Honeykube

Honeykube Threat Report 2021 Q4

honeykube — Mon, 07 Feb 2022 09:47:55 +0000

Honeykube Threat Report 2021 Q4

Q4 is traditionally an eventful period for security threats and the last quarter of 2021 was no different. During this period, we intercepted a staggering 70k attacks from all around the world, with cyberattacks peaking towards mid-December, largely fueled by the Log4j vulnerability.

In this Q4/2021 Threat Report, the Honeykube team looks back at cyber threats from the final three months of the year and provides a high-level view of the latest trends in cybersecurity attacks for a better understanding of the threat landscape that companies face every day.

Quarter summary

The vast majority of attacks (37%) targeted services hosted in the United States.
More than 200 Log4j exploit attempts, mostly originating in Russia.
The Top 3 countries where attacks originated were: United States of America (27%), China (14%) and Vietnam (7%).
555 critical attacks, 19 of them related to ransomware and 288 to diverse exploits

Ciberinteligencia al servicio de los gobiernos

honeykube — Thu, 21 Oct 2021 09:58:49 +0000

Ciberinteligencia al servicio de los gobiernos

La inteligencia de amenazas es sin lugar a dudas uno de los pilares que demarcan el panorama de la gestión de procesos de seguridad en la actualidad. La premisa de poder extender los límites de la visibilidad organizacional no solo para prevenir, sino también para predecir los incidentes que tienen mayor probabilidad de materializarse es una capacidad que las instituciones líderes intentan constantemente mejorar.

En ámbitos gubernamentales, los grupos APT y otros actores de alto riego dedican meses o incluso años a destruir infraestructuras críticas, interrumpir operaciones y robar información confidencial perteneciente a gobiernos a lo largo del mundo. Estos peligrosos adversarios se adaptan mediante técnicas de evasión avanzadas para sobrepasar las medidas de protección y atacar una y otra vez los mismos objetivos.

La inteligencia de amenazas resulta crítica para hacer frente a tales agentes, e implica fundamentalmente la recopilación y distribución de información sobre las amenazas que ponen en peligro la integridad y confidencialidad de los diferentes departamentos institucionales. Esas amenazas deben identificarse y priorizarse para garantizar que el resultado del proceso de ciberinteligencia arrojará datos de valor a todos los stakeholders.

Honeykube combina la tecnología de aislamiento de los contenedores en Kubernetes para crear honeypots personalizados que pueden combinarse para replicar a la perfección la infraestructura gubernamental. De esta manera, es posible generar rápidamente un escenario de análisis idóneo para atraer actores maliciosos de alto perfil y entender qué estrategias están utilizando en contra de los activos de información.

Para realizar movimientos laterales, persistencia y manipulación de información, los grupos APT utilizan métodos sofisticados que aseguran cierto nivel de sigilo. Esto suele ser de vital importancia en infraestructuras críticas, donde mantener la presencia y control durante largos períodos de tiempo es determinante para el éxito de la campaña maliciosa. A diferencia de un sistema real donde puede resultar difícil separar los patrones anómalos dentro de los eventos normales del sistema, en una honeypot toda actividad se presume maliciosa, permitiendo visualizar de manera limpia y transparente el flujo de eventos.

Imagen 1. Vista de ataques en tiempo real en Honeykube.

Gracias al hecho de que estas honeynets pueden ser altamente personalizables según cada caso, y debido a que resulta imposible para el atacante discernir si se encuentra en un sistema real o dentro de uno de nuestros honeypots, es el entorno ideal para analizar el desarrollo de campañas maliciosas en tiempo real. Mientras el atacante utiliza diferentes técnicas para intentar escalar permisos como la explotación de zero-days, la ejecución de malware o la realización de movimientos laterales hacia otros servicios, Honeykube permite registrar cada una de estas actividades mientras ocurren.

Imagen 2.Honeykube ofrece más de una decena de filtros para rápidamente encontrar los ataques de interés. Por ejemplo, podemos buscar los ataques de ransomware al filtrar por su tipo.

Imagen 3. Detalle de un ataque de ransomware, donde se observan datos de la acción maliciosa detectada, de la IP de origen y del honeypot que ha sido afectado.

