Esistono delle tecniche per sapere se una macchina è un honeypot (o un indicatore sospetto)?
Quali tecniche possono essere utilizzate per un software all'interno dell'honeypot o al di fuori di esso?
Quali tecniche utilizza il malware per prevenire l'infettare honeypot?
Sì.
L'honeypot non è solo lì per attirare un attaccante, ma anche per ottenere informazioni su di loro. Quindi, un honeypot vuole registrare tutte le azioni dell'attaccante.
Un utente malintenzionato potrebbe ora causare un overflow del log (una tecnica vista in natura sta scrivendo ed eliminando alcuni file molto spesso) e modifica il loro comportamento sulle informazioni ottenute in questo modo.
Un malware può anche provare altri metodi per rilevare se la macchina che ha infettato è di ferro grezzo o una macchina virtuale.
Idealmente, no. Un honeypot è una parola usata per definire lo scopo di una macchina, ma non ha alcuna relazione con la macchina stessa, con il modo in cui è configurata o con un particolare software in esecuzione su di essa.
Detto questo, qualcuno che crea un honeypot ha in genere l'obiettivo di attirare gli obiettivi in risorse in scadenza o di interrompere OpSec. Per fare ciò, presenterebbero un obiettivo che sembra offrire una ricompensa significativa e / o uno sforzo minimo necessario per sfruttare. Se il proprietario del vaso del miele non è un ottimo giocatore di poker (sapendo quanto offrire senza rendere evidente la trappola), si potrebbe potenzialmente misurare il valore "troppo bello per essere vero" di una macchina.
Purtroppo, tuttavia, se si dovesse confrontare questa misura con la maggior parte degli host connessi a Internet, un obiettivo deliberatamente debole e prezioso sarà in gran parte indistinguibile da uno che è accidentalmente tale.
Hmmm, come dire se sei entrato in un honeypot, vediamo ...
La macchina sembra essere stata appena impostata ieri e l'unica cosa che ha su di essa oltre alle directory di default è una cartella chiamata "Sensitive" piena di scansioni di pagine di vecchie copie del 2600 e liste di nomi e indirizzi mispelled pretendendo di essere dipendenti di HB Gary.
Il driver del mouse ha il produttore etichettato come "Microsoft SMS Solutions"
Prova a parlare con il controller dell'unità o qualsiasi altro dispositivo DMA e il computer inizia a rispondere come se avesse una lobotomia.
Il codice op CPUID colloca il valore 0x02 in EAX
Esegui un cronometraggio RDTSC su una sequenza di istruzioni e il valore risultante è un numero folle.
Prova a creare una connessione HTTP a cnn.com e ottieni l'errore "Impossibile connettersi"
Le uniche stampanti installate sulla macchina hanno la parola "generico" nel loro nome.
Si assegna il comando "net view" e si ottiene la risposta "L'elenco dei server per questo gruppo di lavoro non è attualmente disponibile."
Il tuo scanner radio ha improvvisamente molta attività sulle trunking di Motorola da parte di ragazzi con accenti texani che dicono cose come "Codice 10" e "in posizione".
In tutta serietà, le uniche persone che cadono per honeypot sono adolescenti o amatori che usano Blackhole o qualcosa del genere. Normalmente, gli hacker che presentano una seria minaccia non entreranno mai in una honeypot perché puntano a specifici IP che conoscono in anticipo per essere macchine valide. Se l'hacker vuole identificare qualsiasi honeypot seduto su, ad esempio, una rete aziendale, è facile da fare perché la macchina non avrà traffico in uscita o il traffico sarà forzato e non seguirà un normale schema di utilizzo. Inoltre, una presunta macchina seduta da sola al di fuori della DMZ è una givaga morta.
Mentre, come ha dichiarato il Drago Sorridente, idealmente i vasi per il miele non sono individuabili, possono esserlo. Un attacco può utilizzare il contesto e i dettagli di implementazione noti per rilevare un vaso di miele.
Il contesto può essere molto importante. Cioè, una macchina è troppo evidentemente insicura (come detto sopra) o troppo insicura rispetto all'ambiente, questo può essere un indicatore per calpestare dolcemente.
Per quanto riguarda i dettagli di implementazione questo segue come altri software, in particolare il software del sistema operativo (prendere in considerazione le impronte digitali del sistema operativo). Se uno stimolo che induce una risposta nota per essere (o si pensa di essere) da un vaso di miele, questo può avvertire o mettere in guardia un aggressore.
Questi documenti potrebbero valere la pena per te, link e link