{"id":5210,"date":"2022-08-25T12:30:02","date_gmt":"2022-08-25T15:30:02","guid":{"rendered":"https:\/\/base4sec.com\/nao-categorizado\/colos-de-mel-armadilhas-para-o-adversario\/"},"modified":"2025-02-25T19:32:39","modified_gmt":"2025-02-25T22:32:39","slug":"colos-de-mel-armadilhas-para-o-adversario","status":"publish","type":"post","link":"https:\/\/base4sec.com\/pt-br\/pesquisar\/colos-de-mel-armadilhas-para-o-adversario\/2022\/08\/25\/","title":{"rendered":"Colos de mel: armadilhas para o advers\u00e1rio"},"content":{"rendered":"
\n
\n
\n
\n

Todos os dias, as empresas recebem centenas ou milhares de ataques automatizados em busca de novas v\u00edtimas potenciais. Milhares de bots, scrappers, crawlers e scripts est\u00e3o escaneando faixas de endere\u00e7os IP e\/ou dom\u00ednios para servi\u00e7os expostos que s\u00e3o inseguros, antigos ou mal configurados, para fins m\u00faltiplos, tais como aumento de botnet, minera\u00e7\u00e3o de moedas criptogr\u00e1ficas, filtragem de dados, e muito mais. Isto representa um cen\u00e1rio dif\u00edcil para os defensores, onde eles sempre t\u00eam que conhecer 100% de seus servi\u00e7os expostos, vers\u00f5es, infra-estrutura e tudo feito corretamente, sem nenhuma falha de seguran\u00e7a. Uma estrat\u00e9gia interessante \u00e9 usar uma das principais t\u00e9cnicas de Defesa Cibern\u00e9tica Ativa, que s\u00e3o os Honeypots para tentar descobrir o que eles est\u00e3o procurando, o que eles exploram e qual \u00e9 o padr\u00e3o que os atacantes seguem.<\/p>\n

O que \u00e9 um Honeypot?<\/h3>\n

Um pote de mel \u00e9 um sistema de armadilha ou engodo que visa atrair atacantes a fim de proteger os sistemas inform\u00e1ticos reais de uma organiza\u00e7\u00e3o. Algumas de suas fun\u00e7\u00f5es s\u00e3o coletar informa\u00e7\u00f5es sobre os atacantes e seus ataques, alert\u00e1-los sobre poss\u00edveis ataques, atras\u00e1-los ou distra\u00ed-los. Eles s\u00e3o projetados para fingir ser um sistema leg\u00edtimo, mas com servi\u00e7os mal configurados, com vulnerabilidades conhecidas, fingindo ser o para\u00edso de um atacante!<\/p>\n

Neste posto, criaremos um para coletar informa\u00e7\u00f5es sobre os atacantes e suas t\u00e9cnicas. Como tudo no mundo da ciber-seguran\u00e7a, a cria\u00e7\u00e3o e o uso de um desses dispositivos acarreta um grande risco que devemos contemplar. Como este honeypot \u00e9 apenas para fins de pesquisa, n\u00e3o o queremos perto da rede de nossa organiza\u00e7\u00e3o, por isso usamos um fornecedor de nuvens (Google Cloud, AWS, Azure, Digital Ocean).<\/p>\n

Criando um pote de mel<\/h3>\n

Para a cria\u00e7\u00e3o e implanta\u00e7\u00e3o de nosso honeypot, contaremos com o projeto “T-Pot” com mais de 8 anos de atualiza\u00e7\u00f5es e manuten\u00e7\u00e3o, que conta com um conjunto de mais de 20 honeypots, como o Cowrie (Honeypot simula um servi\u00e7o SSH e TELNET), e o Dionaea (Simula um servi\u00e7o FTP, MySQL, SMB, entre outros) e ainda tem o Elastic Stack para visualiza\u00e7\u00e3o de ataques, logs, solicita\u00e7\u00f5es, etc. Como a T-Pot usa o Docker para criar todos os servi\u00e7os, nosso servidor virtual deve ter mem\u00f3ria RAM suficiente para a vers\u00e3o padr\u00e3o, se desativarmos alguns honeypots \u00e9 poss\u00edvel que o consumo de mem\u00f3ria diminua. Neste caso, usamos uma gota com Debian 11, 8GB de RAM e 80GB de disco.<\/p>\n

<\/div>\n

Uma vez criada nossa got\u00edcula, a implanta\u00e7\u00e3o do T-Pot \u00e9 bastante simples e automatizada, dentro de seu reposit\u00f3rio eles t\u00eam um tutorial que explica em detalhes todas as suas configura\u00e7\u00f5es, mas se quisermos deixar tudo por padr\u00e3o, seria t\u00e3o simples quanto executar o seguinte:<\/p>\n

<\/div>\n

Isto nos guiar\u00e1 durante todo o per\u00edodo de instala\u00e7\u00e3o. Uma vez que tenhamos configurado e instalado tudo, nosso servidor ser\u00e1 reiniciado, e algo importante a ter em mente s\u00e3o as portas onde os servi\u00e7os de gerenciamento de T-Pot ouvem:<\/p>\n