Windows ortamında RDP honeypot çözümleri, saldırganların gerçek bir oturum açtıklarını sanmalarını sağlar. Bu izole edilmiş yapılar sayesinde saldırganların denedikleri parolalar, çalıştırdıkları komutlar ve gerçekleştirdikleri dosya işlemleri ayrıntılı olarak kaydedilir. Böylece yalnızca brute-force saldırılarını engellemekle kalmaz, aynı zamanda saldırganların yöntemlerini gözlemleyerek gelecekteki tehditlere karşı hazırlıklı bir güvenlik stratejisi geliştirebilirsiniz.
RDP Honeypot Nedir?
RDP honeypot, saldırganlara gerçek bir Windows oturumu izlenimi verir. Ancak bu ortam tamamen izole edilmiştir ve her hareket kayıt altına alınır. Saldırgan, sisteme eriştiğini düşünürken aslında şunlar loglara düşer.
- Kullanıcı adı ve parola denemeleri,
- Çalıştırılan PowerShell veya CMD komutları,
- Dosya yükleme girişimleri,
- Zararlı yazılım çalıştırma teşebbüsleri
HoneyDrive ile RDP Honeypot Kurulumu
HoneyDrive, Debian/Ubuntu tabanlı hazır bir honeypot dağıtımıdır. ISO imajı sanal makineye kurulup RDP trafiği buraya yönlendirilerek saldırılar loglanabilir.
Önce sistemi güncelleyelim:
sudo apt update && sudo apt upgrade -yHoneyDrive ISO’sunu indirelim
wget https://bruteforce.gr/honeydrive/HoneyDrive-3.0.isoGerekli sanallaştırma araçlarını kuralım
sudo apt install qemu-kvm libvirt-daemon-system libvirt-clients bridge-utils virt-manager -yKVM üzerinde HoneyDrive VM oluşturalım
virt-install --name honeydrive --ram 2048 --disk path=/var/lib/libvirt/images/honeydrive.qcow2,size=20 \
--vcpus 2 --os-type linux --os-variant ubuntu20.04 --cdrom HoneyDrive-3.0.iso --network bridge=br0RDP Honeypot Scriptlerini Çalıştırma
HoneyDrive içinde RDP honeypot scriptleri hazır gelir.
cd /opt/honeypot/rdp/Scripti başlatalım
sudo python rdp_honeypot.pyArka planda çalışması için systemd servisi tanımlayalım
sudo nano /etc/systemd/system/rdp-honeypot.service[Unit]
Description=RDP Honeypot Service
After=network.target
[Service]
ExecStart=/usr/bin/python /opt/honeypot/rdp/rdp_honeypot.py
Restart=always
[Install]
WantedBy=multi-user.targetServisi aktif edelim
sudo systemctl daemon-reload
sudo systemctl enable rdp-honeypot
sudo systemctl start rdp-honeypotArtık 3389 numaralı RDP portuna gelen saldırılar honeypot’a düşecek ve loglanacaktır.
Windows Üzerinde Özel RDP Honeypot Kurulumu
Hazır paket kullanmadan doğrudan Windows üzerinde basit bir honeypot ortamı da kurabiliriz. Bu yöntemle sahte bir kullanıcı açıp, masaüstüne saldırganların ilgisini çekecek dosyalar koyarak tuzak oluşturacağız.
Önce RDP servisini açalım
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 0
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"Saldırganların bağlanacağı sahte kullanıcıyı oluşturalım
New-LocalUser "honeypot_user" -Password (ConvertTo-SecureString "FakeP@ssw0rd!" -AsPlainText -Force)
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "honeypot_user"Masaüstüne sahte dosyalar bırakalım
New-Item "C:\Users\honeypot_user\Desktop\admin.docx" -ItemType File
New-Item "C:\Users\honeypot_user\Desktop\finance.xlsx" -ItemType File
New-Item "C:\Users\honeypot_user\Desktop\old_rdp_passwords.txt" -ItemType FileBaşarısız oturum açma denemelerini izleyelim
Get-EventLog -LogName Security -InstanceId 4625 -Newest 10Şüpheli bir IP adresini firewall üzerinden engelleyelim
New-NetFirewallRule -DisplayName "BlockRDP_$ip" -Direction Inbound -RemoteAddress $ip -Action BlockBu şekilde saldırganların her hareketi kayıt altına alınır.
