AD Honeypot: Qopqon San'ati

Blue Team Red Team Active Directory 2026-05-14

AD Honeypot: Qopqon San'ati va Uning Badali

Honeypot akkaunt va GPO tuzoqlari — Red Teamer uchun bosh og'riq, Blue Teamer uchun ikki tig'li qilich. Ikki tomonlama tahlil.

🍯 Honeypot Akkaunt o'zi nima?

Bu AD tarmog'ida yaratilgan mutlaqo soxta, sun'iy foydalanuvchi akkaunti. Undan korxonadagi hech bir haqiqiy xodim yoki tizim foydalanmaydi.

→ Asosiy mantiq: Modomiki bu akkauntni hech kim ishlatmas ekan, unga ulanishga urinish, uning parolini terish yoki uning uchun Kerberos chiptasini so'rash — 100% kafolatlangan hujum signali. Bu yerda "False Positive" degan narsa bo'lmaydi!

🎣 Mukammal Qopqon Yasashning 4 Oltin Qoidasi

Xakerlar ahmoq emas — agar qopqon juda ochiq-oydin yoki yangi bo'lsa, ular yaqinlashmaydi. Qopqon xuddi e'tibordan chetda qolgan, qadimgi va "mazali" tizimdek ko'rinishi kerak.

Eski Qadrdon (Age)

Akkaunt kecha ochilgan bo'lmasligi kerak. Xakerlar yangi akkauntlarga ishonmaydi.

→ Xuddi yillab unutilib qolgan profildek ko'rinsin

Zaif Ko'ringan Parol

Parol oxirgi marta 2-5 yil oldin o'zgartirilgan ko'rinsin. Xaker: "Oddiy parol, buzib olaman!" deb o'ylaydi.

→ Aslida 64 belgilik buzib bo'lmas parol!

Yolg'onchi Boylik

Oddiy "farrosh" akkaunti bo'lsa xaker vaqt sarflamaydi. Ma'muriy ruxsatlar yoki server kirish huquqlari ko'rsatilgan bo'lsin.

→ Backup yoki server admin huquqi qo'shilgan bo'lsin

Haqiqiy Xizmatdek (SPN)

Xakerlar Kerberoasting uchun SPN tirkalgan akkauntlarni izlaydi. SQL yoki IIS kabi ishonchli xizmat nomi ulab qo'ying.

→ MSSQLSvc/svc-iam.domain.local:1433

🚨 "BAM" Effekti — Splunk Alert

Qopqon qurilgandan so'ng Splunk da bitta oddiy qoida yoziladi. Xaker skanerlaydi, akkauntni topadi, chiptasini so'raydi — va shu zahoti radaringizga tushadi.

Splunk Detection Rule

Agar kimdir svc-iam akkaunti uchun TGS (Kerberos chipta) so'rasa
yoki ushbu akkaunt bilan login qilishga urinsa —
DARHOL ENG YUQORI DARAJADAGI XAVF SIGNALI

Splunk SPLDetection

# Kerberoasting detection — svc-iam uchun TGS so'rovi index=windows EventCode=4769 ServiceName="svc-iam" TicketEncryptionType="0x17" | eval risk="CRITICAL" | alert action=email to="soc@company.com" # Yoki login urinish index=windows EventCode=4624 OR EventCode=4625 TargetUserName="svc-iam" | eval risk="CRITICAL — HONEYPOT TRIGGERED"

🪤 GPO Honeypot — Ikki Tig'li Qilich

"Tuzoq qo'yish san'ati va uning badali" — keling buni ikki tomondan ko'rib chiqamiz.

Red Team nima qiladi?

BloodHound da IT_Helpdesk guruhiga yozish huquqi bor GPO topildi

GPO ni tahrirlab reverse shell (C++ / Nim shellcode) tirkaldi

Kompyuterlar reboot bo'lganda SYSTEM huquqida ulanish olindi

Bir GPO = barcha ulangan kompyuterlar compromised

Blue Team nima ko'radi?