Honeykube permite a las autoridades visualizar en tiempo real los ataques que se están realizando sobre los diferentes clústeres de honeypots. Rápidamente es posible conocer cuáles son tipos de ataques más vistos, su severidad y país de origen, y cuáles son los servicios en los cuales los adversarios han demostrado mayor interés.

Imagen 4. Panel de estadísticas en HoneyKube.

En la sección dedicada al perfilamiento es posible identificar aquellos atacantes que hayan demostrado real interés en los honeypots, separándolos de simples scripts exploratorios y brindando un resumen de sus interacciones con los diferentes servicios desplegados.

Imagen 5. Perfilamiento de los atacantes en Honeykube.

Imagen 6. Encuentre rápidamente los detalles de las conexiones maliciosas que las hneypots están recibiendo.

Realizar una evaluación de amenazas permite a las diferentes unidades organizacionales comprender y priorizar las amenazas clave y los grupos de actores detrás de ellas. Así, es posible comprender quién es probable que se dirija a la organización y cómo es probable que lo haga, proporcionando información vital para informar la estrategia de seguridad.

Claro que no solo las instituciones públicas pueden encontrar indicadores de compromiso vinculados a grupos APT, y la mera existencia de tales indicadores puede no ser prueba suficiente para demostrar que el sistema está en la mira de adversarios conocidos. De cualquier modo, la capacidad de detectar tales intentos para determinar cómo se circunscriben en la agenda geopolítica vigente serán clave al momento de reforzar la estrategia de seguridad en pos de la protección nacional.

Cyber-intelligence at the service of Governments

honeykube — Thu, 21 Oct 2021 09:57:24 +0000

Cyber-intelligence at the service of Governments

Threat intelligence is undoubtedly one of the pillars of today’s security process management landscape. Leading institutions are constantly seeking to extend the boundaries of organisational visibility, to identify, predict and prevent the most likely incidents.

In governmental environments, APT (Advanced Persistent Threat) groups and other high-risk actors can spend months or even years destroying critical infrastructure, disrupting operations, and stealing sensitive information belonging to governments all around the world. These dangerous adversaries adapt and exploit advanced evasion techniques to bypass protective measures and repeatedly attack the same targets.

Threat intelligence is critical in dealing with such actors, and primarily involves the collection, collation, and distribution of information regarding threats that compromise the integrity and confidentiality of different institutional departments. To ensure that the outcome of any cyber intelligence process will yield data of value to all stakeholders, these threats must be identified and prioritised.

Honeykube utilises container isolation technology in Kubernetes to create custom honeypots, which are then combined to seamlessly replicate government infrastructure. This allows the rapid generation of an ideal analysis environment to attract high-profile malicious actors, revealing details of the strategies they are using against information assets.

APT groups use sophisticated methods to ensure a consistent level of stealth, by lateral movement, persistence, and information manipulation. This is often of vital importance in critical infrastructures, where maintaining presence and control over long periods of time is vital to the success of their malicious campaign. Unlike a real system where it can be difficult to separate anomalous patterns from normal system events, in a honeypot all activity is presumed to be malicious, allowing a clear and comprehensive view of the flow of events.

Image 1. View of real-time attacks in Honeykube.

As the Honeykube honeypots are highly customisable on a case-by-case basis, it is impossible for an attacker to determine whether they are on a real system or inside one of our honeypots. This makes it the ideal environment to analyse the development of malicious campaigns in real time. While the attacker uses different techniques to try to escalate permissions such as exploiting zero-days, executing malware, or making lateral moves to other services, Honeykube can record each of their activities as they occur.

Image 2. Honeykube offers more than a dozen filters to quickly find the attacks of interest. For example, ransomware attacks can be rapidly identified using the attack type filter.

Image 3. Details of a ransomware attack, showing information about the malicious action detected, the source IP and the honeypot that has been affected.

Our solution was designed to track, geo-locate and reveal the mechanisms used by malicious actors, enabling advanced profiling of adversaries with details on their preferred attacks, tools, tactics, techniques, and procedures. Being able to perform advance detection of the compromise techniques being used, allows weaknesses in the security infrastructure to be identified and reviewed.

