Ловушки в корпоративной сети: как профы ловят вирусы и кодировщиков (и находят их IP)

В мире информационной безопасности давно придумали хитрый способ обнаруживать внутренние угрозы — будь то шпионские программы, черви или вымогатели-шифровальщики. Называется это «медовая ловушка» (англ. honeypot).

В корпоративной сети такие ловушки особенно полезны: многие вредоносные программы (особенно вымогатели) автоматически сканируют общие сетевые папки и шифруют всё подряд. Если дать им «жертву» — можно поймать атаку в самом начале… и даже узнать, с какого компьютера она пришла.

Кто этим занимается?

• Инженеры по кибербезопасности — для раннего обнаружения внутренних инфекций.
• Системные администраторы — особенно в сетях с Active Directory и общими ресурсами.
• Blue Team’ы в SOC (Security Operations Center), которые мониторят сеть 24/7.
• DevSecOps-специалисты — при защите внутренней инфраструктуры.

Но даже одиночный админ с Zabbix’ом может внедрить простую, но эффективную ловушку.

Пример: ловушка через Samba + Zabbix

1. Создайте сетевую папку без пароля (или с минимальными правами).
2. Положите туда файл-«приманку».
3. Сохраните его хеш (например, SHA256).
4. Скрипт будет проверять: не изменился ли файл и не появились ли новые (вроде README.txt).
5. Подключите проверку к Zabbix — и получайте алерт при тревоге.

Создание ловушки

mkdir -p /srv/honeypot
echo "innocent file for monitoring" > /srv/honeypot/.watchme
chmod 777 /srv/honeypot
chmod 666 /srv/honeypot/.watchme
sha256sum /srv/honeypot/.watchme > /etc/honeypot.sha256

Скрипт проверки (/usr/local/bin/check_honeypot.sh)

#!/bin/bash
HONEYPOT="/srv/honeypot"
HASHFILE="/etc/honeypot.sha256"

# Проверка хеша
if ! sha256sum -c --quiet "$HASHFILE" 2>/dev/null; then
  echo "ALERT: honeypot file modified!"
  echo "$(date '+%Y-%m-%d %H:%M:%S') — file modified" >> /var/log/honeypot.log
  exit 1
fi

# Поиск новых файлов
NEW_FILES=$(find "$HONEYPOT" -mindepth 1 ! -name ".watchme" ! -name "." -print)
if [ -n "$NEW_FILES" ]; then
  echo "ALERT: new files in honeypot: $NEW_FILES"
  echo "$(date '+%Y-%m-%d %H:%M:%S') — new files: $NEW_FILES" >> /var/log/honeypot.log
  exit 2
fi

echo "OK"
exit 0

Как узнать IP-адрес атакующего?

Да, это возможно — если включено логирование в Samba.

1. Настройка логов Samba

В файле /etc/samba/smb.conf (в секции [global]) добавьте:

log level = 2
log file = /var/log/samba/smbd.log
max log size = 100

Перезапустите Samba:

systemctl restart smbd nmbd

2. В момент срабатывания — запомните точное время

Скрипт выше уже пишет время в /var/log/honeypot.log. Например:

2025-12-30 14:23:47 — new files: /srv/honeypot/HOW_TO_DECRYPT.txt

3. Ищите IP в логах Samba

grep -A 3 -B 3 "14:23:47" /var/log/samba/smbd.log

В логах вы увидите что-то вроде:

[2025/12/30 14:23:46.123] 192.168.10.55 (ipv4:192.168.10.55:51234) connect to service honeypot
[2025/12/30 14:23:47.012] 192.168.10.55 created file HOW_TO_DECRYPT.txt

👉 IP атакующего: 192.168.10.55.

Почему это работает?

Вымогатели и сканеры:

• Автоматически ищут сетевые диски (через \\192.168.*.* или буквы дисков).
• Шифруют всё, до чего дотягиваются — без разбора.
• Оставляют «инструкцию» — файл с требованием выкупа.

Как только такой файл появляется в ловушке — вы получаете сигнал до того, как зашифруют бухгалтерию.

Вывод

Медовая ловушка — это дешёвый, простой и мощный инструмент для раннего обнаружения угроз. А с правильным логированием — вы не только узнаете, что атака началась, но и откуда она пошла.

Если у вас есть Linux-сервер с Samba и Zabbix — вы уже готовы к защите.