Forsvarere taber ikke på værktøjer, men på tid – indtil den første ægte alarm går. Proaktive honeypots er de stille sensorer, der kan fremskynde dette øjeblik.
Klokken er 02:13, lyset fra skærmene flimrer som et neonskilft, der har brændt for længe i årevis. Et stille ping i SIEM’en, diskret, næsten høfligt: Nogen har åbnet en ubemærket “Q4-Invoices.xlsx”, som aldrig burde have været i denne mappe. Jeg mærker, hvordan luften i rummet bliver tynd. Musemarkørerne i sockvinduet standser, så begynder analytikernes fingre at hamre, som om hun slår på en gammel skrivemaskine: Proceskæde, Parent-Child, mistænkelige Registry-Keys; en fin webrequest, der afslører camouflage. Dette er ingen falsk alarm, dette er en nysgerrig indtrænger, der først ville føle, hvor varm serveren er. Og så sker der noget mærkeligt.
Hvorfor ransomware lærer KI-undvigelse
Moderne ransomware er ikke længere bare kryptering plus truende mail, det er adfærd. Den måler, om den sidder i laboratoriet, fodrer små tests ind i runtime-konteksten og forklæder sig, indtil nogen kigger væk. KI-undvigelse er ingen tryllekunst, men slidet arbejde i undergrunden. Modeller genkender mønstre i sandkasser, skifter payload-stier, ændrer import-maps og får telemetri til at ligne støj; til sidst forbliver alarmen tavs, fordi den aldrig blev udløst.
Et eksempel fra virkeligheden: En mellemstor leverandør bemærker søndag kl. 05 et adgangsforsøg til en “forladt” SMB-share – i sandhed en honeypot med skrivebeskyttet “Payroll_2024_final.pdf”. Adgangen var kort, latensen lang, musebevægelserne robotagtige. Senere viser tidslinjen, at malwaren først “vågnede” efter 48 timers søvn, efter ingen admin-logins, ingen opdateringer, ingen backups var synlige. Ifølge Verizon DBIR 2024 dukker ransomware op i cirka en tredjedel af sikkerhedshændelserne – mønstret passer: Tålmodighed, camouflage, målrettet pres.
Hvorfor denne udvikling? Fordi detektion og blokering for længst er standard, afkastet for hurtige, højlydte angreb falder. Så grupper viger ud: De bruger ML-støttede pakkemetoder til at bryde signaturer og “lærer” miljøer gennem fingerprinting – tidszoner, CPU-kerner, DLL-hooks, clipboard-adfærd. EDR’er reagerer, angribere itererer, som i en stille A/B-testningsløkke. Jo længere de forbliver uforstyrrede, desto dyrere bliver det senere brag – for offeret og egen forhandlingsposition.
Proaktive honeypot-setups: sådan ringer det rettidigt
Begynd med små, troværdige fælder, der efterligner ægte vaner: en skrivbar “Projects_Archive”-mappe, nogle honeyfiles med indlejrede canarytokens, to til tre honning-konti i AD med lette fejlkonfigurationer, en lokkende S3/Azure-Blob med pseudodata. Forbind alt til en slank alert-pipeline: Sysmon-Events, SIGMA-regler, DNS-sinkhole, plus en dedikeret Slack-/Teams-kanal med playbook-link. Honeypots er ikke legetøj, men sensorer.
Fejl, vi ser igen og igen: Honeypots, der råber i stedet for at hviske, og ignoreres efter dag ét. Tokens uden rotation, shares uden troværdigt “støv”, decoys uden egress-monitoring – så ryger den mest spændende del gennem firewallen udad. Vi kender alle det øjeblik, hvor man har set en alarm for ofte og mentalt dæmper den. Lad os være ærlige: Ingen gør virkelig det hver dag.
Byg lag: Low-Interaction for bredde, High-Interaction for dybde, og bland on-prem med cloud. Hæng faste response-snacks på: 15-minutters checks, auto-tags i ticket, isolerede PCAP-rolls for de sidste 5 minutters trafik.
“En god honeypot er som en lyskontakt i gangen: først når den klikker, opdager du, at du stod i mørke.” – Lead Incident Responder, produktionsvirksomhed
- Honeyfiles: Office-dokumenter med indlejrede web-beacons og realistiske filnavne.
- Decoy-Creds: Én til to Kerberoast-fähige konti med audit-fokus, ikke produktivt anvendelige.
- Net-lokkemidler: Åbne, tilsyneladende gamle SMB-shares med ændringsrettigheder – tæt tracket.
- Cloud-fælder: Public-men-tomme buckets med token-lures og geofence-alerts.
- SSH-Tarpit: Langsomme bannere, der fastholder scans og gør mønstre synlige.
Videre tænkning: Alerts, der afslører adfærd
Proaktive honeypots er ingen erstatning for EDR, de er gadeovervågningskameraerne foran din hoveddør – de ser, hvem der går forbi og hvordan. Deres ægte styrke ligger i adfærdssignaturen: Søgte angriberen først efter backup-shares, tjekkede PowerShell i Constrained Language Mode, eller jagtede AD-objekter? Ud af disse spor opstår din organisationsspecifikke playbook, ikke en tilfældig PDF fra i går. Tidlige alerts redder budget, nerver og weekender. Den, der derefter også kobler telemetrien med trusselfeeds, procesgrafer og “Living off the Land”-mønstre, genkender mønstret bag støjen. Og finder modet til at lukke de rigtige døre tidligere.
| Nøglepunkt | Detalje | Interesse for læseren |
|---|---|---|
| Forstå KI-undvigelse | Fingerprints, søvnfaser, ML-packers, sandbox-undgåelse | Genkender tidlige signaler i stedet for kun senere skader |
| Honeypot-lagdeling | Low- og High-Interaction, filer, creds, netværk, cloud | Flere chancer for et troværdigt, håndterbart ping |
| Alert-pipeline | Sysmon + SIGMA + SIEM + chat-kanal + playbook | Hurtigere fra ping til handling, mindre alarmtræthed |
FAQ:
- Hvor “intelligent” er KI-undvigelse egentlig? Den virker ofte pragmatisk: Mønstertilpasning, heuristik, variationer. Ingen magi, snarere mange små tricks, der virker sammen.
- Er High-Interaction-honeypots umagen værd for SMV’er? Ja, hvis de placeres målrettet: ét til to systemer, der ser realistiske ud og overvåges godt, frem for fem halvhjertede.
- Hvordan undgår jeg false positives? Brug whitelists til dine admin-jobs, rotér tokens, mærk lokkemidler klart internt og test alerts med planbare “Red-Team-minis”.
- Hvad hvis angribere genkender honeypotet? Også fint: Denne genkendelse er en adfærd. Kontaktforsøget, checks, afbrydelserne – alt dette leverer sporingspunkter.
- Hvilken metrik tæller til sidst? Mean Time to First Suspicious Signal. Jo tidligere det første troværdige ping, desto mindre skadens radius.