Honeykube allows authorities to visualise the attacks being carried out against the different honeypot clusters in real time. The most frequent types of attacks, their severity and country of origin, and which services have attracted the greatest interest from adversaries, are all quickly identified.

Image 4. Statistics panel in HoneyKube.

The profiling section can identify the attackers showing real interest in the honeypots, separating them from simple exploratory scripts and providing a summary of their interactions with the different services deployed.

Image 5. Attackers profiling in Honeykube.

Image 6. Quickly display details of the malicious connections that your honeypots are receiving.

Conducting a threat assessment allows different organisational units to identify and prioritise key threats and the actor groups behind them. Understanding who is likely to target the organisation and how they are likely to do so, provides vital information, helping to inform the enhancement of security strategy.

Of course, it is not only public institutions that can find indicators of compromise linked to APT groups, and the mere existence of such indicators may be insufficient proof that the system is being targeted by known adversaries. Regardless, the ability to detect such attempts and to determine how they fit into the prevailing geopolitical agenda will be key instrengthening strategy when pursuing improved national security.

Descubre cómo potenciar la inteligencia de amenazas con Honeykube

honeykube — Mon, 30 Aug 2021 11:29:56 +0000

Descubre cómo potenciar la inteligencia de amenazas con Honeykube

En los últimos años, la cantidad, diversidad y complejidad de códigos maliciosos se ha acrecentado de manera notoria. Impulsado aún más por el reciente aumento del teletrabajo, los atacantes han reforzado su apuesta por el desarrollo de campañas dirigidas a importantes blancos corporativos. La cantidad de nuevas muestras de malware que llegan cada día a los laboratorios de análisis supera los cientos de miles, mientras nuevas herramientas son incluidas en el repertorio de metodologías utilizadas por los atacantes.

Sumado a los siempre presentes exploits zero-day, nuevas técnicas de ejecución maliciosa del tipo fileless mediante binarios y scripts comúnmente denominados “living off the land” suman más complejidades a la hora de anticipar y detectar campañas dirigidas. La capacidad de monitorear y rápidamente visualizar comportamientos anómalos dentro del sistema nunca antes ha sido tan importante. Simultáneamente, la adopción de una postura proactiva que no solo se limite a analizar los incidentes de seguridad sino que haga foco en la ciberinteligencia de amenazas se vuelve fundamental en un contexto donde entender el ecosistema de actores maliciosos en los que el sistema objetivo está inmerso será crítico para la protección de los activos de información.

El auge de nuevas herramientas como MITRE ATT&CK entre investigadores de todo el mundo no hace más que dejar en evidencia la dirección en la cual evolucionan los procesos de gestión de la seguridad. La posibilidad de poder correlacionar técnicas y tácticas observadas en los incidentes de seguridad con APT específicos, regiones geográficas e industrias se vuelve un mecanismo que no solo nos permite prevenir ataques, sino también predecir probables cursos de intentos de explotación a las propias redes.

Honeykube fue diseñado con la ciberinteligencia en mente. Combinando las mejores características de los honeypots tradicionales y todo el potencial de los contenedores en Kubernetes, nuestra solución permite implementar rápidamente honeynets con diferentes niveles de interacción capaces de representar a la perfección la infraestructura corporativa. Aprovechando las ventajas de los entornos cloud, es posible iniciar, detener y restaurar honeypots en diferentes países a lo largo del mundo con un solo clic.

Imagen 1. Iniciar, detener y restaurar honeypots es muy sencilllo desde el panel de control de Honeykube.

Nuestra solución fue creada para organizaciones o analistas independientes que deseen entender en profundidad los tipos de ataques a los que pueden verse sujetos servicios o infraestructuras específicos, y el perfil de los actores detrás de ellos. La versatilidad de la tecnología detrás de Honeykube permite no solo recrear la infraestructura corporativa, sino también registrar intentos de conexión, explotación de vulnerabilidades, ejecución de malware, escalamiento de privilegios, movimiento lateral, exfiltración de información, o cualquier otra acción que el atacante realice dentro del equipo.

Imagen 2. Honeykube ofrece más de una decena de filtros para rápidamente encontrar los ataques de interés. Por ejemplo, podemos buscar los ataques críticos al filtrar por severidad.

