Honeypot: SentryPeer
Februar 29, 2024 Lesezeit: 4 Minuten
SentryPeer (SENTRYPEER is a registered trademark of Gavin Henry) ist ein Honeypot, der speziell entwickelt wurde, um SIP-Server vor schädlichen Akteuren zu schützen. Hier sind einige Details zu SentryPeer:
Funktionen: SentryPeer ist ein Betrugserkennungstool. Es lässt schädliche Akteure versuchen, Telefonanrufe zu tätigen und speichert die IP-Adresse, von der sie kamen, und die Nummer, die sie versucht haben anzurufen.
Verwendung: Sie können das Installationsdokument überprüfen, um weitere Informationen darüber zu erhalten, wie Sie den Honeypot ordnungsgemäß installieren, konfigurieren und ausführen können.
Voraussetzungen: Ein funktionierender MySQL-Server ist erforderlich, wenn Sie das MySQL-Ausgabe-Plugin verwenden
SentryPeer ist ein fraud detection tool. Es ermöglicht es böswilligen Akteuren, Telefonanrufe zu tätigen, und speichert die IP-Adresse, von der aus sie stammen, sowie die Nummer, die sie anzurufen versucht haben. Diese Details können dann verwendet werden, um Benachrichtigungen im Netzwerk des Dienstanbieters zu generieren, und das nächste Mal, wenn ein Benutzer/Kunde versucht, eine gesammelte Nummer anzurufen, können Sie entsprechend handeln.
Beispiel:
Angenommen, Sie betreiben Ihre eigene VoIP-Telefonanlage vor Ort. Was SentryPeer Ihnen in diesem Zusammenhang ermöglicht, ist der Zugriff auf die Liste der Telefonnummern (über die RESTful API), wenn Ihre Benutzer ausgehende Anrufe tätigen. Wenn Sie einen Treffer erhalten, erhalten Sie eine Vorwarnung, dass möglicherweise ein Gerät innerhalb Ihres Netzwerks versucht, bekannte Sondierungs-Telefonnummern anzurufen, die entweder von:
- Nummern, die von Ihren eigenen SentryPeer-Knoten gesammelt wurden
- Nummern, die von anderen SentryPeer-Knoten gesehen wurden und über das Peer-to-Peer-Netzwerk an Ihren Knoten repliziert wurden
Dies würde es Ihnen ermöglichen, eine Benachrichtigung von Ihren Überwachungssystemen zu generieren, bevor Sie teure Anrufe tätigen oder etwas Schlimmeres passiert.
Was würde zu diesem Szenario führen?
- Potenzieller Voicemail-Betrug. Dies kann passieren, wenn Sie das Anrufen einer eingehenden Nummer (Ihre DID/DDI) zulassen, um zu Ihrem Voicemail-System zu gelangen, und dann nach einer PIN fragen. Diese PIN ist schwach und das Voicemail-System ermöglicht es Ihnen, '*' zu drücken, um die Caller-ID zurückzurufen, die eine Voicemail hinterlassen hat. Der Angreifer hat eine Voicemail hinterlassen, und sie raten dann Ihre PIN und rufen sie zurück. Die CLI ist eine bekannte Nummer, die von SentryPeer gesehen wurde. Sie können darauf alarmieren.
- Ein Gerät wurde entführt und/oder ein Softphone oder ähnliches verwendet die Anmeldeinformationen, die sie vom GUI des Telefons gestohlen haben, um sich bei Ihrem System anzumelden und Anrufe an eine von SentryPeer gesehene Nummer zu tätigen.
- Ein unschuldiger Benutzer ruft eine Phishing-Nummer oder eine bekannte teure Nummer usw. an, die SentryPeer zuvor gesehen hat.
Traditionell wird diese Daten an einen zentralen Ort gesendet, sodass Sie die von Ihnen gesammelten Daten nicht besitzen. Dieses Projekt dreht sich um das Peer-to-Peer-Sharing dieser Daten. Der Benutzer, der die Daten besitzt, und verschiedene Service Provider / Netzwerkprovider-bezogene Feeds der Daten sind der Schlüsselaspekt für mich. Ich bin es leid, dass alle Dienste da draußen sie behalten und verkaufen. Wenn Sie es gesammelt haben, sollten Sie die Wahl haben, es zu behalten und/oder es mit anderen Mitgliedern der SentryPeer-Community über P2P-Methoden zu teilen.