khanipot是一种实用工具,可充当诱饵,似乎是攻击者的诱人目标,并诱使他展示自己。 尽管先进的处理程序库旨在更轻松地检测和研究黑客体内使用的攻击类型,但基于URL跟踪的现代处理程序机器人已发展成为一种灵活且用户友好的工具,通常被普通人用来检测在线欺诈者。
在我们的第一个
安全实用程序播客中
,我们正在研究免费的跟踪
工具Grabify ,该
工具会在骗子或攻击者单击hanipo的跟踪链接时收集有关骗子或攻击者的数据。
汉尼锅如何工作?
Khanipot是一种旨在吸引攻击者注意的实用程序,使防御者可以了解有关攻击者的身份和其黑客战术的更多信息。 Hanipot可以采取多种形式:它们通常被伪装成最有可能引起攻击者兴趣的重要文件,邮件消息,链接,帐户信息或设备。 理想的anipot看起来尽可能合理,以试图通过向防御方公开自己的攻击来损害攻击者。
防御者提出了许多创造性和有用的方法来检测和隐藏使用hanipot的入侵者。 例如,经典的“
Kippo ”诱饵以其易受攻击的SSH服务的伪装而闻名,该服务可通过互联网以较弱的帐户进行访问。 Kippo易于访问,并秘密记录了内部发生的所有活动,从而吸引了攻击者。
这些安全罐揭示了攻击者入侵了一个不安全的网络,并允许研究人员分析自动僵尸程序用来攻击易受攻击目标的有效负载。 他们还
通过拼命试图破解Kippo Hanipots的
剧本惨剧为
YouTube视频类型的发展做出了贡献。
一些Hanipot甚至可以误导黑客,使他们声称已经连接回自己的系统,同时继续在终端窗口中记录其所有行为,从而将狡猾程度提高到一个新的水平。 这使您可以了解有关攻击者和他可以访问的其他系统的身份的更多信息。
现代Hanipots可以随处可见
Hanipots演变成难以检测的状态,因为攻击者已经习以为常,并设法避免看起来好得难以置信的目标。
使用
免费的CanaryToken跟踪器 ,防御者可以嵌入基于DNS协议的跟踪链接,或者在打开PDF文件后立即启动的Web链接。 CanaryToken会收集试图打开
可能包含敏感信息的受监视文件的任何人的IP地址。
为了利用网络钓鱼策略来捕获网络犯罪分子,
被告方可以使用网站代码中嵌入的
chanipot链接 。 这将使您能够识别网站克隆的案例,从而警告防御者可能的攻击。
其他Hanipot会以伪造的用户名和密码(所谓的“ Honeycredentials”)的形式
跟踪被盗凭据 ,这些
凭据以“重要”名称存储在攻击者内部相对容易访问的位置的文件中。 如果攻击者试图使用这些凭据,则防御者会立即收到有关尝试使用被盗信息来获得对该帐户的访问的通知。
hanipot的另一个应用程序是
使用跟踪链接来了解攻击者何时在Skype,WhatsApp或其他Messenger中发布您的链接。 由于大多数聊天应用程序会自动单击链接以生成URL预览,因此可能这样做。 尽管已记录的IP地址属于Messenger应用程序,而不属于攻击者,但该策略仍可让您找出所跟踪的Hanipot链接是否已传输给其他人,即使攻击者足够聪明也从未点击过它们。
任何人都可以使用chanotip
在“狂野西部”的商品销售,在线约会和房屋租赁网站上,很难想象没有办法与您实际交谈的人进行核对。 利用这种情况的欺诈者和机器人可能听起来非常有说服力,但是如果迫使他们诱使他们揭示与他们的故事不符的位置,键盘布局或语言设置信息,则通常可以发现他们的真实来龙去脉。 因此,Hanipots在使用跟踪链接来改变游戏进程的普通人中越来越受欢迎,在此期间,攻击者利用了Internet上的匿名性。
跟踪Web链接可以轻松地嵌入网页,运行脚本或电子邮件中,并且每个人免费。 如果攻击者直接打开链接或通过打开调用URL的文件来打开链接,则防御者可以找到有关攻击者的硬件,软件和网络数据的信息。 即使攻击者试图使用VPN隐藏其真实IP地址,有关其真实身份的信息仍可能泄漏。
Grabify可以检测到时区不匹配或键盘布局与IP地址位置不匹配之类的差异,甚至可以使用VPN或Tor隐藏攻击者来隐藏其信息。
Hanipot跟踪链接可以通过识别难以验证的细节来平息与各种可疑人物在线互动时通常处于不利地位的人们的机会。 当使用跟踪链接导致可以与潜在的房东进行逻辑共享的站点时,被租用的人可以通过识别欺骗其位置的入侵者而远离“太好了,无法做到”。 例如,这可以允许将来自印度的某人识别为洛杉矶的房东。
Hanipots产生操作警报
Hanipots价格便宜且易于部署。 它们是检测出故障时的最佳方法之一。 例如,通过DNS跟踪并带有重要联系人列表的CanaryToken邮箱可以立即报告此列表中的凭据泄漏,从而通知可能需要几个月才能检测到的情况。
信息安全研究员Kevin Beaumont部署了一个
名为“ BluePot”的
RDP侦听网络,以识别“野生利用” BlueKeep利用,以及时警告蠕虫利用,并防止诸如NotPetya和WannaCry的大规模攻击。
现代的anipots拓宽了理解它们的部署范围以及如何使攻击者信服的界限。 尽管令人印象深刻的新一代交接可以虚拟化整个网络,以捕获能发现通常诱饵的更高级的网络犯罪分子,但大多数公司甚至会受益于使用简单自由的战术,这是第一个了解攻击者渗透情况的方法。
如果您想了解有关应用程序和Web句柄限制的更多信息,请在Grabify开发人员的参与下收听我们的
安全实用程序播客。