Imagen 3. Detalle de un ataque crítico, donde se observan datos de la acción maliciosa detectada, de la IP de origen y del honeypot que ha sido afectado.

La capacidad de personalizar los servicios de cada honeypot para simular con mayor veracidad un sistema real, sumado a la posibilidad de usar honeypots de alta interacción construidas con base en servicios ejecutados de forma aislada dentro de contenedores que aparentan completamente legítimos desde la perspectiva del atacante, favorece la creación de un entorno de análisis que permite aumentar la probabilidad de rápidamente atraer actores maliciosos de interés.

Honeykube cuenta con un dashboard donde el analista podrá visualizar en tiempo real los ataques que se están realizando sobre los diferentes clústeres de honeypots, junto a otras estadísticas como los tipos de ataques más vistos, la severidad de estos y su origen, los servicios más atacados, entre otras.

Imagen 4. Vista de ataques en tiempo real en Honeykube.

Imagen 5. Panel de estadísticas en Honeykube.

Además, la sección de perfilamiento permitirá rápidamente identificar aquellos atacantes que hayan demostrado real interés en los honeypots, separándolos de simples scripts exploratorios y brindando un resumen de sus interacciones con los diferentes servicios desplegados.

Imagen 6. Perfilamiento de los atacantes en Honeykube.

En resumen, Honeykube es una herramienta de ciberinteligencia que permite monitorear en tiempo real cómo los atacantes despliegan técnicas, tácticas y procedimientos contra una red de honeypots personalizada que replica la infraestructura objetivo. De esta manera, es posible conocer rápidamente el perfil del adversario, su geolocalización, qué busca y cuáles son sus estrategias, para luego reforzar de manera adecuada la seguridad de su infraestructura real.

Leveraging Threat Intelligence with Honeykube

honeykube — Mon, 30 Aug 2021 11:14:48 +0000

Leveraging Threat Intelligence with Honeykube

In recent years, the quantity, diversity and complexity of malicious code has increased dramatically. This has been further fuelled by the recent rise of teleworking, with attackers intensifying their focus on developing campaigns aimed at major corporate targets. There are millions of new malware samples arriving in analysis labs each day, with new tools constantly expanding the repertoire of methodologies used by attackers.

In addition to the ever-present zero-day exploits, new fileless malicious execution techniques via binaries and scripts – commonly referred to as “living off the land” – add to the complexity of anticipating and detecting targeted campaigns. As a result, the ability to monitor and quickly visualise anomalous behaviour within the system has never been more important. In parallel, adopting a proactive posture that reaches beyond the analysis of security incidents and instead focuses on cyber threat intelligence, becomes critical. In this context, understanding the ecosystem of malicious actors in which the target system is immersed, is key to properly protecting information assets.

The rise of new tools such as MITRE ATT&CK among researchers around the world, serves to highlight the direction in which security management processes are evolving. The ability to correlate the techniques and tactics observed in security incidents with specific APT (Advanced Persistent Threat) groups, geographic regions, and industries, becomes a mechanism that not only allows attacks to be prevented, but also allows the prediction of the likely course for exploitation attempts on the networks themselves.

Honeykube was designed with cyber intelligence in mind. Combining the best features of traditional honeypots and the full potential of containers in Kubernetes, our solution allows you to quickly deploy honeynets with different levels of interaction, capable of seamlessly representing your corporate infrastructure. Taking advantage of cloud environments, it is possible to start, stop and restore honeypots in different countries around the world with a single click.

Image 1. Starting, stopping and restoring honeypots are simple actions from the Honeykube control panel.

Our solution was created for either organisations or independent analysts who wish to gain an in depth understanding of the types of attacks targeted at specific services or infrastructures, as well as the profile of the actors behind them. The versatility of the technology behind Honeykube allows not only the recreation of a corporate infrastructure, but also the recording of all connection attempts, vulnerability exploitation, malware execution, privilege escalation, lateral movement, information exfiltration, or any other action that an attacker might perform inside the equipment.

Image 2. Honeykube offers more than a dozen filters to quickly find attacks of interest. For example, critical attacks are quickly identified using the severity filter.

