Honeypots & Deception ft. Moritz Samrock
Breach FM ist, ich wollte schon sagen, von einer Sommerpause zurück,
aber ich glaube, ich behalte mir das Wort Sommerpause noch vor,
weil vielleicht mache ich noch eine richtige Sommerpause.
Diese Sommerpause war nämlich so eine kleine Mischung aus, ich war viel unterwegs
und ich hatte auch ein bisschen wenig Bock die letzten zwei Wochen, ehrlicherweise.
Ich kam frisch erst aus Japan wieder zurück letzte Woche, war diese Woche gleich
schon wieder unterwegs und manchmal gibt es dann im Leben andere Prioritäten als den Podcast.
Mich hat sehr gefreut, dass ich mehrere schockierte Nachrichten bekommen habe,
ob alles gut sei oder ich glaube, einer hat gefragt, wie es denn mit dem Podcast weitergeht.
Ich fühle mich einerseits immer total geehrt, dass ihr euch Sorgen macht,
wenn am Montag um 7 Uhr noch keine Folge draußen ist.
Aber bitte macht eure Glückseligkeit nicht von irgendeinem Podcast abhängig.
Manchmal sind es die einfachsten Gründe und zwar, ich hatte einfach keinen Bock.
Wie ich schon mal gesagt habe, mittlerweile einfach Qualität vor Quantität und
es muss sich richtig anfühlen von dem her. Wir sind jetzt bei Folge 51 mittlerweile.
Ich werde bald noch so ein kleines Special zu 50 Folgen raushauen,
beziehungsweise zwei Jahren Breach FM, da könnt ihr euch noch drauf gefasst machen.
Es wird auch bald wieder mit dem D-Max weitergehen und dem Flurfunk-Format.
Heute allerdings auch D-Max.
Freue ich mich total mal wieder drauf, hier im alten Format in Anführungsstrichen
zu sein, mit einem Langformat-Gespräch, ich nenne es ja mal nicht Interview.
Das Ganze hat so angefangen, mein Gast Moritz wird sich gleich vorstellen.
Ich habe vor, ich glaube, Moritz ist auch drei Wochen mittlerweile schon her,
hast du auf LinkedIn was veröffentlicht,
kennen uns jetzt nun auch schon ein paar Tage, haben auch schon immer mal wieder
mit dem ganzen Thema Red Teaming zusammengearbeitet und hast ein bisschen was
über Honeypots geschrieben und auch
so ein bisschen über andere Dinge wie Deception und da habe ich gesagt,
ey, Moritz, wäre doch eigentlich mal eine coole Gelegenheit,
über diese Dinge einfach mal im Podcast zu sprechen.
Und deswegen, ich kenne dich, viele andere kennen dich vielleicht nicht.
Stell dich doch einfach mal vor.
Ja, moin Robert. Vielen Dank für die Einladung. Ja, wir haben,
ich glaube, wir kennen uns jetzt knapp zwei Jahre tatsächlich.
Der Andreas Krüger, unser Geschäftsführer, war, glaube ich, auch im Dezember
vor eineinhalb Jahren oder sowas schon mal bei dir im Podcast.
Ich bin einer von 19 Hackern bei Laocoon Security in Bonn.
Wir haben uns rein auf das Thema offensive Sicherheit spezialisiert.
Das heißt, wir machen Penetrationstests und eben, wie du angesprochen hast,
Red Teaming Assessments.
Sind da technisch ziemlich versiert, machen überhaupt nichts in dem Bereich
Konzeption. Das macht uns nicht ganz so viel Spaß, eben die dann tatsächlich
zu hacken, Schwachstellen zu finden und am Ende die Unternehmen dadurch sicherer zu machen.
Genau, wir sitzen in Bonn, sind ein relativ junges und gerade gut wachsendes
Unternehmen. Das freut mich auch sehr.
Und so eine kleine Sache, die sich aus unserer Tätigkeit als Angreifer im Grunde
entwickelt hat, ist eben auch dieses Thema Honeypotting, Deception,
wo wir gerade anfangen, so eine Art Service zu entwickeln.
Genau.
Und dadurch hatte ich dann den Auftrag, einmal bei einem kleinen Event in Gummersbach
einen Vortrag zu halten,
was Honeypots und Deception-Techniken an sich sind, was sie auswirken können.
