En Honeypot Guide: Varför forskare använder Honeypots för analys av skadlig programvara

0 Shares

En Honeypot Guide: Varför forskare använder Honeypots för analys av skadlig programvara

Vad är Honeypots

Du kanske har hört begreppet “smekmånad” kastas runt i säkerhetsgemenskapen då och då. Även om det kan väcka din fantasi kanske du undrar vad som är en smekmånadspott och vilken roll spelar den i säkerhetsbranschen? Visst skadliga jägare hänvisar inte till Winnie the Pooh som hjälper sig till burkar och burkar honung, eller hur? Så, vad menar säkerhetsforskare exakt vad man talar om smekmånad?

En smekmånad i internetsäkerhetsvärlden är ett verkligt eller simulerat system som är utformat för att locka attacker mot sig själv. I grund och botten är de virtuella eller fysiska maskiner som är öppna för den verkliga världen samtidigt som de pratar om deras avsedda sårbarheter. Honeypots blev populärt bland den stora spridningen av maskar i slutet av 1990-talet och början av 2000-talet. Huvudsyftet med dessa fällor var att fånga och analysera attacker för att förbättra försvaret från skadliga intrång.

Nedan följer en enkel, men ändå praktisk guide som täcker de grundläggande typerna av honungspottar, samt hur och varför de hjälper forskare att analysera skadlig kod. Utan ytterligare göra, låt oss komma till det!

Vilka är de olika typerna av Honeypots

Det finns två huvudkategorier av smekmånad: hög interaktion och låg interaktion.

Honeypots med hög interaktion är riktiga fysiska maskiner med kanske lite programvara för att underlätta analys och konfiguration. Angriparen har en stor mängd frihet för onda handlingar inom en hög-interaktion honungspott – därav namnet. Vanligtvis kommer systemet att ha sårbarheter, vilket gör det enkelt för angripare att få tillgång. Även om dessa kan samla in en stor mängd kriminaltekniska data för en analytiker, är de dyra i sitt underhåll och är komplexa att distribuera.

Honeypots med låg interaktion emulerar system med sårbarheter. Till exempel är Dionaea (uppkallad efter Venus flytrap) en låginteraktionshoneypot som emulerar Windows-protokoll (SMTP, FTP, etc.) sårbarheter som riktas mot skadlig kod. Honeypots med låg interaktion är relativt enkla att distribuera och använder lite resurser på grund av att dessa snabbt kan distribueras i en virtuell maskin.

Problemet med detta tillvägagångssätt är att en angripare har större chans att vara medveten om att de befinner sig i en smekmånadspot och kan använda den mot värden. En angripare kan “fingeravtrycka” en smekmånadskruka baserat på kända egenskaper hos allmänt tillgängliga smekmånadsgrytor som ovannämnda Dionaea och Honeyd.

Hur honpottar hjälper skadliga forskare

Som tidigare nämnts kan dessa system användas för malwareanalytiker för att samla nuvarande ” on-the-wild ” skadlig programvara, en inblick i hackarnas attackmönster eller som en lura. En annan vanlig användning för smekmånadspottar är inom ett stort företagsnätverk. Ett företag kan distribuera en samling smekmånadspottar, eller en honung, i sitt nätverk för att mildra attacker mot företagsservrarna och istället rikta dem till Honeynet.

Även om utvecklingen av nya smycken tycktes avta efter mitten av 2000-talet har applikationerna och användningen av dem inte upphört. När tekniken utvecklas och data blir mer och mer värdefulla, kommer sofistikering och typer av attacker på nämnda teknik att göra det.

Vad är bedrägeriteknik?

Ett något nytt framsteg när det gäller användning av smekmånad är Deception Technology.

Bedrägeriteknik är det nuvarande sättet att stoppa avancerade attacker. Bedrägeriteknik syftar till att lura angripare ungefär som honungskrukor. Skillnaden är att den här tekniken upprätthålls av ett företag som distribuerar ett stort system av lura servrar och / eller maskiner inom ditt nätverk och ger dig alla möjligheter för analys och insikt för dig. Detta verkar vara den nuvarande trenden inom nätverkssäkerhet; så att mer sofistikerade försvarsmekanismer behövs i dagens värld eftersom cyberbrottslingar använder mer avancerade metoder för att attackera nätverksinfrastrukturer.

Vidare läsning:

Det här inlägget postades i Säkerhet och sekretess och taggades Deception Technology, get machine, Honeynet, honeypot, Honeypots, Network Security. Bokmärk permalänken.

0 Shares