Um khanipot é um utilitário que serve como chamariz e parece ser um alvo sedutor para um atacante e tenta que ele se revele. Embora os hanipots avançados sejam projetados para detectar e estudar com mais facilidade os tipos de ataques usados pelos hackers in vivo, os hanipots modernos de rastreamento de URL evoluíram para uma ferramenta flexível e fácil de usar que as pessoas comuns costumam usar para detectar fraudadores online.
Em nosso primeiro podcast de
utilitários de segurança, analisamos a
ferramenta de rastreamento
gratuita Grabify , que coleta dados sobre golpistas ou invasores quando eles clicam no link de rastreamento do hanipot.
Como o hanipot funciona?
Khanipot é um utilitário projetado para atrair a atenção de um atacante, permitindo que o defensor aprenda mais sobre a identidade do atacante e suas táticas de hackers. Os Hanipots podem assumir várias formas: geralmente são disfarçados como arquivos importantes, mensagens de correio, links, informações da conta ou dispositivos que provavelmente atrairão o interesse de um invasor. O hanipot ideal parece o mais plausível possível, na tentativa de comprometer o atacante através de sua própria divulgação ao lado defensor.
Existem muitas maneiras criativas e úteis que os defensores criaram para detectar e desmascarar invasores usando hanipots. Por exemplo, a isca clássica "
Kippo " é famosa por seu disfarce de serviço SSH vulnerável, acessível a partir da Internet com uma conta fraca. O Kippo atrai um invasor com sua fácil acessibilidade, enquanto registra secretamente toda a atividade que acontece dentro dele.
Esses hanipots revelam invasores que invadiram uma rede não segura e permitem que os pesquisadores analisem a carga útil usada pelos bots automatizados para atacar alvos vulneráveis. Eles também contribuíram para o desenvolvimento do gênero de
vídeos do
YouTube ,
com scripts miseráveis tentando desesperadamente quebrar o Kippo Hanipots.
Alguns Hanipots podem até enganar os hackers que supostamente já se conectaram de volta ao seu próprio sistema, enquanto continuam registrando todas as suas ações na janela do terminal, elevando o grau de astúcia a um novo nível. Isso permite que você aprenda mais sobre a identidade do invasor e outros sistemas aos quais ele tem acesso.
Hanipots modernos podem estar em qualquer lugar
Os Hanipots evoluíram para um estado em que são difíceis de detectar, pois os atacantes já se acostumaram e tentam evitar alvos que parecem bons demais para ser verdade.
Usando o
rastreador gratuito do CanaryToken , o defensor pode incorporar um link de rastreamento com base no protocolo DNS ou nos links da Web que são iniciados assim que o arquivo PDF é aberto. O CanaryToken coleta os endereços IP de qualquer pessoa que tentar abrir um arquivo monitorado que
possa conter informações confidenciais.
Para capturar criminosos cibernéticos usando táticas de phishing, a parte defensora pode usar os
links chanipot incorporados no código do site. Isso permitirá que você identifique casos de clonagem de sites, alertando previamente os defensores de um possível ataque.
Outros Hanipots
rastreiam credenciais roubadas , assumindo a forma de um nome de usuário e senha falsos (os chamados "Honeycredentials"), armazenados em um arquivo com um nome "importante" em um local relativamente fácil no interior do atacante. Se um invasor tentar usar essas credenciais, o defensor receberá imediatamente uma notificação sobre a tentativa de usar as informações roubadas para obter acesso à conta.
Outra aplicação do hanipot é o
uso de links de rastreamento para saber quando o invasor publica seus links no Skype, WhatsApp ou outro messenger. Isso é possível devido ao fato de a maioria dos aplicativos de bate-papo clicar automaticamente em links para gerar visualizações de URL. Apesar do endereço IP registrado pertencer ao aplicativo de mensagens, e não ao invasor, essa tática permite descobrir se os links Hanipot rastreados são transmitidos a outra pessoa ou não, mesmo que o invasor seja inteligente o suficiente para nunca clicar neles.
Qualquer um pode usar o chanotip
No "oeste selvagem" dos sites de venda de coisas, namoro online e aluguel de moradias, é fácil imaginar que não há como verificar com quem você está realmente conversando. Os fraudadores e os bots que se aproveitam dessa situação podem parecer extremamente convincentes, mas seus verdadeiros detalhes podem ser encontrados se forem forçados a induzi-los a revelar informações sobre sua localização, layout do teclado ou configurações de idioma que não correspondem às suas histórias. Graças a isso, os Hanipots ganharam popularidade entre as pessoas comuns que usam links de rastreamento para mudar o curso do jogo, durante o qual os atacantes aproveitam o anonimato na Internet.
O rastreamento de links da Web pode ser facilmente incorporado em páginas da Web, executando scripts ou mensagens de email e gratuito para todos. Se o atacante abrir o link diretamente ou abrir o arquivo que chama a URL, o defensor poderá descobrir informações sobre o hardware, o software e os dados de rede do atacante. Mesmo que um invasor tente ocultar seu endereço IP real usando uma VPN, as informações sobre sua identidade real ainda poderão vazar.
O Grabify pode detectar diferenças, como diferenças de fuso horário ou layouts de teclado que não correspondem à localização do endereço IP, ou até mesmo detectar o invasor usando VPN ou Tor para ocultar suas informações.
Os links de rastreamento da Hanipot podem nivelar as chances de pessoas que normalmente estão em desvantagem ao interagir com várias personalidades suspeitas online, identificando detalhes que, de outra forma, são muito difíceis de verificar. Ao usar links de rastreamento que levam a sites que podem ser compartilhados logicamente ao se comunicar com um proprietário em potencial, a pessoa alugada pode ficar longe das ofertas “boas demais para ser verdade” identificando invasores que estão enganando sua localização. Por exemplo, isso pode permitir que alguém da Índia seja identificado como proprietário em Los Angeles.
Hanipots geram alertas operacionais
Hanipots são baratos e fáceis de implantar. Eles são uma das melhores maneiras de detectar quando algo dá errado. Por exemplo, uma caixa de correio do CanaryToken rastreada através do DNS com uma lista de contatos importantes pode relatar imediatamente um vazamento de credenciais nessa lista, informando sobre uma situação que levaria meses para ser detectada.
O pesquisador de segurança da informação Kevin Beaumont implantou uma
rede snoop RDP chamada “BluePot” para detectar as explorações selvagens das explorações do BlueKeep para alertar as explorações de worms em tempo hábil e evitar ataques em larga escala como NotPetya e WannaCry.
Os hanipots modernos expandem os limites da compreensão de quão facilmente eles podem ser implantados e quão convincentes eles parecem para o atacante. Embora as transferências impressionantes da nova geração possam virtualizar redes inteiras na tentativa de capturar criminosos cibernéticos mais avançados que possam detectar a isca usual, a maioria das empresas se beneficiará mesmo do uso de táticas simples e táticas gratuitas, sendo a primeira a saber sobre a penetração do invasor.
Se você quiser saber mais sobre o aplicativo e as limitações dos identificadores da Web, ouça nosso podcast de
utilitários de segurança com a participação do desenvolvedor do Grabify.