Мобильные устройства становятся всё более привлекательными целями для злоумышленников. Развёртывание honeypot на Android позволяет собрать ценные данные о попытках вторжения, не рискуя основной инфраструктурой. В этой статье мы покажем, как создать полностью функциональный honeypot‑сервер на базе Termux и Cowrie.
Что понадобится
- Смартфон или планшет под управлением Android 8.0 и выше.
- Установленное приложение Termux (из Google Play или F-Droid).
- Подключение к сети Wi‑Fi (рекомендовано отдельное тестовое окружение).
- Базовые знания Linux‑команд.
Подготовка Termux
После установки откройте Termux и выполните обновление пакетов:
pkg update && pkg upgrade -yУстановим необходимые утилиты и Python‑окружение:
pkg install git python python-pip openssh -yСоздадим отдельный пользователь для Cowrie (опционально, но рекомендуется):
adduser --disabled-password --gecos "" cowrieПерейдите в домашний каталог нового пользователя:
su - cowrieУстановка Cowrie
Клонируем репозиторий Cowrie:
git clone https://github.com/cowrie/cowrie.git ~/cowrieПерейдите в директорию проекта и установите зависимости:
cd ~/cowrie
pip install --upgrade pip
pip install -r requirements.txtСкопируем пример конфигурации и подготовим её под Android:
cp etc/cowrie.cfg.dist etc/cowrie.cfgОтредактируйте файл etc/cowrie.cfg, задав параметры:
listen_host = 0.0.0.0– прослушивание всех интерфейсов.listen_port = 2222– нестандартный SSH‑порт (избегаем конфликта с встроенным SSH‑демоном Android).- Укажите путь к директории
download_pathиlog_pathв пределах домашней директории, чтобы избежать проблем с правами.
Запуск Cowrie
Для первого старта выполните:
bin/cowrie startПроверьте статус:
bin/cowrie statusЕсли всё прошло успешно, Cowrie будет слушать подключение на порту 2222. Теперь вы можете протестировать работу с другого устройства, подключившись по SSH:
ssh -p 2222 test@IP_вашего_AndroidУчтите, что пароль test – фиктивный, Cowrie имитирует процесс аутентификации.
Сбор и анализ логов
Все события сохраняются в директории var/log/cowrie:
cowrie.log– основной журнал событий.tty/*.log– сессии терминала, записанные в виде псевдо‑TTY.
Для быстрого просмотра используйте стандартные утилиты:
cat var/log/cowrie/cowrie.log | grep "login"Для более глубокой аналитики можно экспортировать логи в ELK-стек или Splunk. В рамках RybinskLab мы предоставляем готовые решения по интеграции и визуализации данных.
Безопасность и ограничения
Запуск honeypot‑сервера на мобильном устройстве требует внимательного подхода:
- Изолируйте устройство от основной сети (используйте отдельный Wi‑Fi).
- Ограничьте ресурсы CPU и памяти, чтобы honeypot не влиял на работу телефона.
- Регулярно проверяйте логи на наличие попыток использовать ваш Android как промежуточный узел.
- Не используйте реальный пароль или SSH‑ключи – Cowrie имитирует их.
Автозапуск при загрузке
Для автоматического старта Cowrie после перезапуска Termux добавьте в файл ~/.bashrc строку:
~/cowrie/bin/cowrie startИли используйте планировщик cron (пакет cronie) для более гибкой настройки.
Заключение
Развёртывание собственного honeypot‑сервера на Android с помощью Termux и Cowrie – это простой и эффективный способ собрать ценные данные о текущих атаках, не тратя ресурсы на отдельные серверы. Вы получаете мобильную лабораторию, которую можно быстро перенести в любую сеть.
Если вам требуется профессиональная настройка, интеграция с системами SIEM или помощь в анализе полученных данных, команда RybinskLab готова предложить комплексные услуги: от установки и кастомизации honeypot‑решений до построения полной аналитической инфраструктуры. Свяжитесь с нами, и мы поможем превратить собранные данные в actionable intelligence.