Und tatsächlich bin ich ein ziemlich großer Fan davon, weil aus Verteidigersicht
ist das eine sehr, sehr charmante Sache.
Ja, ich tue mich ja immer mit diesem Begriff Honeypots so ein bisschen schwer,
weil ich da immer so an die, ich meine, wann habe ich mit Honeypotting angefangen?
Das ist 10, 11, 12 Jahre her, da haben wir teilweise über tatsächlich Transportnetze,
DSL-Netze, haben wir anonymisiert Honeypots aufgestellt, um zum Beispiel auch
einfach mal Nutzungsstatistiken zu machen. Wie viel Malwerk geht denn überhaupt rum?
Was ist so an SMTP-Traffic in Sachen maliziös unterwegs?
Das war super interessant und da waren die Dinger damals auch noch relativ effektiv,
um besonders so große Massen einfach mal abzufangen, um auch Statistiken zu ziehen.
Man hat aber auch gemerkt, dass dieses herkömmliche Honeypotting,
wie man es damals gelebt hat, irgendwann, glaube ich, technologisch ziemlich
ausgereizt war und da wirklich auch nur noch, ich würde mal sagen,
dieser 0815-Abfall maximal drinnen hängen blieb.
Also die Dinger waren, ich glaube, du kannst es selbst bestätigen,
damals relativ starr und konnten mit den einfachsten Mitteln ausgetrickst werden
oder zumindest erkannt werden auch von Angreifers Seite.
Da ging es um Keyboards, da ging es um Betriebssystemerkennung und so weiter.
Und sobald da einfach ein, zwei Parameter erfüllt waren, wurde teilweise einfach
ein Kill-Switch angeworfen.
Und am Ende haben die Dinger, glaube ich, war so meine Theorie damals,
fast zum Gegenteil manchmal geführt, weil Angreifer relativ schnell erkennen konnten,
wo Honeypots waren und dann teilweise daraufhin basierend eben auch sich selbst
anpassen konnten oder sich selbst töten konnten,
was zumindest dazu geführt hat, dass sie in keiner Detection Rule landeten oder
in keinem Pattern-File landen könnten.
Hast du das damals auch betrachtet und wie hat sich das damalige Honeypotting
zu dem Honeypotting, Deception, ist ja noch ein bisschen was anderes,
aber in einem ähnlichen Spektrum, wie hat sich das verändert?
Ja, also dieses Thema Honeypotting ist, glaube ich, wie ganz,
ganz oft in der Cybersicherheit so eine Begriffssache.
Also es ist ein Begriff, der sehr, sehr bekannt ist.
Es gibt aber ganz, ganz viele Menschen, die da etwas anderes darunter verstehen. und,
Es gibt ja verschiedene Herangehensweisen. Also das, was du beschreibst,
ist ja eher sowas, man hängt etwas ans externe, also aus dem Internet erreichbare
Netz und schaut dann, was kommen da für Requests drauf.
Da muss man sich vorstellen, also jeder, der mal ein Raspberry Pi irgendwie
ans Internet gehängt hat oder sich Logs von einem Webserver anschaut,
der sieht, dass da, also das dauert Sekunden, da sind die ersten Angriffe drauf.
Und Angriffe heißt in dem Fall jetzt nicht der verrückte Cyberangriff,
sondern einfach Brutforcing von Passwörtern, von bekannten Passwörtern,
Standardpasswörtern, wie auch immer.
Und das ist natürlich irgendwo etwas, was nicht unbedingt gewünscht ist,
was bestimmt in irgendwelchen Statistiken auch schon als Cyberangriff gewertet wird.
Am Ende des Tages ist das aber, ich sage mal, das klassische Grundrauschen im Internet. nett.
Und Honeypotting an sich hieß mal meines Erachtens, oder wenn ich den Begriff
richtig verstehe, auch sowas wie etwas, was anlockt.
Also Honeypot, der Honig, der den Bären, den Angreifer anlockt,
damit er sich ein bisschen damit beschäftigt, um möglicherweise herauszufinden,
was eigentlich für einen Angreifer gerade interessant ist,
was eigentlich Angreifer momentan so für Sachen haben. Da gibt es ganz, ganz coole Projekte.
