Bal küpü, öncelikle tehdit aktörlerini meşru hedeflerden uzaklaştırmak için tasarlanmış bir ‘siber güvenlik mekanizmasıdır’.
Bu mekanizma “sunucu” veya “uygulama” gibi değerli bir varlığın simüle edilmesiyle gerçekleştirilir.
Sadece bununla da kalmıyor, aynı zamanda kuruluşların tehdit aktörlerinin kullandığı ‘taktik’ ve ‘teknikleri’ ‘takip etmelerine’ ve ‘analiz etmelerine’ olanak tanıyan bir cazibe işlevi de görüyor.
Christopher Schroeder, SANS’ın bir parçası olarak ISC stajyeri[.]edu BACS programı kısa süre önce tehdit aktörleriyle gerçek zamanlı etkileşime geçmek için yeni bir Linux bal küpü ortaya çıkardı ve bu bal küpüne “GPTHoney” adı verildi.
Teknik Analiz
GPTHoney, “LLM’leri” daha rahat ve profesyonel bir şekilde uygulayarak bal küpü teknolojisinde çığır açan bir ilerlemedir.
Bu uygulama, akıllı ve akıllı bir siber güvenlik “araştırma ortamı” yaratarak bunu yapmalarını sağlar.
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Bu yeni yaklaşım, saldırganın çalıştırılabilir girişi olarak 22 numaralı bağlantı noktasındaki “SSH” bağlantılarıyla başa çıkabilen bir terminali simüle etmek yerine arayüz komutlarına “Linux tabanlı bir işletim sistemi” taklit ediyor.
Geleneksel bal küplerinin aksine GPTHoney, her IP adresi için ayrı, ayrı, kendi kendine yeten kabuklar sağlar. Sadece bu değil, aynı zamanda oturum sürekliliğine sahip olmasını sağlayan ayrıntılı komut geçmişi günlüklerine de sahiptir.
Sistemin mimarisi üç farklı eklenti türünü içerir: –
- Doğrudan API iletişimi için 1 yazın.
- API öncesi komut işleme için 2 yazın.
- API sonrası yanıt değişikliği için 3 yazın.
GPTHoney, “finansal”, “sağlık hizmetleri” veya “teknoloji” odaklı en ikna edici kurumsal ortamları oluşturma konusunda ustadır.
.webp)
Gelişmiş bir “prompt.yml” yapılandırma dosyasının yardımıyla, ‘gerçekçi dosya sistemleri’, ‘kullanıcı yönetimi’ ve ‘komut yürütme kuralları’ ile ikna edici kurumsal ortamlar yaratır.
.webp)
Sistem, en yeni “OpenAI” ve “Anthropic” modelleriyle sorunsuz bir şekilde bütünleşiyor. Şimdi bu noktada bir “handle_cmd” işlevi aracılığıyla ‘günlüğe kaydetmeyi’, ‘eklenti etkileşimlerini’ ve ‘yanıt teslimini’ yöneten komutları işlerler.
Bu, saldırganın ilgisini uzun süre koruyabilecek ilgi çekici ve zorlu bir ortam yaratır.
Simülasyonun, kontrollü bir ortamda saldırgan davranışının “kapsamlı günlüklerini” toplarken orijinalliği koruduğundan emin olmak için “gecikmeli ping yanıtları” (0,3-1,8 saniye) ve “özelleştirilebilir SSH banner’ları” sunar.
Aşağıda GPTHoney’in tüm temel özelliklerinden bahsettik: –
- Ultra hafif (<20KB)
- Komutlara yapay zeka tarafından oluşturulan yanıtlar
- Her aktör için gerçek zamanlı, dinamik ortamlar
- Eklentiler aracılığıyla özel komut yönetimi
- Ayrıntılı günlük kaydı
- Düz İngilizce istemlerle işletim sistemi değişiklikleri
İşletim sisteminin mimarisinde, komut geçmişi günlüğü “kritik bellek yönetim sistemi” görevi görür. “Gelişmiş bir kayıt mekanizması” aracılığıyla, kullanıcı etkileşimlerini izlemek ve depolamak için tasarlanmıştır.
Sistem, “commands_” adlandırma kuralına uygun olarak özel metin dosyaları oluşturur.
Tüm cihaz komutları ve LLM yanıtları dikkatlice kaydedildi. Bu uygulama, her kullanıcı oturumu için “yalıtılmış ortamlar” oluşturur.
Sistem, “komut geçmişlerini”, “ortam yapılandırmalarını” ve “yürütme durumlarını” depolayarak oturumun kalıcılığını korur.
Yeniden bağlanmanın ardından sistem, önceki oturumun durumunu “JSON biçimli” günlükler aracılığıyla otomatik olarak yeniden yükler.
Bu, ‘zaman damgaları’ (“Zulu” zaman diliminde), ‘oturum kimlikleri’, ‘eylem türleri’ (“command_execution” gibi) ve ‘ayrıntılı komut çıktıları’ gibi önemli meta verileri içerir.
Bu kapsamlı günlük kaydı mimarisi, “hata ayıklama süreçlerini” kolaylaştırarak kesintisiz oturum yönetimine olanak tanır ve “gelişmiş özellikleri destekler.”
Özellikler, ‘sudo komutları’ aracılığıyla ‘simüle edilmiş ayrıcalık yükseltmeyi’ içerir. Bu, onu ‘güvenlik izleme’ ve ‘sistem yönetimi görevleri’ için değerli kılar.
Sistemin her IP adresi için ayrı, izole ortamlar sağlama yeteneği, “kullanıcı oturumları”, “dizin yapıları” ve “bağlantılar arasındaki ortam değişkenleri”nin tam durumunu korurken, güvenilir uzun vadeli etkileşim takibi sağlar.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar