Domanda Come faccio per creare un honeypot e come passare al contrattacco?

czonta96

Utente Gold
17 Gennaio 2022
259
73
153
289
Buonasera, sono qui per porre una domanda molto specifica.
Al fine di studiare il comportamento dei lamer, rubare i loro tool e studiarli, ho creato un lab sperimentale che presenta un'arsenale di vulnerabilità già conosciute. Questo device è Windows XP SP3, il dominio del device l'ho chiamato "PUTIN-PC" e all'organizzazione ci ho scritto "GOV-RU"., alla lingua di sistema "russo" e ovviamente nelle folder un sacco di cavolate sempre per confondere ecc.

Questa tecnica di social engineering sfrutta una notizia letta su un sito che non ricordo, secondo cui Vladimir Putin usa ancora Windows XP, questa sua scelta è legata al fatto che la vecchia versione di quest'OS non raccoglie i dati personali dell'end-user e non li spedisce a Microsoft (anche se secondo me è solo allarmismo)

Domanda: se qualcuno viola quest'honeypot, come posso vedere tutto quello che fa? Esiste un tool per intercettare e inserirsi nelle comunicazioni di una sessione di Shell aperta da un malware? Esiste inoltre un modo per "corrompere" la Shell, prenderne il controllo e ritorcerla contro l'attaccante?

Finora le uniche tecniche di intercettazione sono state spiare le connessioni in ingresso/uscita con netstat oppure sfruttare la funzionalità anti-exploit di Avast, che segnala preventivamente anche l'IP degli attaccanti, misure tuttavia insufficienti, dato che spesso questi diavoli nascondono l'Indirizzo IP per confondere Nmap. Fatemi sapere, se potete.
 

CrazyMonk

Utente Electrum
24 Dicembre 2021
483
14
247
159
Buonasera, sono qui per porre una domanda molto specifica.
Al fine di studiare il comportamento dei lamer, rubare i loro tool e studiarli, ho creato un lab sperimentale che presenta un'arsenale di vulnerabilità già conosciute. Questo device è Windows XP SP3, il dominio del device l'ho chiamato "PUTIN-PC" e all'organizzazione ci ho scritto "GOV-RU"., alla lingua di sistema "russo" e ovviamente nelle folder un sacco di cavolate sempre per confondere ecc.

Questa tecnica di social engineering sfrutta una notizia letta su un sito che non ricordo, secondo cui Vladimir Putin usa ancora Windows XP, questa sua scelta è legata al fatto che la vecchia versione di quest'OS non raccoglie i dati personali dell'end-user e non li spedisce a Microsoft (anche se secondo me è solo allarmismo)

Domanda: se qualcuno viola quest'honeypot, come posso vedere tutto quello che fa? Esiste un tool per intercettare e inserirsi nelle comunicazioni di una sessione di Shell aperta da un malware? Esiste inoltre un modo per "corrompere" la Shell, prenderne il controllo e ritorcerla contro l'attaccante?

Finora le uniche tecniche di intercettazione sono state spiare le connessioni in ingresso/uscita con netstat oppure sfruttare la funzionalità anti-exploit di Avast, che segnala preventivamente anche l'IP degli attaccanti, misure tuttavia insufficienti, dato che spesso questi diavoli nascondono l'Indirizzo IP per confondere Nmap. Fatemi sapere, se potete.
Non so se esiste un modo per corrompere una Reverse Shell, però ti suggerirei un paio di programmi per monitorare quello che fanno gli attaccanti una volta che hanno violato il computer: "Blackbox security monitor" e "Spy Screen", essenzialmente sono dei keylogger e poi tengono traccia dei software aperti sul PC e delle pagine web visitate. Un altro consiglio che mi sento di darti è quello di attivare la registrazione degli eventi e consultare il visualizzatore degli eventi di sistema. È un'operazione piuttosto tediosa consultare il registro degli eventi, te lo anticipo, però se utilizzi dei criteri di filtraggio opportuni puoi scoprire se hanno provato ad accedere ad alcuni file importanti, per esempio. Oppure anche se ci sono riusciti, puoi sapere se i file sono stati modificati ecc. Insomma, è un ulteriore strumento.
 
  • Mi piace
  • Incredibile
Reazioni: 0xbro e czonta96