Zum Beispiel haben wir mal einen SSH-Service einfach so modifiziert,
dass einfach grundsätzlich gar kein Login möglich war.
Der hat aber valide geantwortet und wir haben einfach mal rausgesucht,
was für Passwörter nutzen die denn?
Ist das so die klassische Rock-U, die die dann einmal drauflaufen lassen?
Sind das einfach nur Standard-Passwörter und, und, und? Und da kann man natürlich
sehr coole Statistiken erstellen. Die Telekom macht das ja auch mit ihrem,
ich weiß den Begriff jetzt gerade nicht mehr auswendig, aber die haben ja quasi
ihr Barometer, wo sie dann international sehen können, von wo nach wo gerade Angriffe entstehen.
Ihr Security-Tachometer oder ähnliches heißt das. Genau, da kann man coole Statistiken
erstellen und so ein bisschen zeigen, was da eigentlich draußen los ist.
Das ist nicht unbedingt das, was, ich sag mal, jetzt die große Wirksamkeit entfaltet,
um tatsächlich jetzt irgendwo eine Verteidigung darauf aufzubauen.
Ich sag mal, wenn man ganz große verteilte Netzwerke von Honeypots hat,
kann man vielleicht rausfinden, dass von irgendwelchen VPS-Systemen oder sowas
gerade massiv Angriffe abgehen.
Da muss man aber auch sagen, Also wenn jeder, der DigitalOcean schon mal gehört
hat, weiß wahrscheinlich, dass da halt einfach gefühlt 50 bis 80 Prozent der
VPS für irgendwelche schädlichen Tätigkeiten genutzt werden.
Das ist natürlich mit anderen Anbietern genauso.
Am Ende des Tages, ja, sollte das nicht eben die Verteidigung sein.
Viel spannender wird es dann eben, wenn man eher so ins Interne geht.
Und, ja, also wenn es um extern geht, Shodan zum Beispiel hat ja,
glaube ich, sogar so eine Art Honeypot-Score, wenn ich mich recht erinnere,
der dann automatisch anzeigt, ja, hier ist es vermutlich so,
dass das ein Honeypot ist.
Und es ist natürlich so, dass ein schlecht gemachter Honeypot,
und das gilt für grundsätzlich alle Bereiche, intern und extern,
dass der natürlich erkannt werden kann.
Die Erkennung ist aber, ich sag mal, wenn man das von extern macht und jemanden
tatsächlich auch so zeitlich binden will, etwas, was man eher beachten muss
als im Internetzwerk, wo man möglicherweise einfach nur darauf wartet, dass ein Request kommt.
Denn der wird früher oder später kommen, wenn ein Angreifer sich im Netzwerk
aufhält. Und unsere Erfahrung als Redteamer ist, also wir greifen ja im Grunde Unternehmen an.
Wir machen nicht nur die klassischen Penetrationstests, sondern wir versuchen
im Rahmen von Redteamings gewisse Ziele zu erreichen.
Da geht es gar nicht darum, dass wir sämtliche Schwachstellen erkennen und dann
aufschreiben wie bei einem Penetrationstest, sondern eher,
ich sage mal, die Kronjuwelen anzugehen, die Konzepte dahinter zu beleuchten
und also schädlichen Traffic zu generieren, zu schauen, wird das überhaupt erkannt,
wird dagegen vorgegangen, ist das Vorgehen dagegen effektiv.
Und das ist halt besonders spannend, wenn jetzt zum Beispiel auch ein externen
Security-Operation-Center-Anbieter hat oder gerade neue Produkte eingeführt hat,
mit denen man jetzt alles erkennen soll und die große Übersicht über seine Assets hat und, und, und.
Und das kostet sehr viel.
Erfahrungsgemäß ist die Wirksamkeit manchmal fragwürdig.
Und da ist ein Honeypot durchaus eine interessante Sache, denn der Vorteil bei
einem Honeypot im internen Netzwerk ist, dass es eigentlich,
das große Ausnutzen des Wissensvorsprungs von internen Mitarbeitern ist.
Wir als Angreifer müssen immer im internen Netzwerk uns umschauen.
Wir müssen dann natürlich wissen, wo gehen wir als nächstes hin.
