Ein Khanipot ist ein Hilfsprogramm, das als Lockvogel dient und ein verführerisches Ziel für einen Angreifer zu sein scheint und ihn dazu verleitet, sich zu offenbaren. Während fortschrittliche Handlerpots entwickelt wurden, um die von Hackern in vivo verwendeten Angriffsarten leichter zu erkennen und zu untersuchen, haben sich moderne, auf URL-Tracking basierende Handlebots zu einem flexiblen und benutzerfreundlichen Tool entwickelt, das von gewöhnlichen Menschen häufig zur Aufdeckung von Online-Betrügern verwendet wird.
In unserem ersten Podcast zu
Sicherheitsdienstprogrammen sehen wir uns das kostenlose Tracking-
Tool Grabify an , das Daten über Betrüger oder Angreifer sammelt, wenn diese auf den Tracking-Link des Hanipot klicken.
Wie funktioniert der Hanipot?
Khanipot ist ein Dienstprogramm, das die Aufmerksamkeit eines Angreifers auf sich zieht und dem Verteidiger ermöglicht, mehr über die Identität des Angreifers und seine Hacking-Taktiken zu erfahren. Hanipots können verschiedene Formen annehmen: Sie werden häufig als wichtige Dateien, E-Mail-Nachrichten, Links, Kontoinformationen oder Geräte getarnt, die am wahrscheinlichsten das Interesse eines Angreifers wecken. Der ideale Hanipot sieht so plausibel wie möglich aus, um den Angreifer durch seine eigene Offenlegung gegenüber der verteidigenden Seite zu gefährden.
Es gibt viele kreative und nützliche Methoden, mit denen Verteidiger Eindringlinge mithilfe von Hanipots erkennen und entlarven können. Zum Beispiel ist der klassische "
Kippo " -Köder für seine Tarnung als anfälliger SSH-Dienst bekannt, der über das Internet mit einem schwachen Account zugänglich ist. Kippo lockt einen Angreifer mit seiner einfachen Zugänglichkeit, während er alle Aktivitäten im Inneren heimlich aufzeichnet.
Solche Hanipots decken Angreifer auf, die in ein ungesichertes Netzwerk eindringen, und ermöglichen es Forschern, die Nutzlast zu analysieren, die von automatisierten Bots verwendet wird, um anfällige Ziele anzugreifen. Sie trugen auch zur Entwicklung des
YouTube-Video- Genres
bei, indem
Skript-Elende verzweifelt versuchten, Kippo Hanipots zu knacken.
Einige Hanipots können sogar Hacker irreführen, die angeblich bereits eine Verbindung zu ihrem eigenen System hergestellt haben, während sie weiterhin alle Aktionen im Terminalfenster aufzeichnen und den Grad der List auf ein neues Niveau heben. Auf diese Weise können Sie mehr über die Identität des Angreifers und anderer Systeme erfahren, auf die er Zugriff hat.
Moderne Hanipots können überall sein
Hanipots entwickelten sich zu einem Zustand, in dem sie schwer zu erkennen sind, da sich die Angreifer bereits daran gewöhnt haben und versuchen, Zielen auszuweichen, die zu gut aussehen, um wahr zu sein.
Mit dem
kostenlosen CanaryToken-Tracker kann der Verteidiger einen Tracking-Link basierend auf dem DNS-Protokoll oder den Weblinks einbetten, die beim
Öffnen der PDF-Datei gestartet werden. CanaryToken sammelt die IP-Adressen aller Personen, die versuchen, eine überwachte Datei zu öffnen, die
möglicherweise vertrauliche Informationen enthält.
Um Cyberkriminelle mithilfe von Phishing-Taktiken zu fangen, kann die verteidigende Partei die im Website-Code eingebetteten
Chanipot-Links verwenden. Auf diese Weise können Sie Fälle von Website-Klonen identifizieren und die Verteidiger vor einem möglichen Angriff warnen.
Andere Hanipots
verfolgen gestohlene Anmeldeinformationen in Form eines gefälschten Benutzernamens und Passworts (die sogenannten "Honeycredentials"), die in einer Datei mit einem "wichtigen" Namen an einem relativ leicht zugänglichen Ort im Inneren des Angreifers gespeichert sind. Wenn ein Angreifer versucht, diese Anmeldeinformationen zu verwenden, erhält der Verteidiger sofort eine Benachrichtigung über den Versuch, die gestohlenen Informationen zu verwenden, um Zugriff auf das Konto zu erhalten.
