إن أداة khanipot هي أداة خدمية ، ويبدو أنها هدف مغر للمهاجمين ويغريه بالكشف عن نفسه. في حين تم تصميم handlerpots المتقدمة لاكتشاف ودراسة أنواع الهجمات التي يستخدمها المتسللون في الجسم الحي بسهولة أكبر ، فقد تطورت وحدات المقود الحديثة القائمة على تتبع URL إلى أداة مرنة وسهلة الاستخدام وغالبًا ما يستخدمها الأشخاص العاديون للكشف عن المحتالين عبر الإنترنت.
في بودكاست
الأدوات المساعدة الأمنية الأولى لدينا
، نحن ننظر إلى
أداة التتبع المجانية
Grabify ، التي تجمع البيانات حول المحتالين أو المهاجمين عندما ينقرون على رابط التعقب من hanipot.
كيف يعمل الهانبوت؟
Khanipot هي أداة مصممة لجذب انتباه المهاجم ، مما يتيح للمدافع معرفة المزيد عن هوية المهاجم وتكتيكات القرصنة. يمكن أن يتخذ Hanipots أشكالًا مختلفة: غالبًا ما يتم إخفاؤها كملفات مهمة أو رسائل بريد أو روابط أو معلومات حساب أو أجهزة من المرجح أن تجذب اهتمام المهاجمين. تبدو الهانبوت المثالي معقولة بقدر الإمكان ، في محاولة لتقديم تنازلات للمهاجم من خلال الكشف عن الجانب المدافع.
هناك العديد من الطرق الإبداعية والمفيدة التي توصل إليها المدافعون لكشف المتسللين وكشفهم باستخدام هانيبوتس. على سبيل المثال ،
يشتهر الطعم الكلاسيكي "
Kippo "
بحجبه كخدمة SSH ضعيفة ، يمكن الوصول إليها من الإنترنت بحساب ضعيف. Kippo يجذب المهاجم بسهولة الوصول إليه ، بينما يسجل سرا كل النشاطات التي تحدث في الداخل.
تكشف هذه الهنبيات عن المهاجمين الذين يخترقون شبكة غير آمنة ويسمحون للباحثين بتحليل الحمولة الصافية التي تستخدمها الروبوتات الآلية لمهاجمة الأهداف الضعيفة. لقد ساهموا أيضًا في تطوير نوع
فيديو YouTube مع محاولة النصاء التائهين في محاولة يائسة للقضاء على Kippo Hanipots.
يمكن لبعض Hanipots حتى تضليل المتسللين الذين يزعم أنهم وصلوا بالفعل إلى نظامهم الخاص ، مع الاستمرار في تسجيل جميع أعمالهم في نافذة المحطة الطرفية ، مع رفع درجة الماكرة إلى مستوى جديد. يتيح لك ذلك معرفة المزيد عن هوية المهاجم والأنظمة الأخرى التي يمكنه الوصول إليها.
الهانبوتس الحديثة يمكن أن يكون في أي مكان
تطورت Hanipots إلى حالة يصعب اكتشافها ، لأن المعتدين أصبحوا معتادين بالفعل ويحاولون تجنب الأهداف التي تبدو جيدة جدًا بحيث لا يمكن أن تكون حقيقية.
باستخدام
أداة تعقب CanaryToken المجانية ، يمكن للمدافع تضمين رابط تتبع يستند إلى بروتوكول DNS أو روابط الويب التي يتم إطلاقها بمجرد فتح ملف PDF. يجمع CanaryToken عناوين IP لأي شخص يحاول فتح ملف مراقب
قد يحتوي على معلومات حساسة.
للقبض على مجرمي الإنترنت باستخدام تكتيكات الخداع ، يمكن للطرف المدافع استخدام
ارتباطات chanipot المضمنة في رمز موقع الويب. سيتيح لك ذلك تحديد حالات استنساخ مواقع الويب ، والتحذير المسبق للمدافعين عن أي هجوم محتمل.
يتعقب Hanipots الآخرون
بيانات الاعتماد المسروقة ، على شكل اسم مستخدم وكلمة مرور مزيفين (ما يسمى بـ "Honeycredentials") ، ويتم تخزينهما في ملف يحمل اسم "مهم" في مكان يسهل الوصول إليه نسبيًا داخل المهاجم. إذا حاول أحد المهاجمين استخدام بيانات الاعتماد هذه ، يتلقى المدافع فورًا إشعارًا بمحاولة استخدام المعلومات المسروقة للوصول إلى الحساب.
