопросы нам помогла подготовка небольших тестовых стендов с 2 популярными решениями Deception и проведение их пентестов. Схемы стендов представлены на рисунках ниже, IP-адреса заменены на условные.

Рисунок 1 – Схема первого тестового стенда
Рисунок 1 – Схема первого тестового стенда
Рисунок 2 – Схема второго тестового стенда
Рисунок 2 – Схема второго тестового стенда

Разворачивание ловушек

Выбор ловушек осуществлялся исходя из имеющихся защищаемых хостов с целью максимально (по возможности) соответствовать им. Различные вендоры дают свои рекомендации по оптимальному количеству ловушек в зависимости от инфраструктуры, обычно это от 30-50 до 100% от количества защищаемых хостов. Покрытие на наших стендах составило 100% — то есть, по одной ловушке на каждый защищаемый хост.

Сам по себе процесс развертывания большинства ловушек довольно прост: необходимо выбрать желаемый тип из доступных, настроить параметры ловушки (например, параметры сети, открытый порт и т.д.) и подтвердить ее создание. Ловушки, имитирующие реальную ОС, так называемые RealOS или FullOS, могут требовать разворачивания отдельной виртуальной машины с полноценной ОС и установкой дополнительного ПО. Большинство решений предлагают автоматизированное создание большого количества ловушек на основе информации об инфраструктуре, что позволяет значительно ускорить этот процесс.

Стоит отметить: количество устройств на представленных стендах значительно меньше, чем в любой реальной инфраструктуре, что немного снижает эффективность ловушек. Это необходимо учитывать при дальнейшем рассмотрении результатов.

Распространение приманок

Распространение приманок происходит централизованно из интерфейса Deception-решения. Как правило, всегда есть как минимум 3 варианта распространения: SSH для Linux, WinRM для Windows, с помощью скрипта для любой ОС. Также дополнительно могут быть реализованы и другие варианты, например, PaExec, PsExec, SSCM или GPO.

На все защищаемые хосты были распространены различные приманки:

  • текстовые файлы с адресами ловушек и ложным логином/паролем;

  • файлы-канарейки, например, word-файл с привлекательным названием и макросом, который при открытии файла отправля��т запрос на ловушку;

  • различные файлы-скрипты для подключения к базам данных, RDP, FTP, SSH, ведущие на ловушки;

  • и другие.

Пентест стендов и полученная информация о ловушках

Вводная информация, которую получили пентестеры перед началом работы c каждым из стендов:

  • известно о том, что в сети есть ловушки, но неизвестно их количество, соотношение с защищаемыми хостами и т.д;

  • известны адрес и маска сети (например, 192.168.20.0/24);

  • выдана доменная учетная запись пользователя в AD;

  • на всех хостах и учетных записях в защищаемой сети установлены устойчивые пароли.

Задача: провести стандартный пентест и сделать вывод о том, какие хосты являются ловушками, а какие — нет, обосновав свое решение.

Результаты для первого стенда: специалистом было правильно определено 50% (2 из 4) ловушек.

DeceptivePorts выдала себя из-за TTL = 64, что характерно для Linux (рис. 3), при этом набор открытых портов соответствует Windows (рис. 4). Идея сделать открытыми именно эти порты была как раз для того, чтобы попробовать сымитировать хост Windows 10.

Рисунок 3 – TTL для ловушки DeceptivePorts
Рисунок 3 – TTL для ловушки DeceptivePorts
Рисунок 4 – Отрытые порты на ловушке DeceptivePorts
Рисунок 4 – Отрытые порты на ловушке DeceptivePorts

FullOS Windows ловушка была определена из-за разного имени хоста в сертификатах RDP и SSL WinRM (рис. 5-6):

Рисунок 5 – Имя хоста в сертификате для RDP
Рисунок 5 – Имя хоста в сертификате для RDP
Рисунок 6 – Имя хоста в сертификате для WinRM
Рисунок 6 – Имя хоста в сертификате для WinRM

Ловушки FullOS Linux и HTTP(S)v2 и сами защищаемые хосты не вызвали у пентестера подозрений и были отнесены к нормальным узлам.

Результаты для второго стенда: специалистом, выполнявшим тестирование «в лоб», то есть без попыток хоть как-то обнаружить ловушки и избежать их сработок, было выявлено 50% ловушек — 3 из 6.

Ими стали сервер эмулируемых ловушек и две эмулируемые ловушки — Windows 10 и Windows Server 2016. Пентестер обратил внимание на странные имена хостов, редко встречающийся в современных условиях гостевой (анонимный) доступ к SMB и протокол Telnet на Windows.

