Source: Wiz (blog) — Wiz Research annonce l’open source de HoneyBee, un outil qui automatise la création de conteneurs et Docker Compose intentionnellement vulnérables pour reproduire des configurations cloud courantes et mal sécurisées.

HoneyBee génère des Dockerfiles et manifests Docker Compose pour des applications cloud populaires (bases de données, services de stockage, web apps) en reproduisant des mauvaises configurations typiques comme l’authentification sans mot de passe et des paramètres trop permissifs. Les honeypots ainsi déployés sont isolés mais réalistes et conçus pour être observables 🐝.

L’outil intègre des capacités de capture réseau (tcpdump), le Wiz Sensor pour la télémétrie, et une intégration aux plateformes Wiz CSPM et Wiz Defend, avec des alertes en temps réel via Slack. Le modèle d’alerte repose sur l’hypothèse qu’une modification d’applications « immuables » de leurres indique une activité malveillante.

Côté détection, HoneyBee permet de capturer la chaîne d’attaque complète, de la reconnaissance au post-compromis, d’observer des malwares fileless, et des mécanismes de persistance comme les services systemd et cron. Wiz indique s’en servir pour affiner la détection de risques de configuration et la détection comportementale.

L’outil a servi à étudier des menaces réelles telles que l’exploitation de JDWP et des campagnes de cryptominage ciblant PostgreSQL, fournissant une veille qui améliore leurs règles de détection. Il est utilisé pour orchestrer des honeypots intégrés à leur plateforme, dans des cas d’usage Threat Hunting / SOC Automation. 🛠️

TTPs observés/visés (exemples):

  • Exploitation de surfaces exposées (ex. JDWP) et mauvaises configurations
  • Cryptominage sur bases de données (PostgreSQL)
  • Reconnaissance → compromission → post-exploitation
  • Malware fileless, persistance via systemd et cron

Type d’article: nouveaux outils; objectif principal: open-sourcer un générateur de honeypots pour accélérer les déploiements réalistes et renforcer les capacités de détection et de recherche.

🔗 Source originale : https://www.wiz.io/blog/honeybee-threat-research

🖴 Archive : https://web.archive.org/web/20251008161645/https://www.wiz.io/blog/honeybee-threat-research