Das heißt, wenn wir unseren ersten Foothold haben, müssen wir im Internetzweck
umschauen und uns überlegen, wo gehen wir als nächstes hin.
Und der Vorteil bei einem Honeypot ist, dass wir wahrscheinlich,
mit großer Wahrscheinlichkeit, wenn er gut platziert ist, früher oder später auf ihn treffen werden.
Und ein Honeypot ist ja per se ein Gerät oder ein Service, was auch immer es am Ende des Tages ist.
Es gibt ja unterschiedliche Anwendungsfälle oder Herangehensweisen an das Thema.
Wenn der keinen Anwendungsfall hat, sollte da keine Anfrage drauf kommen.
Und wenn eine Anfrage drauf kommt, dann ist das spätestens dann direkt schon ein Indikator.
Irgendwas geht dem Netzwerk vor, was untersucht werden sollte.
Ja, also ich glaube, du hast ein paar schon mal immens wichtige Punkte erwähnt.
Auf ein, zwei will ich nochmal eingehen, weil ich die mal ganz interessant finde.
Also diesen Honey-Score von Shodan finde ich sehr, sehr gut,
dass du den erwähnt hast.
Ich meine, sobald irgendwo eine Critical-CVI rauskommt, überschlagen sich ja
immer in Anführungsstrichen Security-Experten auch auf LinkedIn und schreiben,
besonders in Deutschland sind besonders viele Systeme betroffen,
wie kann man das nur machen?
Dann schaut man sich teilweise nicht nur den Honey-Score an,
sondern als jemand, der ein bisschen Erfahrung hat und kann relativ schnell
sagen, entweder das ist irgendwo ein Studienprojekt, das bei Hetzner rumsteht, wo ich sage,
ja gut, ist ja schön, dass da ein Nested-ISXI rumsteht, der ausnutzbar ist,
aber welche Folgen hat es denn bitte?
Oder man kann relativ schnell erkennen, ja, das ist ein Honeypot einfach.
Also da wollen wir halt teilweise auch einfach schauen, wie sind die Angriffsfrequenzen beispielsweise.
Also auch wir bei meinem Arbeitgeber nutzen Honeypots auf globalem Scale durchaus
dafür, um Statistiken über Ausnutzung und so weiter aufzustellen,
um überhaupt zu schauen, gibt es in the wild Angriffe.
Angriffe, also ihr alle, wenn ihr eine CWI habt, bei einem Vulnerability-Scanner
steht ja auch meistens so ein Impact-Score mit dabei, abseits von dem CWSS-Score,
das ist auch Teil dessen, also gibt es Angriffe in the wild und wie viel und
mit welcher Art und Weise,
das ist Teil dessen und es ist gut, dass wir das haben, deswegen da immer ganz
ruhig atmen, bevor man sowas postet und sich die Sachen erstmal anschauen.
Ich glaube, was auch sehr, sehr wichtig ist, ist genau dieses im internen Netzwerk,
das ganz stark zu dem unterscheiden, was wir auf Transportnetzen machen.
Das sind zwei völlig verschiedene Paar Schuhe. Und wie gesagt,
ob wir das jetzt Honeypot nennen, ob wir das vielleicht Deception nennen,
dass wir jemanden täuschen, das ist, glaube ich, erstmal egal. Egal.
Ich glaube, was wichtig war, dass wir weg davon gegangen sind,
dafür jetzt einfach hier eine Appliance aufzustellen, die relativ schnell irgendwie
teilweise Angriffern auch irgendwelche Hinweise gegeben hat und mehr dazu hingehen zu sagen,
das muss auch benutzbar bleiben.
Ich glaube, als dieses ganze Thema Honeypotting so vor ein paar Jahren wieder
aufkam, dann waren die Ergebnisse, die da rauskamen, zwar gut,
aber sehr schwer interpretierbar ganz oft.
Also das waren ganz oft, wie ich gesehen habe, Zweifelsfälle für den Analysten,
wo man dann auch sagen kann, das kann ein Angreifer sein, das kann auch einfach
jemand sein, der sich da ein bisschen komisch rumgeklickt hat.
Oder im Zweifel, was ich auch schon hatte, irgendeine VoIP-Telefonanlage,
die einfach Broadcast durchs komplette Layer-2-Netz gepustet hat und dann halt
den Honeypot mit erwischt hat auf irgendeinem komischen Port, so in der Art.
