Honeypot je ‘mehanizam sajber sigurnosti’ koji je prvenstveno dizajniran da odmami hakere od legitimnih meta.
Dok se ovaj mehanizam izvodi simulacijom vrijedne imovine kao što je “server” ili “aplikacija”.
Ne samo da čak služi i kao mamac koji omogućava organizacijama da “prate” i “analiziraju” “taktike” i “tehnike” koje koriste hakeri.
Christopher Schroeder, ISC pripravnik u sklopu SANS[.]edu BACS programa, nedavno je otkrio novi Linux honeypot za uključivanje u realnom vremenu sa hakerima, a ovaj medeni pot je nazvan “GPTHoney”.
Tehnička analiza
GPTHoney je revolucionarni napredak u tehnologiji honeypot implementacijom “LLM-ova” na praktičniji i profesionalniji način.
Ova implementacija im omogućava da to učine stvaranjem pametnog i pametnog „istraživačkog okruženja“ u vezi sa sajber-bezbjednošću.
Ovaj novi pristup oponaša „ operativni sistem zasnovan na Linuxu “ za komande interfejsa umesto simulacije terminala, koji je sposoban da se bavi „SSH“ konekcijama na portu 22 kao izvršnim ulazom napadača.
Za razliku od tradicionalnih honeypotova, GPTHoney pruža individualne, zasebne, samostalne školjke za svaku IP adresu. Ne samo da čak ima i detaljne dnevnike istorije komandi što mu omogućava da ima postojanost sesije.
Arhitektura sistema uključuje tri različita tipa dodataka:-
- Tip 1 za direktnu API komunikaciju.
- Upišite 2 za pre-API obradu naredbi.
- Upišite 3 za modifikaciju odgovora nakon API-ja.
GPTHoney je vješt u izgradnji najuvjerljivijih korporativnih okruženja fokusiranih na „finansije“, „zdravstvenu zaštitu“ ili „tehnologiju“.
.webp)
Uz pomoć sofisticirane “prompt.yml” konfiguracijske datoteke, kreira ona uvjerljiva korporativna okruženja sa “realističnim sistemima datoteka”, “upravljanjem korisnicima” i “ pravilima izvršavanja naredbi ”.
.webp)
Sistem se neprimjetno integriše sa najnovijim modelima „OpenAI“ i „Anthropic“. Sada ovdje u ovom trenutku preko “handle_cmd” funkcije oni obrađuju komande koje upravljaju ‘logovanjem’, ‘interakcijama dodataka’ i ‘isporukom odgovora’.
Ovo stvara privlačno i nezgodno okruženje koje može zadržati interes napadača na duži vremenski period.
Kako bi se osiguralo da simulacija održava autentičnost dok prikuplja “sveobuhvatne zapise” ponašanja napadača u kontroliranom okruženju, nudi “odložene ping odgovore” (0,3-1,8 sekundi) i “prilagodljive SSH banere”.
Ovdje ispod smo spomenuli sve ključne karakteristike GPTHoney:-
- Izuzetno lagan (<20KB)
- Odgovori na komande generisani od strane veštačke inteligencije
- Dinamična okruženja u realnom vremenu za svakog hakera
- Prilagođeno rukovanje naredbama putem dodataka
- Detaljno evidentiranje
- OS se mijenja putem običnih engleskih upita
U arhitekturi OS-a, dnevnik istorije komandi služi kao “kritični sistem upravljanja memorijom”. Kroz “sofisticirani mehanizam za evidentiranje”, dizajniran je za praćenje i pohranjivanje interakcija korisnika.
Sistem generiše namjenske tekstualne datoteke slijedeći konvenciju imenovanja “commands_<IP>.txt” automatski kada se korisnici povežu preko svojih jedinstvenih “IP adresa”.
Sve komande uređaja i LLM odgovori su pažljivo snimljeni. Za svaku korisničku sesiju, ova implementacija stvara “izolovana okruženja”.
Pohranjivanjem “istorije naredbi”, “konfiguracija okruženja” i “stanja izvršenja” sistem održava postojanost sesije.
Nakon ponovnog povezivanja, sistem automatski ponovo učitava stanje prethodne sesije putem „JSON formatiranih“ dnevnika.
Ovo sadrži važne metapodatke kao što su ‘vremenske oznake’ (u “Zulu” vremenskoj zoni), ‘ID-ovi sesije’, ‘tipovi radnji’ (poput ‘command_execution’) i ‘detaljni izlazi komandi’.
Ova sveobuhvatna arhitektura evidentiranja omogućava neometano upravljanje sesijom olakšavajući „procese otklanjanja grešaka“ i „podržava napredne funkcije“.
Karakteristike uključuju ‘simuliranu eskalaciju privilegija’ kroz ‘sudo komande’. To ga čini vrijednim za ‘nadzor sigurnosti’ i ‘zadatke sistemske administracije’.
Sposobnost sistema da održava različita, izolovana okruženja za svaku IP adresu osigurava pouzdano dugotrajno praćenje interakcije uz očuvanje tačnog stanja „korisničkih sesija“, „struktura direktorijuma“ i „varijabli okruženja između konekcija“.
Izvor: CyberSecurityNews