RDP için kurulan honeypot, Windows sistemlerde saldırganı sahte bir oturuma yönlendirir. Bu yapı parola denemelerini, komut geçmişini ve dosya hareketlerini tek tek kayda alır. Toplanan veriler sayesinde engellemenin ötesine geçilir ve gelecekteki tehditlere karşı veriye dayalı bir savunma planı hazırlanır.
RDP Tuzak Ortamı nedir?
RDP honeypot, saldırgana gerçek bir Windows masaüstündeymiş hissi verir. Ortam izoledir ve yapılan her adım kaydedilir.
- Denenen kullanıcı adı ve parola girişimleri
- PowerShell ya da Cmd üzerinden çalıştırılan komutlar
- Dosya yükleme veya indirme denemeleri
- Kötü amaçlı dosyayı çalıştırma teşebbüsleri
HoneyDrive ile RDP Honeypot Kurulumu
HoneyDrive, RDP dahil çeşitli servis denemelerini kaydetmek için uygun bir honeypot ortamı sunar. ISO’yu yükleyip trafiği bu VM’e yönlendirdikten sonra loglar oluşmaya başlayacaktır. Önce sistemi güncelleyelim:
sudo apt update && sudo apt upgrade -yHoneyDrive ISO’sunu indirelim
wget https://bruteforce.gr/honeydrive/HoneyDrive-3.0.isoGerekli sanallaştırma araçlarını kuralım
sudo apt install qemu-kvm libvirt-daemon-system libvirt-clients bridge-utils virt-manager -yKVM üzerinde HoneyDrive VM oluşturalım
virt-install --name honeydrive --ram 2048 --disk path=/var/lib/libvirt/images/honeydrive.qcow2,size=20 \
--vcpus 2 --os-type linux --os-variant ubuntu20.04 --cdrom HoneyDrive-3.0.iso --network bridge=br0RDP Honeypot Scriptlerini Çalıştırma
HoneyDrive içinde RDP honeypot scriptleri hazır gelir.
cd /opt/honeypot/rdp/Scripti başlatalım
sudo python rdp_honeypot.pyArka planda çalışması için systemd servisi tanımlayalım
sudo nano /etc/systemd/system/rdp-honeypot.service[Unit]
Description=RDP Honeypot Service
After=network.target
[Service]
ExecStart=/usr/bin/python /opt/honeypot/rdp/rdp_honeypot.py
Restart=always
[Install]
WantedBy=multi-user.targetServisi aktif edelim
sudo systemctl daemon-reload
sudo systemctl enable rdp-honeypot
sudo systemctl start rdp-honeypotArtık 3389 numaralı RDP portuna gelen saldırılar honeypot’a düşecek ve loglanacaktır.
Windows Üzerinde Özel RDP Honeypot Kurulumu
Hazır paket kullanmadan doğrudan Windows üzerinde basit bir honeypot ortamı da kurabiliriz. Bu yöntemle sahte bir kullanıcı açıp, masaüstüne saldırganların ilgisini çekecek dosyalar koyarak tuzak oluşturacağız.
Önce RDP servisini açalım
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 0
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"Saldırganların bağlanacağı sahte kullanıcıyı oluşturalım
New-LocalUser "honeypot_user" -Password (ConvertTo-SecureString "FakeP@ssw0rd!" -AsPlainText -Force)
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "honeypot_user"Masaüstüne sahte dosyalar bırakalım
New-Item "C:\Users\honeypot_user\Desktop\admin.docx" -ItemType File
New-Item "C:\Users\honeypot_user\Desktop\finance.xlsx" -ItemType File
New-Item "C:\Users\honeypot_user\Desktop\old_rdp_passwords.txt" -ItemType FileBaşarısız oturum açma denemelerini izleyelim
Get-EventLog -LogName Security -InstanceId 4625 -Newest 10Şüpheli bir IP adresini firewall üzerinden engelleyelim
New-NetFirewallRule -DisplayName "BlockRDP_$ip" -Direction Inbound -RemoteAddress $ip -Action BlockBu şekilde saldırganların her hareketi kayıt altına alınır.
Özel RDP Honeypot Çözümleri
HoneyDrive dışında topluluk tarafından geliştirilen özel RDP honeypot senaryoları da bulunur. Örneğin:
- PowerShell tabanlı scriptler, Windows Event Log kayıtlarını analiz ederek başarısız girişleri honeypot ortamına yönlendirebilir.
- Yüksek etkileşimli honeypot çözümleri, saldırganın yaptığı her hareketi video kaydı gibi saklayarak çok daha ayrıntılı analiz imkânı sağlar.
- Sahte dosya tuzakları, saldırganı daha uzun süre sistemin içinde tutar. Örneğin:
admin.docx→ sahte yönetici belgeleri,finance.xlsx→ hayali mali raporlar,old_rdp_passwords.txt→ saldırganı deneme yapmaya teşvik edecek parola listesi.
Bu dosyalar açılmaya çalışıldığında loglara düşer ve saldırganın ilgisi yönlendirilmiş olur.
Wail2ban ile Honeypot Entegrasyonu
Wail2ban, Windows sunucularda brute-force saldırılarını otomatik olarak tespit edip anında engelleyen bir güvenlik katmanıdır. Özellikle RDP gibi kritik servislerde ardışık hatalı giriş denemelerini takip ederek saldırgan IP adreslerini firewall üzerinden yasaklar. Böylece sisteminiz gereksiz yükten kurtulur ve saldırıların başarıya ulaşması engellenir.
Buna karşılık RDP Honeypot çözümleri, saldırganların davranışlarını gözlemlemek için tasarlanmıştır. Yalnızca başarısız giriş denemelerini değil, saldırganın gerçekten sisteme bağlandığını sandığında yaptığı her işlemi kayıt altına alır.
- Wail2ban ———-> Saldırıyı engeller.
- RDP Honeypot ———–> Saldırganı izler ve kaydeder.
Sonuç olarak hem saldırıları durdurabilir hem de gelecekteki tehditlere karşı daha bilinçli bir savunma stratejisi geliştirebilirsiniz.
👉 Brute-force saldırılarının Wail2ban ile nasıl durdurulabileceğini görmek için hazırladığımız Windows Sunucularda Wail2ban Nasıl Kurulur? yazımıza da göz atabilirsiniz.
Sık Sorulan Sorular
RDP brute-force saldırıları en çok hangi portu hedef alır?
En sık hedef alınan port 3389’dur. Honeypot kurarken bu portu izlemek saldırı denemelerini yakalamak için kritik öneme sahiptir.
Honeypot loglarını merkezi sisteme nasıl aktarabilirim?
En yaygın yöntem Syslog veya ELK stack (Elasticsearch, Logstash, Kibana) entegrasyonudur. Ayrıca Zabbix ve Graylog gibi monitoring araçları da Cowrie ve RDP honeypot loglarını toplayabilir. Böylece saldırılar tek panelden takip edilebilir.
Sahte kullanıcı hesabı açmak şart mı?
RDP honeypot için genellikle “honeypot_user” gibi sahte bir kullanıcı oluşturulur. Bu kullanıcı saldırganı yanıltmak için sisteme giriş kapısı görevi görür.
RDP Honeypot loglarını SIEM sistemine gönderebilir miyim?
Sysmon + Winlogbeat kullanarak ELK, Splunk veya Graylog gibi SIEM çözü