🍯 Honeypot avancé avec Cowrie

Détecter, leurrer et analyser les curieux avec un système de pot de miel sophistiqué.

← Retour Hacking Formation

Cowrie pour détecter les curieux

🔍 Le projet du jour :
J'ai installé, pour tester, un Honeypot pour comprendre et identifier certaines attaques, comprendre les actions récurrentes, et comprendre comment les attaquants agissent sur un serveur SSH.
Un excellent exercice pour la surveillance proactive et l'analyse comportementale des threat actors.

Un honeypot comme Cowrie vous permet d'observer en temps réel les techniques d'intrusion, de collecter des IOCs (Indicators of Compromise) et d'améliorer votre posture défensive. C'est un laboratoire d'analyse comportementale des attaquants !

🛠️ Au programme

🐳Installation de Cowrie

Installation sur une machine virtuelle avec Docker. L'avantage de Docker : déploiement rapide, isolation complète et facilité de gestion des versions.

💡 Conseil pratique
1 Utilisez Docker Compose pour orchestrer Cowrie + ELK Stack
2 Configurez des volumes persistants pour les logs
3 Isolez le conteneur dans un réseau dédié

🔐Configuration basique

Mise en place de faux accès SSH avec des mots de passe faibles pour attirer les attaques par bruteforce. L'objectif : créer un environnement suffisamment crédible pour tromper les attaquants.

🎣 Stratégies de leurre
SSH Comptes avec mots de passe évidents : admin/admin, root/123456
TEL Service Telnet avec authentification faible
OS Simulation d'un système Ubuntu/CentOS réaliste

📊Enregistrement des actions

Logging complet des commandes exécutées, géolocalisation des IP source, et capture des payloads. Chaque interaction est documentée pour l'analyse post-incident.

  • Commandes shell : Capture complète de toutes les instructions
  • Transferts de fichiers : Malwares, scripts, outils d'attaque
  • Métadonnées : Timestamps, géolocalisation, fingerprinting
  • Sessions : Durée, patterns comportementaux, techniques utilisées

🌐Piège DNS avancé

Capture des connexions réseau initiées depuis le honeypot. Cette fonctionnalité permet de détecter les communications C&C (Command & Control) et d'identifier l'infrastructure des attaquants.

🔬 Analyse avancée : Le piège DNS révèle les domaines contactés, les serveurs de commande, et les tentatives d'exfiltration de données.

🕵️Analyse comportementale

Ma partie favorite ! Analyse des schémas récurrents, identification des TTPs (Tactics, Techniques, Procedures), et documentation complète des méthodes d'attaque observées.

🔍 Patterns d'analyse
⏱️ Temporalité des attaques (heures de pointe, géographie)
🛠️ Outils et frameworks utilisés (Metasploit, Nmap, custom scripts)
🎯 Objectifs des attaquants (cryptomining, botnet, data theft)

📈 Visualisation et monitoring

Pour visualiser et analyser les logs de Cowrie, plusieurs solutions s'offrent à vous :

  • Wazuh : SIEM open-source avec dashboards dédiés aux honeypots
  • Elastic Stack : Logstash + Elasticsearch + Kibana pour une analyse granulaire
  • Splunk : Solution enterprise avec apps dédiées à la threat intelligence
  • Grafana : Tableaux de bord personnalisés avec alerting en temps réel
💡 Recommandation : Commencez avec la stack ELK (gratuite) et les dashboards préconfigurés pour Cowrie disponibles sur GitHub.

🎯 L'intérêt stratégique

Comprendre les techniques adverses en conditions réelles, collecter des données précieuses sur des attaques authentiques, et affiner vos défenses en fonction des menaces observées.

  • Threat Intelligence : Identification de nouveaux IOCs et TTPs
  • Formation équipes : Cas d'usage réels pour le SOC
  • Amélioration défensive : Adaptation des règles de détection
  • Veille technologique : Observation de l'évolution des techniques

💡 Conseils d'expert

📝 Astuce Pro : Placez Cowrie sur un port non standard (ex: 2222 au lieu de 22) pour éviter les scripts basiques et observer des attaques plus sophistiquées et ciblées.

🔧Optimisations recommandées

  • Segmentation réseau : Isolez complètement le honeypot
  • Rotation des logs : Évitez la saturation du stockage
  • Alerting intelligent : Notifications sur les activités critiques
  • Backup régulier : Sauvegarde des données d'analyse
⚠️ Disclaimer légal : Déployez ces honeypots uniquement dans un environnement contrôlé et sur votre infrastructure. On observe, on apprend, on améliore nos défenses.
🔙 Retour aux guides 🎓 Formation sécurité 📡 Threat Intelligence