Кроме того, были обнаружены две приманки — файлы с ложными данными для подключения к базе данных Postgres. Попытка использовать их, конечно, не была успешной, но добавила нам дополнительных событий в интерфейсе Deception.

Защищаемые хосты и другие ловушки подозрений у пентестера не вызвали.

Второй специалист при выполнении пентеста старался избежать сработок ловушек, и ему удалось определить 83% из них — 5 из 6.

Эмулируемая ловушка WindowsServer 2016 выдала себя при сканировании из-за TTL=64, характерного для Linux и портов, характерных для Windows: 445/tcp open  microsoft-ds syn-ack ttl 59

Сервер эмулируемых ловушек был определен не только по TTL = 64 и открытому 445 порту, а еще и по случайным данным в имени компьютера и имени домена:

ComputerName: oABgQnlG
DomainName: DTNDKhZF

RealOS-ловушка Linux и эмулируемая ловушка Debian попали под подозрение из-за абсолютно идентичных ответов на запросы по 80 порту:

< HTTP/1.1 401 UNAUTHORIZED

< WWW-Authenticate: Basic realm=""

< Content-Type: text/html; charset=utf-8

< Connection: keep-alive

< Server: Apache/2.4.41

< Content-Length: 0

< Set-Cookie: ymcontrol_dest=oBIl7AvzOoNrm9bR; Path=/

< Date: Wed, 11 Jun 2025 12:12:56 GMT

Данные, которые удалось получить с помощью Deception, и как их можно использовать

Во время проведения испытаний первого стенда на сервере управления зафиксировано 149758 событий, из которых:

  • 0 с максимальной критичностью;

  • 5455 с высокой критичностью;

  • 144303 cо средней критичностью;

  • 0 с низкой критичностью.

C ловушкой HTTP(s) v2 связано 147748 событий, с ловушкой FullOS Linux — 1294 события, с ловушкой Deceptive Ports — 672 события, с ловушкой FullOS Windows — 44 события.

В каждом событии содержится его дата, уровень критичности, сработавшая ловушка, источник атаки, дополнительная информация, связанная с протоколом, используемым на ловушке.

Во время проведения тестов второго стенда на сервере управления сформировано:

  • при работе первого специалиста: 16 инцидентов на основе около 7900 событий с попытками использовать протоколы HTTPS (>3000 событий), WIN (>1700 событий), HTTP (>1000 событий), TELNET и RPC (>700 событий по каждому) и другие;

  • при работе второго специалиста: 6 инцидентов на основе около 1700 событий с попытками использовать протоколы WIN (>1650 событий), SMB (>5 событий), HTTP, SSH (по 2-3 события).

Каждый инцидент содержит информацию об использованных в нем учетных данных, источнике, целевом хосте-ловушке, сработавших протоколах (событиях по ним), маппинг на MITRE ATT&CK, описание отдельных событий, сформировавших инцидент.

Собранные данные можно использовать во многих связках ИБ-инструментов, ниже на рисунках 7-8 приведены примеры:

Рисунок 7 — Deception → SIEM → SOAR → Firewall
Рисунок 7 — Deception → SIEM → SOAR → Firewall
Рисунок 8 — Deception → SIEM → SOAR → AD
Рисунок 8 — Deception → SIEM → SOAR → AD

Заключение

Проведенные испытания двух тестовых стендов наглядно демонстрируют полезность и эффективность Deception-решений в обнаружении атак. Несмотря на небольшие стенды и знание о наличии в инфраструктуре ловушек, опытные специалисты обнаружили лишь их часть. А в самих системах сформировались тысячи событий и десятки инцидентов, даже несмотря на попытки целенаправленно избегать ловушки.

Deception-решения не только позволяют выявить присутствие нарушителя в сети, но и собирают ценную разведывательную информацию о его тактиках, техниках и процедурах, что критически важно для построения эффективной защиты. Интеграция с SIEM, SOAR и другими системами открывает возможности для автоматизации реагирования, превращая Deception в компонент комплексной системы безопасности.

Данный класс решений имеет и перспективы развития, основными направлениями которого могут быть: повышение реалистичности ловушек, увеличение разнообразия и правдоподобности приманок, а также разработка более гибких методов их распространения. В будущем можно ожидать появления решений, способных динамически адаптировать свою ложную среду под действия злоумышленника, что значительно повысит их эффективность против сложных целевых атак.

Авторы:

Кирилл Кузьминых, помощник инженера направления автоматизации ИБ

Андрей Жуков, ведущий специалист по анализу защищенности

Анастасия Прядко, специалист по анализу защищенности

Комментарии (0)