web-dev-qa-db-ja.com

ハニーポットを検出することは可能ですか?

マシンがハニーポット(または疑わしいインジケーター)であるかどうかを知る手法はありますか?

ハニーポットの内部または外部のソフトウェアに使用できるテクニックは何ですか?

ハニーポットへの感染を防ぐためにマルウェアを使用するテクニックは何ですか?

26
wjaphqoz

理想的には、いいえ。ハニーポットは、マシンの目的を定義するために使用されるWordですが、マシン自体、その構成方法、またはその上で実行されている特定のソフトウェアには関係ありません。

とはいえ、ハニーポットを作成する誰かは通常、ターゲットをリソースの消費またはOpSecの破壊に誘惑することを目標としています。これを行うために、彼らは、悪用するために必要な大きな報酬および/または最小限の努力を提供するように見える目標を提示します。 Honeyポットの所有者が非常に優れたポーカープレーヤーではない場合(トラップを明確にせずに提供できる金額を知っている場合)、マシンの「真実であるにはあまりにも良い」値を測定できる可能性があります。

残念なことに、この測定値をインターネットに接続されたホストの大部分と比較すると、故意に弱く価値のある目標は、偶然そうであるものとほとんど区別がつかなくなります。

30
Smiling Dragon

うーん、ハニーポットに入ったかどうかを確認する方法は、見てみましょう...

  • このマシンは昨日セットアップされたばかりのようで、デフォルトのディレクトリ以外に「Sensitive」と呼ばれるフォルダがあり、2600の古いコピーのページスキャンと、HBの従業員であると偽る名前とアドレスのリストが含まれています。ゲイリー。

  • マウスドライバーの製造元には、「Microsoft SMSソリューション」と表示されています。

  • ドライブコントローラーまたは他のDMAデバイスと通信しようとすると、コンピューターがロボトミーのように応答し始めます。

  • CPUID opコードはEAXに値0x02を配置します

  • 命令シーケンスでRDTSCタイミングを実行すると、結果の値は非常識な数値になります。

  • Cnn.comにHTTP接続しようとすると、「接続できません」というエラーが表示される

  • マシンにインストールされている唯一のプリンターは、名前に「汎用」という単語があります。

  • コマンド「net view」を実行すると、「このワークグループのサーバーのリストは現在利用できません」という応答が返されます。

  • ラジオスキャナーは、「コード10」や「定位置」などのことを言っているTexanのアクセントを持つ男たちによって、モトローラの幹線で突然多くの奇妙な活動をしています。

すべての真剣に、ハニーポットに陥るのは、ブラックホールなどを使用している青年またはアマチュアだけです。通常、深刻な脅威を提示するハッカーは、有効なマシンであることが事前にわかっている特定のIPをターゲットにするため、ハニーポットに入ることはありません。ハッカーが企業ネットワークなどに存在するハニーポットを特定したい場合は、マシンに送信トラフィックがないか、トラフィックが不自然であり、通常の使用パターンに従っていないため、これは簡単です。また、DMZ=の外に一人で座っていると想定されるマシンは、死んだgivawayです。

19
Tyler Durden

笑顔のドラゴンが理想的に述べたように、ハニーポットは検出不可能ですが、それらは検出可能です。攻撃では、コンテキストと既知の実装の詳細を使用して、ハニーポットを検出できます。

コンテキストは非常に重要です。つまり、マシンが明らかに安全でない(上記のように)か、環境に対して安全でない場合、これは柔らかく踏むための指標となります。

実装の詳細に関しては、これは他のソフトウェア、特にオペレーティングシステムソフトウェアと同様に続きます(OSフィンガープリントを検討してください)。ハニーポットからの反応であることがわかっている(または考えられている)反応を誘発する刺激があった場合、攻撃者に警告または警告することができます。

これらの論文はあなたにとって一読の価値があるかもしれません http://old.honeynet.org/papers/individual/DefeatingHPs-IAW05.pdf および http://ro.ecu.edu .au/cgi/viewcontent.cgi?article = 1027&context = adf

1
user3730788