Lov na vestice

• 5Ovo se svidja korisnicima: ThePhilosopher, p2all, mcrule, ivance95, gsb
  
  Registruj se da bi pohvalio/la poruku!

Uloguj se preko Facebooka da bi skinuo fajl:

Jedan kratak opis lova na vestice
=======================

Dva pojma za koje ste mozda culi, a koji su meni ovih dana jako zanimljivi su Honeypot i Honeyclient.
Pod pojmom Honeypot se podrazumeva 'mamac za botove, trojance i slicnu gamad'.
Honeypot emulira ranjiv sistem, i prosto mami nekog da pokusa da vam 'hackne' komp.
Honeypot ustvari simulira odziv kakav bi imao ranjivi sistem, a u medjuvremenu snima sva desavanja i hvata fajlove koje neko pokusava da vam uvali u sistem.
Na sledecoj slici mozete videti na kojim portovima 'slusa' moj sistem (levo), a desno se vidi prozor Honeypota koji odgovara na pakete na vecini portova koje ste videli da su otvoreni:

https://www.mycity.rs/must-login.png

Kada hacker pomisli da je upao (sto ce Honeypot da mu simulira), obicno pokusa da na sistem ubaci trojanca koriscenjem konzolnog FTP klijenta koji postoji na svakoj instalaciji Windowsa. Odradi download i startuje klijenta i onda smatra da je 'odradio posao'. Fora je u tome sto sve to sto on vidi na ekranu, to njemu ne odgovara moj sistem, vec moj honeypot, a sve fajlove koje pokusa da uvali - honeypot ce lepo da arhivira.
Postoje i automatizovani napadi koriscenjem botova. Botovi sa nekog zarazenog kompa pokusavaju da se prosire dalje, pa napadaju kompove na mrezi koriscenjem nekog exploita. Nakon uspesnog upada inficiraju i komp na koji su upali, pa i od njega naprave bota koji pokusava da zarazi ostale okolo. Sam bot moze da sadrzi i rutine za instalaciju i drugih programa na inficirani sistem, tako da se prica sa botom moze nastaviti do jutra. Honeypot ne moze da simulira instaliranog bota jer ne vrsi analizu fajlova koje je uhvatio. Time je objasnjena uloga Honeypota.

Dok je Honeypot program u kome nije potrebna interakcija (moze se nazvati i pasivnim), Honeyclient sam 'trazi nevolju'. Honeyclient posecuje sajtove i dozvoljava sve one aktivne komponente na sajtovima da vam instaliraju sta god sajt to od vas zatrazi. Naravno da je i ovo simulirano, tako da vi ustvari samo skupljate gamad sa sajtova i od toga pravite lepu arhivu.
Symantec odavno ima ovakav program, ali iskljucivo za Solaris operativni sistem. Microsoft trenutno razvija svoj HoneyMonkey koji ce krstariti netom i skupljati malware i exploite. MS se nada da ce ovom tehnologijom brze moci da skupe uzorke i da reaguju na 0-day exploite.

Trenutno nemam ni jedan HoneyClient cijim koriscenjem zasigurno komp ostaje cist, ali cu ovih dana poraditi na konstrukciji jednog ovakvog sistema.
Pogledajte moje prethodne clanke, a ja cu vam dati asocijacije:
HoneyClient, SandBox, hosts file

Citamo se posle sledeceg lova na vestice

Dopuna: 30 Jan 2006 23:12

Zaboravih da kazem: moj Honeypot sakupi od 3 do 10 novih malwarea dnevno, a dozivljava i po 1500 napada sa oko 500 downloada (ali vecinom isti bot ili crv). Ovo je bilo za informaciju o tome sta se sve desava na netu, ali ste toga postedjeni posto koristite FW-ove.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Samo napred bobby, veoma pametno!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Jedna od standardnih procedura skupljanja novih malverova

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

pa jeste da nije tema za ovde evo sad kad sam se prijavljivao na MC znaci nigde nego direktno samo MC iskoci mi KAH sa obavestenjem.
On 31.januar 2006 at.22.48.58 an Lovesan attack was detected on your mashine.pogledao sam odma sta je klasican Worm i to upada c://Program files/Worm.win32.Lovesan.a usin IE(nikad ga nekoristim) and registry key.
HKEY_LOCAL_MASHINE/software/using regedit.exe.ovo pisem samo zbog bobby-evog posta da se zaista moramo cuvati