Event 5136 — GPO Object Modified

Noma'lum akkaunt GPO ga yozdi

Yangi Scheduled Task / Script Policy qo'shildi

Alert: honeypot GPO o'zgartirildi

⚠ Ikki tig'li qilich: Ataylab ochiq qoldirilgan zaif GPO — agar SOC 24/7 tezkor javob bera olmasa, hujumchi siz qo'ygan qopqondan foydalanib butun domenni egallaydi. O'zingiz ochgan eshikdan u sizdan tezroq kirib ketishi mumkin.

🛡️ Xavfsiz Honeypot Arxitekturasi

Agar baribir GPO tuzoq qo'ymoqchi bo'lsangiz — uchta qat'iy qoidani bilib oling.

Blast Radius ni qisqartiring

GPO honeypot muhim serverlarga (DC, Exchange, File Server) umuman ulanmasin. Faqat keraksiz, bo'sh virtual mashinalarga (dummy servers) bog'lang. Hujumchi kodni ishga tushirsa ham faqat o'sha keraksiz serverni egallaydi.

→ Dummy OU: OU=Honeypots,DC=domain,DC=local

Avtomatlashtiring — Odamga ishonmang

Inson reaksiyasi sekin. PowerShell skript yozing — u har 15 daqiqada Event Loglarni tekshirsin va GPO o'zgarganini sezishi bilanoq avtomatik javob bersin.

Dushman qo'lini kesting (Containment)

Skript GPO o'zgarganini (GUID orqali) sezishi bilanoq ikki amalni avtomatik bajaradi.

Disable-ADAccount → compromised akkauntni bloklash
Remove-GPLink → GPO ni OUlardan uzib tashlash

PowerShell — Automated ResponseBlue Team

# Har 15 daqiqada GPO o'zgarishini tekshirish $HoneypotGPO_GUID = "{YOUR-GPO-GUID-HERE}" $HoneypotAccount = "svc-iam" while ($true) { # Event 5136 — GPO Object Modified $events = Get-WinEvent -FilterHashtable @{ LogName = 'Security' Id = 5136 StartTime = (Get-Date).AddMinutes(-15) } -ErrorAction SilentlyContinue $triggered = $events | Where-Object { $_.Message -match $HoneypotGPO_GUID } if ($triggered) { Write-Warning "[!] HONEYPOT TRIGGERED — GPO o'zgartirildi!" # 1. Compromised akkauntni bloklash Disable-ADAccount -Identity $HoneypotAccount Write-Host "[+] $HoneypotAccount bloklandi" # 2. GPO ni barcha OUlardan uzib tashlash Get-GPLink -Guid $HoneypotGPO_GUID | ForEach-Object { Remove-GPLink -Guid $HoneypotGPO_GUID -Target $_.Target } Write-Host "[+] GPO barcha OUlardan uzildi" # 3. SOC ga xabar Send-MailMessage -To "soc@company.com" ` -Subject "[CRITICAL] Honeypot GPO triggered!" ` -Body "Akkaunt: $HoneypotAccount | Vaqt: $(Get-Date)" } Start-Sleep -Seconds 900 # 15 daqiqa }

! Tarmoqni minalangan maydonga aylantirib yubormang! Har bir burchakka qopqon qo'ysangiz, ilg'or xakerlar (APT) AD ma'murlari ehtiyotkor ekanini sezib, butunlay boshqa yashirin taktikaga o'tishadi. Qopqonlar oz, lekin xaker o'tishi shart bo'lgan yo'laklarda joylashsin.

Xulosa

SOC analyst sifatida Honeypot qildingizmi — uni qo'lda kuzatishga ishonmang. Avtomatlashtirilgan javob (Automated Incident Response) bo'lmasa, Honeypot — bu tashkilot uchun ochiq qoldirilgan orqa eshik (backdoor) hisoblanadi.

Bu strategiya Red Teamer uchun haqiqiy bosh og'riq — va faqat "yetuk (mature)" xavfsizlik jamoalariga tavsiya etiladi.