Image 3. Details of a critical attack, where information of the malicious action detected, the source IP and the honeypot that has been affected can all be seen.

The ability to customise the services of each honeypot to more accurately simulate real systems, is coupled with the ability to use highly interactive honeypots built around services running – in isolation – inside containers that appear completely legitimate from the attacker’s perspective. This combination helps to create an analysis environment that dramatically increases the likelihood of quickly attracting malicious actors of interest.

Honeykube provides a dashboard where the analyst can visualise – in real time – the attacks being carried out against the different honeypot clusters. The dashboard presents a number of statistics, which amongst others includes the most frequent attack types, their severity and origin and the services most attacked.

Image 4. View of real-time attacks in Honeykube.

Image 5. Statistics panel in Honeykube.

In addition, the profiling section allows the rapid identification of any attackers showing a real interest in the honeypots, separating them from simple exploratory scripts and providing a summary of their interactions with the different services deployed.

Image 6. Attacker profiling in Honeykube.

In short, Honeykube is a cyber intelligence tool that allows real-time monitoring of attacker deployment techniques, tactics, and procedures against a customised honeypot network replicating a real target infrastructure. The monitoring allows the quick development of a profile for each adversary, their geolocation, what they are looking for and their specific strategies. This information can then be used to inform precise changes, reinforcing the overall security of the real infrastructure.

Conoce la tecnología detrás de Honeykube

honeykube — Fri, 06 Aug 2021 15:27:22 +0000

Conoce la tecnología detrás de Honeykube

Honeykube se diferencia de las demás soluciones del mercado por su increíble capacidad de adaptación, versatilidad para recrear todo tipo de infraestructuras informáticas, y dificultad de detección desde el punto de vista del atacante. A continuación, conoce parte de la tecnología que potencia nuestras soluciones de ciberinteligencia de amenazas.

Contenedores, la clave de Honeykube

Los contenedores en el mundo informático no son una herramienta novedosa. Naturalmente, la idea de poder contener la ejecución de una muestra de código malicioso para poder estudiar su comportamiento resulta especialmente atractiva en el ámbito de la seguridad de la información. Desde la aplicación de este principio en entornos de sandboxing, máquinas virtuales, honeypots, o infraestructuras en la nube, los analistas han utilizado la capacidad de aislar la ejecución de procesos tanto para proteger los activos de información como para estudiar el comportamiento de los atacantes.

El panorama de los contenedores ciertamente ha tomado un nuevo curso desde la expansión en popularidad de Docker y Kubernetes. En los últimos años, Kubernetes ha moldeado la escena de las infraestructuras cloud, volviéndose la plataforma insignia en la administración de entornos en la nube mediante robustas capas de aislamiento y herramientas de fácil y versátil manejo de contenedores.

Diseñado con la idea de generar despliegues estables y mantener alta disponibilidad en sistemas complejos, proveyendo robustas capas de aislamiento y mecanismos para enlazar contenedores en estructuras complejas, compatible con diversos cloud providers que permiten la implementación de contenedores alrededor del mundo, y ofreciendo una plataforma para ejecutar una infinidad de servicios, Kubernetes resultó el mejor aliado para diseñar nuestras soluciones de honeynets on-demand que permiten el análisis de amenazas en tiempo real.

Entornos de análisis indistinguibles para los atacantes

Combinando la tecnología de contenedores y las mejores ventajas de los honeypots tradicionales, Honeykube permite diseñar servicios con diferentes grados de personalización y niveles de interacción, especialmente diseñados para cumplir con los requerimientos de su empresa.

Por un lado, nos encontramos con honeypots de baja interacción. Estas permiten al atacante interactuar de manera limitada con el sistema operativo, usualmente emulando un subconjunto pequeño de protocolos y funciones. Este tipo de honeypots es fácilmente identificable, ya que no brinda la posibilidad al atacante de perpetrar ataques complejos, como la explotación de zero-days, la ejecución de malware o la realización de movimientos laterales hacia otros equipos. Sin embargo, poseen numerosas ventajas: son rápidas de desarrollar, fáciles de mantener, requieren menor cantidad de recursos y pueden servir para identificar actividad maliciosa exploratoria sobre la red.

