В мире информационной безопасности давно придумали хитрый способ обнаруживать внутренние угрозы — будь то шпионские программы, черви или вымогатели-шифровальщики. Называется это «медовая ловушка» (англ. honeypot).
В корпоративной сети такие ловушки особенно полезны: многие вредоносные программы (особенно вымогатели) автоматически сканируют общие сетевые папки и шифруют всё подряд. Если дать им «жертву» — можно поймать атаку в самом начале… и даже узнать, с какого компьютера она пришла.
Кто этим занимается?
- Инженеры по кибербезопасности — для раннего обнаружения внутренних инфекций.
- Системные администраторы — особенно в сетях с Active Directory и общими ресурсами.
- Blue Team’ы в SOC (Security Operations Center), которые мониторят сеть 24/7.
- DevSecOps-специалисты — при защите внутренней инфраструктуры.
Но даже одиночный админ с Zabbix’ом может внедрить простую, но эффективную ловушку.
Пример: ловушка через Samba + Zabbix
- Создайте сетевую папку без пароля (или с минимальными правами).
- Положите туда файл-«приманку».
- Сохраните его хеш (например, SHA256).
- Скрипт будет проверять: не изменился ли файл и не появились ли новые (вроде
README.txt). - Подключите проверку к Zabbix — и получайте алерт при тревоге.
Создание ловушки
mkdir -p /srv/honeypot echo "innocent file for monitoring" > /srv/honeypot/.watchme chmod 777 /srv/honeypot chmod 666 /srv/honeypot/.watchme sha256sum /srv/honeypot/.watchme > /etc/honeypot.sha256
Скрипт проверки (/usr/local/bin/check_honeypot.sh)
#!/bin/bash HONEYPOT="/srv/honeypot" HASHFILE="/etc/honeypot.sha256" # Проверка хеша if ! sha256sum -c --quiet "$HASHFILE" 2>/dev/null; then echo "ALERT: honeypot file modified!" echo "$(date '+%Y-%m-%d %H:%M:%S') — file modified" >> /var/log/honeypot.log exit 1 fi # Поиск новых файлов NEW_FILES=$(find "$HONEYPOT" -mindepth 1 ! -name ".watchme" ! -name "." -print) if [ -n "$NEW_FILES" ]; then echo "ALERT: new files in honeypot: $NEW_FILES" echo "$(date '+%Y-%m-%d %H:%M:%S') — new files: $NEW_FILES" >> /var/log/honeypot.log exit 2 fi echo "OK" exit 0
Как узнать IP-адрес атакующего?
Да, это возможно — если включено логирование в Samba.
1. Настройка логов Samba
В файле /etc/samba/smb.conf (в секции [global]) добавьте:
log level = 2 log file = /var/log/samba/smbd.log max log size = 100
Перезапустите Samba:
systemctl restart smbd nmbd
2. В момент срабатывания — запомните точное время
Скрипт выше уже пишет время в /var/log/honeypot.log. Например:
2025-12-30 14:23:47 — new files: /srv/honeypot/HOW_TO_DECRYPT.txt
3. Ищите IP в логах Samba
grep -A 3 -B 3 "14:23:47" /var/log/samba/smbd.log
В логах вы увидите что-то вроде:
[2025/12/30 14:23:46.123] 192.168.10.55 (ipv4:192.168.10.55:51234) connect to service honeypot [2025/12/30 14:23:47.012] 192.168.10.55 created file HOW_TO_DECRYPT.txt
👉 IP атакующего: 192.168.10.55.
Почему это работает?
Вымогатели и сканеры:
- Автоматически ищут сетевые диски (через
\\192.168.*.*или буквы дисков). - Шифруют всё, до чего дотягиваются — без разбора.
- Оставляют «инструкцию» — файл с требованием выкупа.
Как только такой файл появляется в ловушке — вы получаете сигнал до того, как зашифруют бухгалтерию.
Вывод
Медовая ловушка — это дешёвый, простой и мощный инструмент для раннего обнаружения угроз. А с правильным логированием — вы не только узнаете, что атака началась, но и откуда она пошла.
Если у вас есть Linux-сервер с Samba и Zabbix — вы уже готовы к защите.
Комментарии
Пока нет комментариев. Будьте первым!