Was ich mittlerweile viel smarter finde, ist wirklich diese Integration in gegebene
Systeme, also wie das diese Deception-Systeme oft eben machen,
dass sie relativ tief im Dateisystem irgendwo was anlegen und sagen,
ey, im Normalfall, das kann zwar ein User anklicken, weil das ist für den User
genauso sichtbar wie für einen Angreifer, aber im Normalfall wird er das nicht anklicken.
Diese Datei angeklickt, wird es relativ wahrscheinlich, dass jemand ein Indexing
einfach auf das System ausführt, weil da klickt sich niemand durch.
Oder wenn irgendwo Updables ausgelesen werden, das macht normalerweise auch kein User.
Oder ich fake einfach mal irgendwelche IP-Verbindungen, ich baue mir hier einfach
ein Point-to-Point, irgendeinen Stern auf oder sonst irgendwas.
Im Normalfall würde kein User diese IP-Verbindung benutzen. Das macht es einfacher,
weil natürlich auch der Angreifer nicht so schnell einen Hinweis darauf bekommt,
dass das ein dedizierter Honeypot ist, sondern eher, das ist ein valides System,
da arbeitet gerade ein User drauf, der angemeldet ist und so weiter.
Weil, und das ist mein letzter Punkt, ich habe immer wieder,
bin ich auf so welchen Veranstaltungen, ich habe mittlerweile eine gewisse Aversion
gegen Security-Veranstaltungen entwickelt,
weil es immer noch so rüberkommt, dass wir eigentlich nur Phishing-Awareness-Kampagnen
machen müssen, weil das Einzige, was zu einem Cyberangriff führt,
ist, dass ein User auf einen Link klickt und dann ist das System verschlüsselt.
Also jeder, der sich schon mal ein bisschen damit befasst hat,
weiß, dass da schon, selbst bei den Angreifern bis heute, relativ viel manuelle
Arbeit noch dahinter liegt.
Die ist zwar manchmal skriptunterstützt, aber die müssen sich auf einem System umschauen.
Die müssen auch erstmal schauen, wo kann ich mich gut ausbreiten,
wo ist ein Schutz vorhanden, wo ist kein Schutz vorhanden.
Und die werden irgendwann in so eine Falle auch mal tappen.
Genau, also auch da wieder ganz, ganz viele wichtige Punkte.
Und es ist genauso das, was wir halt eben auch beim Red Teaming leben.
Also mit Phishing reinzukommen, klappt früher oder später, aber auch das sollte
theoretisch auch auf andere Art und Weise irgendwo abgefangen werden können.
Gleichzeitig ist es so, dass es eben immer auch technische Schwachstellen gibt,
über die man reinkommt und auch irgendwelche APTs nicht unbedingt nur Phishing nutzen.
Das heißt, Phishing-Awareness ist natürlich ein wichtiger Bestandteil irgendwo,
aber ich sag mal, nicht, dass diese Last Line of Defense, die regelmäßig gepredigt
wird, weil dann wären wir verloren, wenn das wirklich die Last Line wäre sozusagen.
Das, was du sagst auch, war das jetzt ein neugieriger Mitarbeiter oder jemand,
der sich verklickt hat? Das ist tatsächlich etwas, was eigentlich kein.
Ein reguläres Sicherheitssystem, das ich kenne zumindest,
so eigentlich abfangen kann, weil natürlich diese technischen Möglichkeiten immer schauen,
da hat jetzt jemand eine gewisse Berechtigung und darf er das gerade machen,
das funktioniert ganz gut, aber wer kontrolliert denn beispielsweise einen Administrator,
der einfach per se durch seinen Auftrag sehr, sehr weitreichende Rechte hat,
ob der sich vielleicht in Bereichen umschaut, die er eigentlich unterschrieben
hat, nicht zu betrachten.
Ich sage mal, ob das jetzt Gehaltstabellen und Ähnliches sind.
Also sowas ist eigentlich faktisch kaum ermittelbar.
Natürlich kann man Logs prüfen und Ähnliches. Da ist immer die Frage,
prüft sich das System dann aber selbst mit einem Honeypot lästig oder mit einem
Deception, mit einer Deception-Technik.