Eine weitere Anwendung des Hanipot ist die
Verwendung von Tracking-Links, um zu erfahren, wann der Angreifer Ihre Links in Skype, WhatsApp oder einem anderen Messenger veröffentlicht. Dies ist möglich, da die meisten Chat-Anwendungen automatisch auf Links klicken, um eine URL-Vorschau zu erstellen. Trotz der Tatsache, dass die protokollierte IP-Adresse der Messenger-Anwendung und nicht dem Angreifer gehört, können Sie mit dieser Taktik herausfinden, ob die nachverfolgten Hanipot-Links an eine andere Person übertragen werden oder nicht, selbst wenn der Angreifer klug genug ist, sie niemals anzuklicken.
Jeder kann den Chanotip benutzen
Im „Wilden Westen“ von Websites, auf denen Dinge verkauft, online datiert und eine Wohnung gemietet wird, kann man sich leicht vorstellen, dass es keine Möglichkeit gibt, zu überprüfen, mit wem Sie tatsächlich sprechen. Betrüger und Bots, die diese Situation ausnutzen, können sich äußerst überzeugend anhören, aber ihre tatsächlichen Vor- und Nachteile lassen sich oft herausfinden, wenn sie dazu gezwungen werden, Informationen über ihren Standort, ihr Tastaturlayout oder Spracheinstellungen preiszugeben, die nicht zu ihren Geschichten passen. Dank dieser Tatsache haben die Hanipots bei normalen Menschen an Beliebtheit gewonnen, die Tracking-Links verwenden, um den Spielverlauf zu ändern. Dabei nutzen Angreifer die Anonymität im Internet.
Das Verfolgen von Weblinks kann einfach in Webseiten eingebettet werden, Skripte oder E-Mail-Nachrichten werden ausgeführt und ist für alle kostenlos. Wenn der Angreifer den Link direkt oder durch Öffnen der Datei, die die URL aufruft, öffnet, kann der Verteidiger Informationen über die Hardware, Software und Netzwerkdaten des Angreifers abrufen. Selbst wenn ein Angreifer versucht, seine tatsächliche IP-Adresse über ein VPN zu verbergen, können dennoch Informationen über seine tatsächliche Identität verloren gehen.
Grabify kann Unterschiede erkennen, z. B. nicht übereinstimmende Zeitzonen oder Tastaturlayouts, die nicht mit dem Standort der IP-Adresse übereinstimmen, oder sogar den Angreifer erkennen, der VPN oder Tor verwendet, um seine Informationen zu verbergen.
Hanipot-Tracking-Links können die Chancen von Personen einschränken, die bei der Online-Interaktion mit verschiedenen verdächtigen Persönlichkeiten normalerweise benachteiligt sind, indem sie Details identifizieren, die ansonsten sehr schwer zu überprüfen sind. Wenn Tracking-Links verwendet werden, die zu Websites führen, die bei der Kommunikation mit einem potenziellen Vermieter logisch geteilt werden können, kann der Vermieter sich von Angeboten fernhalten, die zu gut sind, um wahr zu sein, indem er Eindringlinge identifiziert, die ihren Standort täuschen. Auf diese Weise kann beispielsweise jemand aus Indien als Vermieter in Los Angeles identifiziert werden.
Hanipots erzeugen Betriebsalarme
Hanipots sind kostengünstig und einfach einzusetzen. Sie sind eine der besten Möglichkeiten, um zu erkennen, wenn etwas schief geht. Beispielsweise kann ein CanaryToken-Postfach, das über DNS mit einer Liste wichtiger Kontakte verfolgt wird, sofort einen Verlust von Anmeldeinformationen aus dieser Liste melden und über eine Situation informieren, deren Erkennung andernfalls Monate in Anspruch nehmen würde.
Der Informationssicherheitsforscher Kevin Beaumont setzte ein
RDP-Snoop-Netzwerk mit dem Namen "BluePot" ein , um "wilde Exploits
" zu identifizieren, um Wurm-Exploits rechtzeitig zu warnen und groß angelegte Angriffe wie NotPetya und WannaCry zu verhindern.
Moderne Hanipots erweitern die Grenzen des Verständnisses, wie einfach sie eingesetzt werden können und wie überzeugend sie dem Angreifer erscheinen. Während die beeindruckenden Handoffs der neuen Generation ganze Netzwerke virtualisieren können, um fortgeschrittenere Cyberkriminelle zu fangen, die den üblichen Köder entdecken können, werden die meisten Unternehmen sogar von einfachen und kostenlosen Taktiken profitieren, da sie als Erste von der Penetration des Angreifers erfahren.
Wenn Sie mehr über die Anwendung und die Einschränkungen von Web-Handles erfahren möchten, hören Sie sich unseren Podcast zu
Sicherheitsdienstprogrammen unter Beteiligung des Grabify-Entwicklers an.