Buonasera, sono qui per porre una domanda molto specifica.
Al fine di studiare il comportamento dei lamer, rubare i loro tool e studiarli, ho creato un lab sperimentale che presenta un'arsenale di vulnerabilità già conosciute. Questo device è Windows XP SP3, il dominio del device l'ho chiamato "PUTIN-PC" e all'organizzazione ci ho scritto "GOV-RU"., alla lingua di sistema "russo" e ovviamente nelle folder un sacco di cavolate sempre per confondere ecc.
Questa tecnica di social engineering sfrutta una notizia letta su un sito che non ricordo, secondo cui Vladimir Putin usa ancora Windows XP, questa sua scelta è legata al fatto che la vecchia versione di quest'OS non raccoglie i dati personali dell'end-user e non li spedisce a Microsoft (anche se secondo me è solo allarmismo)
Domanda: se qualcuno viola quest'honeypot, come posso vedere tutto quello che fa? Esiste un tool per intercettare e inserirsi nelle comunicazioni di una sessione di Shell aperta da un malware? Esiste inoltre un modo per "corrompere" la Shell, prenderne il controllo e ritorcerla contro l'attaccante?
Finora le uniche tecniche di intercettazione sono state spiare le connessioni in ingresso/uscita con netstat
oppure sfruttare la funzionalità anti-exploit
di Avast, che segnala preventivamente anche l'IP degli attaccanti, misure tuttavia insufficienti, dato che spesso questi diavoli nascondono l'Indirizzo IP per confondere Nmap. Fatemi sapere, se potete.