En el otro extremo, tenemos honeypots de alta interacción que ponen al servicio del atacante sistemas reales en forma de señuelo. En este caso, ya no se trata de una mera emulación, sino de un honeypot que permitirá al atacante explorar el abanico completo de herramientas para intentar comprometer y asegurar la persistencia en el sistema. Cualquier intento de conexión, explotación, ejecución de malware, escalamiento de privilegios, movimiento lateral, exfiltración de información, etcétera, será registrado, permitiendo al analista generar un perfil completo del comportamiento del atacante. Aunque estos honeypots conllevan mayor tiempo de desarrollo y consumen más recursos, sus ventajas son enormemente superiores en el perfilamiento de los riesgos a los que está sujeta la organización

Entre los honeypots de baja y alta interacción, existe todo un espectro de sistemas señuelo con diferentes grados de interacción que permiten emular de manera más profunda ciertos servicios y tecnologías, pudiendo servir para analizar el comportamiento de los atacantes ante vulnerabilidades específicas. La versatilidad en el uso de contenedores realmente deja el límite de la imaginación como la última frontera.

Imágen 1. Honeykube ofrece más de una decena de filtros para rápidamente encontrar los ataques de interés. Por ejemplo, podemos filtrar por tipo de ataque y honeypot afectado.

Imágen 2. Detalle de un ataque crítico, donde se observan datos de la acción maliciosa detectada, de la IP de origen y del honeypot que ha sido afectado.

¿Qué tecnologías puedo desplegar con Honeykube?

La real flexibilidad de Honekube reside en el hecho de que, si puede correrse en un contenedor, puede convertirse en un honeypot. Servidores web, de archivos, de bases de datos, dispositivos de red, sistemas industriales, equipos médicos y de IoT… la lista es interminable. A decir verdad, los recursos de los que se cuente en cuanto al tiempo de desarrollo y costo de mantenimiento serán los verdaderos limitantes a la hora de diseñar honeypots.

Más aún, la flexibilidad que Kubernetes ofrece para combinar diferentes contenedores y así crear complejas infraestructuras permite crear entornos de análisis para detectar y estudiar ataques avanzados, pudiéndose replicar de manera exacta la infraestructura corporativa y obtener un claro panorama de cuáles son lo vectores de explotación más utilizados por los atacantes para intentar comprometer nuestros sistemas, para luego poder reforzar las medidas de protección implementadas acorde a los comportamientos observados en los casos de estudio.

Imágen 3. Vista de ataques en tiempo real en Honeykube.

Mediante una robusta arquitectura cloud soportada por Google Cloud Provider, Honeykube permite desplegar honeynets en diferentes países, según la industria, ubicación geográfica de los centros de operaciones, o región que resulte de interés a los analistas. También es posible gestionar instalaciones locales o basadas en otros proveedores cloud según la organización así lo requiera.

Imágen 4. Iniciar, detener y restaurar honeypots es muy sencilllo desde el panel de control de Honeykube.

Aprovechando la facilidad que los contenedores ofrecen a la hora de desplegarse, Honeykube permite poner en marcha, detener o restaurar honeypots con un solo clic, permitiendo eliminar cualquier rastro de actividad maliciosa en un entorno comprometido y dejándolo rápidamente disponible para un nuevo ataque.

Por todo lo anterior, Honeykube resulta un activo decisivo en la recopilación, distribución y presentación de información sobre las amenazas clave y los adversarios que las impulsan, facilitando y reduciendo el tiempo de análisis en procesos de ciberinteligencia, y brindando información crítica para la mejora del sistema de seguridad.

The Technology Behind Honeykube

honeykube — Mon, 02 Aug 2021 12:18:05 +0000

The Technology Behind Honeykube

Honeykube is different from other solutions on the market due to its incredible adaptability, versatility to recreate all types of IT infrastructures, and resistance to detection from the attacker’s viewpoint. The following describes some of the technology that powers our cyber threat intelligence solution.

