it-swarm.com.de

Ist es möglich, einen Honigtopf zu erkennen?

Gibt es Techniken, um festzustellen, ob es sich bei einer Maschine um einen Honigtopf handelt (oder um verdächtige Indikatoren)?

Welche Techniken können für eine Software innerhalb oder außerhalb des Honeypots verwendet werden?

Welche Techniken verwenden Malware, um eine Infektion des Honeypots zu verhindern?

26
wjaphqoz

Im Idealfall nein. Ein Honeypot ist ein Wort, mit dem der Zweck einer Maschine definiert wird, das jedoch keinen Einfluss auf die Maschine selbst, ihre Konfiguration oder eine bestimmte darauf ausgeführte Software hat.

Das heißt, jemand, der einen Honeypot erstellt, hat normalerweise das Ziel, Ziele dazu zu bringen, Ressourcen zu verbrauchen oder OpSec zu brechen. Zu diesem Zweck würden sie ein Ziel präsentieren, das eine signifikante Belohnung und/oder einen minimalen Aufwand für die Nutzung zu bieten scheint. Vorausgesetzt, der Besitzer des Honey Pot ist kein sehr guter Pokerspieler (er weiß, wie viel er anbieten kann, ohne die Falle offensichtlich zu machen), könnte man möglicherweise den Wert einer Maschine messen, der "zu gut, um wahr zu sein".

Wenn man diese Maßnahme mit der Mehrheit der mit dem Internet verbundenen Hosts vergleicht, ist ein absichtlich schwaches und wertvolles Ziel leider weitgehend nicht von einem versehentlich zu unterscheidenden Ziel zu unterscheiden.

30
Smiling Dragon

Hmmm, wie kann man feststellen, ob man in einen Honigtopf gegangen ist? Mal sehen ...

  • Die Maschine scheint erst gestern eingerichtet worden zu sein, und das einzige, was sie neben den Standardverzeichnissen enthält, ist ein Ordner namens "Sensitive", der mit Seitenscans alter Kopien von 2600 und Listen mit falsch geschriebenen Namen und Adressen gefüllt ist, die angeblich Mitarbeiter von HB sind Gary.

  • Der Maustreiber hat den Hersteller als "Microsoft SMS Solutions") gekennzeichnet.

  • Sie versuchen, mit dem Laufwerkscontroller oder einem anderen DMA Gerät) zu sprechen, und der Computer reagiert wie bei einer Lobotomie.

  • Der CPUID-Operationscode setzt den Wert 0x02 in EAX

  • Sie führen ein RDTSC-Timing für eine Befehlssequenz durch und der resultierende Wert ist eine verrückte Zahl.

  • Sie versuchen, eine HTTP-Verbindung zu cnn.com herzustellen, und erhalten die Fehlermeldung "Keine Verbindung möglich".

  • Die einzigen auf dem Computer installierten Drucker haben das Wort "generisch" im Namen.

  • Sie geben den Befehl "net view" ein und erhalten die Antwort "Die Liste der Server für diese Arbeitsgruppe ist derzeit nicht verfügbar."

  • Ihr Radioscanner hat plötzlich eine Menge seltsamer Aktivitäten auf Motorola-Amtsleitungen von Leuten mit texanischen Akzenten, die Dinge wie "Code 10" und "in Position" sagen.

In aller Ernsthaftigkeit sind die einzigen Menschen, die auf Honigtöpfe hereinfallen, Jugendliche oder Amateure, die Blackhole oder ähnliches benutzen. Normalerweise betreten Hacker, die eine ernsthafte Bedrohung darstellen, niemals einen Honeypot, da sie auf bestimmte IPs abzielen, von denen sie im Voraus wissen, dass sie gültige Maschinen sind. Wenn der Hacker Honeypots identifizieren möchte, die beispielsweise in einem Unternehmensnetzwerk sitzen, ist dies einfach, da der Computer entweder keinen ausgehenden Datenverkehr hat oder der Datenverkehr erfunden wird und keinem normalen Nutzungsmuster folgt. Auch eine vermeintliche Maschine, die alleine vor dem DMZ sitzt), ist ein totes Werbegeschenk.

19
Tyler Durden

Während, wie Smiling Dragon feststellte, Honigtöpfe idealerweise nicht nachweisbar sind, können sie es sein. Ein Angriff kann Kontext und bekannte Implementierungsdetails verwenden, um einen Honigtopf zu erkennen.

Der Kontext kann sehr wichtig sein. Das heißt, eine Maschine ist zu offensichtlich unsicher (wie oben angegeben) oder zu unsicher in Bezug auf die Umgebung. Dies kann ein Indikator sein, um sanft zu treten.

In Bezug auf Implementierungsdetails folgt dies wie bei anderer Software, insbesondere bei Betriebssystemsoftware (siehe Betriebssystem-Fingerabdruck). Wenn ein Stimulus eine Reaktion auslöst, von der bekannt ist (oder angenommen wird), dass sie von einem Honigtopf stammt, kann dies einen Angreifer alarmieren oder warnen.

Diese Artikel könnten für Sie eine Lektüre wert sein, http://old.honeynet.org/papers/individual/DefeatingHPs-IAW05.pdf und http://ro.ecu.edu .au/cgi/viewcontent.cgi? article = 1027 & context = adf

1
user3730788