GPTHoney – Tehdit Aktörleriyle Gerçek Zamanlı Etkileşim İçin Yeni Bir Linux Honeypot

11.10.2024

Honeypot, tehdit aktörlerini gerçek hedeflerden uzaklaştırmak ve dikkatlerini başka yöne çekmek amacıyla sunucu veya uygulama gibi değerli varlıkları simüle eden kritik bir siber güvenlik mekanizmasıdır. Gerçek sistemleri taklit eden bir ortam yaratarak, honeypot'lar iki amaca hizmet eder: gerçek sistemleri zarardan korumak ve saldırganların kullandığı teknikleri gözlemleyip analiz etmeyi sağlamak. Bu bilgiler, siber güvenlik ekiplerinin savunmalarını geliştirmelerine ve gelecekteki tehditlere karşı stratejiler oluşturmalarına yardımcı olur.

SANS Institute’te SANS.edu BACS programı kapsamında staj yapan Christopher Schroeder, kısa bir süre önce "GPTHoney" adlı yenilikçi bir Linux honeypot’unu tanıttı. GPTHoney, geleneksel honeypot'ların aksine, tehdit aktörleriyle gerçek zamanlı olarak etkileşime giriyor ve büyük dil modellerini (LLM'ler) kullanarak daha dinamik ve ikna edici bir ortam oluşturuyor. Bu gerçek zamanlı etkileşim, saldırganların daha karmaşık taktiklerini yakalama kabiliyetini artırarak, kuruluşların daha derin davranışları gözlemlemelerine ve ortaya çıkan tehditlere uyum sağlamalarına olanak tanıyor.

GPTHoney, her IP adresi için ayrı ve bağımsız bir kabuk sağlayabilme yeteneğiyle öne çıkıyor. Tipik honeypot'lar genellikle paylaşılan bir ortam simüle ederken, GPTHoney her saldırganın komutlarının ayrı ayrı kaydedilmesine olanak tanıyor, böylece oturumlar sürekli kalıyor ve saldırganların aktiviteleri dikkatle izleniyor. Sistem, saldırganların girdikleri tüm komutları kaydederek SSH bağlantılarını port 22 üzerinden yönetiyor ve bu, uzun vadeli analiz için saldırganların davranışlarının zengin, ayrıntılı bir geçmişini oluşturuyor.

İleri düzey oturum takibine ek olarak, GPTHoney'in mimarisi üç tür eklenti içeriyor: doğrudan API iletişimi, API öncesi komut işleme ve API sonrası yanıt modifikasyonu. Bu modüler tasarım, GPTHoney'in saldırganlara daha otantik gelen ortamlar simüle etmesini sağlıyor, özellikle finans, sağlık ve teknoloji gibi sektörlerde. "prompt.yml" adlı karmaşık bir yapılandırma dosyası kullanarak, sistem dosya sistemi düzenleri, kullanıcı yönetimi ve komut yürütme kurallarıyla eksiksiz kurumsal ortamları simüle edebiliyor ve bu da onu güvenlik aracı olarak daha inandırıcı hale getiriyor.

GPTHoney'in günlük kaydetme sistemi de dikkat çeken başka bir özelliğidir; saldırgan davranışlarını gerçek zamanlı olarak kaydederek kapsamlı oturum yönetimi sağlar. Bu, komut geçmişleri, zaman damgaları, oturum kimlikleri ve hatta yürütme durumlarını içerir. JSON formatında kaydedilen günlükler, oturum verilerinin kolayca saklanmasını ve geri alınmasını sağlar; bu sayede bir saldırgan yeniden bağlandığında, sistem önceki oturumun durumunu geri yükleyebilir. Simüle edilmiş yetki yükseltme gibi gelişmiş özellikler desteği ile birleştiğinde, GPTHoney sadece saldırganlarla etkileşim kurmakla kalmaz, aynı zamanda güvenlik izleme ve sistem yönetimi için de değerli bilgiler sunar.