Containers, the core of Honeykube

In the IT world, containers aren’t simply a novelty tool. Naturally, the idea of being able to contain the execution of a sample of malicious code to study its behaviour, is particularly attractive in the field of information security. Since the introduction of this principle in sandboxing environments, virtual machines, honeypots, or cloud infrastructures, analysts have used the ability to isolate the execution of processes both to protect information assets and to study the behaviour of attackers.

The container landscape has clearly taken a new course since the expansion in popularity of Docker and Kubernetes. In recent years, Kubernetes has shaped the cloud infrastructure scene, becoming the flagship platform for managing cloud environments through robust isolation layers and easy-to-use, versatile container management tools.

Kubernetes was designed with the idea of generating stable deployments and maintaining high availability in complex systems. It provides robust isolation layers and mechanisms to link containers in complex structures, compatibility with various cloud providers allowing the implementation of containers around the world and offering a platform to run a myriad of services. As a result, Kubernetes was the best choice for designing our on-demand honeynets solution, allowing real-time threat analysis.

Indistinguishable Analysis Environments for Attackers

Combining container technology with the best features of traditional honeypots, Honeykube allows you to design custom services, with levels of interaction specifically tailored to meet the requirements of your business.

On one hand, there are low-interaction honeypots. These allow the attacker to interact in a limited way with the operating system, usually emulating a small subset of protocols and functions. This type of honeypot is easily identifiable, as the attacker is unable to perpetrate complex attacks, such as exploiting zero-days, executing malware, or performing lateral movement to other machines. However, they do have many advantages: they are quick to develop, easy to maintain, require fewer resources and can be used to identify exploratory malicious activity on the network.

On the other hand, we have high-interaction honeypots that act as a decoy by making real systems available to the attacker. In this case, it is no longer a mere emulation, but a complete system where the attacker can explore their full range of tools, seeking to compromise and secure persistence on the system. Any attempt to connect, exploit, execute malware, escalate privileges, lateral movement, exfiltrate information or other technique, will be logged, allowing the analyst to generate a complete profile of the attacker’s behaviour. Although these honeypots take longer to develop and consume more resources, they provide vastly superior advantages in profiling the risks to which the organisation is subject.

Between low- and high-interaction honeypots, there is a complete spectrum of decoy systems with different degrees of interaction. These allow for deeper emulation of certain services and technologies and can be used to analyse attackers’ behaviour in the face of specific vulnerabilities. The versatility of containers means that you are limited only by your own imagination

Figure 1. Honeykube offers more than a dozen filters to quickly sort and find relevant attacks. For example, you can quickly search for exploit attacks targeting specific honeypots.

Figure 2. Details of a critical attack, where one can observe information of the malicious action detected, the source IP and the honeypot that has been affected.

Which technologies can you deploy with Honeykube?

The real flexibility of Honeykube lies in the fact that, if it can be run in a container, it can become a honeypot. Web servers, file servers, database servers, network devices, industrial systems, medical and IoT equipment – the list is endless. In truth, the resources available in terms of development time and maintenance cost will be the real limiting factors when designing honeypots.

Moreover, Kubernetes offers the flexibility to combine different containers and create complex infrastructures, replicating the exact corporate infrastructure. This allows analysis environments to be created, to detect and study advanced attacks, and obtain a clear picture of which exploitation vectors are most used by attackers as they try to compromise the systems. The results facilitate the customer in strengthening the protection measures implemented, based upon the actual behaviours observed in attacks against their Honeykube systems.

Figure 3. View of real-time attacks in Honeykube.

Through a robust cloud architecture supported by Google Cloud Provider, Honeykube allows honeynets to be deployed in different countries, depending on the industry, geographic location of the operations centres, or region of interest to the analysts. It is also possible to utilise and manage local or third-party cloud provider-based installations as required by the organisation.

Figure 4. Starting, stopping and restoring honeypots is very simple from Honeykube’s control panel.

Leveraging the ease of deployment of containers, Honeykube enables honeypots to be started, stopped, or restored with a single click, removing any trace of malicious activity in a compromised environment, and rapidly making it ready to respond to any new attack.

Honeykube can become a critical asset in the collection, distribution, and presentation of information regarding key threats to your organisation and the adversaries driving them. It will facilitate and reduce analysis time in cyber intelligence processes and provide critical information for security system improvement.