Özel RDP Honeypot Çözümleri
HoneyDrive dışında topluluk tarafından geliştirilen özel RDP honeypot senaryoları da bulunur. Örneğin:
- PowerShell tabanlı scriptler, Windows Event Log kayıtlarını analiz ederek başarısız girişleri honeypot ortamına yönlendirebilir.
- Yüksek etkileşimli honeypot çözümleri, saldırganın yaptığı her hareketi video kaydı gibi saklayarak çok daha ayrıntılı analiz imkânı sağlar.
- Sahte dosya tuzakları, saldırganı daha uzun süre sistemin içinde tutar. Örneğin:
admin.docx→ sahte yönetici belgeleri,finance.xlsx→ hayali mali raporlar,old_rdp_passwords.txt→ saldırganı deneme yapmaya teşvik edecek parola listesi.
Bu dosyalar açılmaya çalışıldığında loglara düşer ve saldırganın ilgisi yönlendirilmiş olur.
Wail2ban ile Honeypot Entegrasyonu
Wail2ban, Windows sunucularda brute-force saldırılarını otomatik olarak tespit edip anında engelleyen bir güvenlik katmanıdır. Özellikle RDP gibi kritik servislerde ardışık hatalı giriş denemelerini takip ederek saldırgan IP adreslerini firewall üzerinden yasaklar. Böylece sisteminiz gereksiz yükten kurtulur ve saldırıların başarıya ulaşması engellenir.
Buna karşılık RDP Honeypot çözümleri, saldırganların davranışlarını gözlemlemek için tasarlanmıştır. Yalnızca başarısız giriş denemelerini değil, saldırganın gerçekten sisteme bağlandığını sandığında yaptığı her işlemi kayıt altına alır.
- Wail2ban ———-> Saldırıyı engeller.
- RDP Honeypot ———–> Saldırganı izler ve kaydeder.
Sonuç olarak hem saldırıları durdurabilir hem de gelecekteki tehditlere karşı daha bilinçli bir savunma stratejisi geliştirebilirsiniz.
👉 Brute-force saldırılarının Wail2ban ile nasıl durdurulabileceğini görmek için hazırladığımız Windows Sunucularda Wail2ban ile Brute-Force Koruması yazımıza da göz atabilirsiniz.
Sık Sorulan Sorular
RDP brute-force saldırıları en çok hangi portu hedef alır?
En sık hedef alınan port 3389’dur. Honeypot kurarken bu portu izlemek saldırı denemelerini yakalamak için kritik öneme sahiptir.
Honeypot loglarını merkezi sisteme nasıl aktarabilirim?
En yaygın yöntem Syslog veya ELK stack (Elasticsearch, Logstash, Kibana) entegrasyonudur. Ayrıca Zabbix ve Graylog gibi monitoring araçları da Cowrie ve RDP honeypot loglarını toplayabilir. Böylece saldırılar tek panelden takip edilebilir.
Sahte kullanıcı hesabı açmak şart mı?
RDP honeypot için genellikle “honeypot_user” gibi sahte bir kullanıcı oluşturulur. Bu kullanıcı saldırganı yanıltmak için sisteme giriş kapısı görevi görür.
RDP Honeypot loglarını SIEM sistemine gönderebilir miyim?
Sysmon + Winlogbeat kullanarak ELK, Splunk veya Graylog gibi SIEM çözümlerine aktarım yapılabilir.