تطبيق آخر من تطبيق hanipot هو
استخدام تتبع الروابط لمعرفة متى ينشر المهاجم روابطك في Skype أو WhatsApp أو في برنامج مراسلة آخر. هذا ممكن بسبب حقيقة أن معظم تطبيقات الدردشة تنقر تلقائيًا على روابط لإنشاء معاينات URL. على الرغم من أن عنوان IP الذي تم تسجيله ينتمي إلى تطبيق messenger ، وليس للمهاجم ، فإن هذا التكتيك يتيح لك معرفة ما إذا كانت روابط Hanipot المتعقبة يتم نقلها إلى شخص آخر أم لا ، حتى إذا كان المهاجم ذكيًا بما يكفي لعدم النقر عليه مطلقًا.
يمكن لأي شخص استخدام chanotip
في "الغرب المتوحش" لمواقع بيع الأشياء والتعارف عبر الإنترنت وتأجير المساكن ، من السهل أن تتخيل أنه لا توجد وسيلة لمعرفة من تتحدث معه بالفعل. قد يبدو المحتالون والروبوتات التي تستفيد من هذا الموقف مقنعة للغاية ، لكن غالبًا ما يمكن اكتشاف خصوصياتهم وعمومياتهم لمعرفة ما إذا كان يمكن إجبارهم على خداعهم للكشف عن معلومات حول موقعهم أو تخطيط لوحة المفاتيح أو إعدادات اللغة التي لا تتطابق مع قصصهم. بفضل هذا ، اكتسب Hanipots شعبية بين الأشخاص العاديين الذين يستخدمون روابط التتبع لتغيير مجرى اللعبة ، حيث يستغل المهاجمون عدم الكشف عن هويتهم على الإنترنت.
من السهل دمج ارتباطات تتبع الويب في صفحات الويب أو تشغيل البرامج النصية أو رسائل البريد الإلكتروني وهي مجانية للجميع. إذا قام المهاجم بفتح الرابط مباشرة أو عن طريق فتح الملف الذي يستدعي عنوان URL ، فيمكن للمدافع معرفة معلومات حول أجهزة المهاجم والبرامج وبيانات الشبكة. حتى إذا حاول أحد المهاجمين إخفاء عنوان IP الحقيقي الخاص به باستخدام VPN ، فلا يزال من الممكن تسريب المعلومات المتعلقة بهويته الحقيقية. يمكن لـ
Grabify اكتشاف الاختلافات مثل عدم تطابق المناطق الزمنية أو تخطيطات لوحة المفاتيح التي لا تتطابق مع موقع عنوان IP ، أو حتى اكتشاف المهاجم باستخدام VPN أو Tor لإخفاء معلوماته.
يمكن أن تؤدي ارتباطات تتبع Hanipot إلى تسوية فرص الأشخاص الذين عادة ما يكونون في وضع غير مؤات عند التفاعل مع مختلف الشخصيات المشبوهة عبر الإنترنت من خلال تحديد التفاصيل التي يصعب التحقق منها. عند استخدام ارتباطات التتبع التي تؤدي إلى المواقع التي يمكن مشاركتها بشكل منطقي عند التواصل مع مالك محتمل ، يمكن للشخص المؤجر أن يبتعد عن العروض "الجيدة جدًا بحيث لا يصح" من خلال تحديد المتسللين الذين يخدعون مواقعهم. على سبيل المثال ، قد يسمح ذلك بالتعرف على شخص من الهند كمالك في لوس أنجلوس.
Hanipots توليد التنبيهات التشغيلية
Hanipots غير مكلفة وسهلة النشر. إنها واحدة من أفضل الطرق للكشف عن خطأ ما. على سبيل المثال ، يمكن لصندوق بريد CanaryToken الذي يتم تتبعه من خلال DNS مع قائمة جهات الاتصال المهمة الإبلاغ فورًا عن تسرب بيانات الاعتماد من هذه القائمة ، مع العلم عن الموقف الذي قد يستغرق شهوراً للكشف عنه.
نشر باحث أمن المعلومات ، كيفن بومونت ،
شبكة RDP سنوب تدعى "BluePot" لاكتشاف عمليات استغلال BlueKeep البرية لتنبيه مآثر الدودة في الوقت المناسب ومنع وقوع هجمات واسعة النطاق مثل NotPetya و WannaCry.
توسع الهانبوت الحديثة حدود فهم مدى سهولة نشرها ومدى إقناعها للمهاجمين. على الرغم من أن عمليات الجيل الجديد المثيرة للإعجاب يمكن أن تعمل على محاكاة الشبكات بأكملها في محاولة للقبض على مجرمي الإنترنت الأكثر تقدماً الذين يمكنهم اكتشاف الطعم المعتاد ، فإن معظم الشركات ستستفيد حتى من استخدام تكتيكات بسيطة ومجانية ، كونها أول من يعرف عن اختراق المهاجم.
إذا كنت تريد معرفة المزيد حول التطبيق والقيود المفروضة على مقابض الويب ، فراجع بودكاست
المرافق الأمنية الخاصة بنا مع Grabify.