Honeypot: qHoneypots
Februar 29, 2024 Lesezeit: 3 Minuten
qHoneypots Honeypot System
qHoneypots ist ein Honeypot System. Diese Systeme sind Sicherheitsmechanismen, die als Köder dienen, um Angreifer anzulocken und ihre Aktivitäten zu überwachen. Sie simulieren echte Systeme oder Netzwerkdienste, um Informationen über Angriffsmuster und Angreiferverhalten zu sammeln. Dadurch können Sicherheitsexperten Schwachstellen identifizieren und die Verteidigungsstrategien verbessern.
Die Honeypots antworten non-blocking zurück und können als Objekte verwendet oder direkt mit den integrierten Auto-Konfigurationsskripten aufgerufen werden! Außerdem sind sie einfach einzurichten und anzupassen; es dauert 1-2 Sekunden, um einen Honeypot zu starten. Sie können mehrere Instanzen desselben Typs hochfahren. Für eine einfache Integration kann die Ausgabe in eine Postgres-Datenbank, Dateien, die Konsole oder Syslog protokolliert werden.
Dieses Honeypots-Paket ist das einzige Paket, das alle folgenden Funktionen enthält: DHCP, DNS, Elastic, FTP, HTTP-Proxy, HTTPS-Proxy, HTTP, HTTPS, IMAP, IPP, IRC, LDAP, Memcache, MSSQL, MySQL, NTP, Oracle, PJL, POP3, PostgreSQL, RDP, Redis, SIP, SMB, SMTP, SNMP, SOCKS5, SSH, Telnet, VNC.
1. **Zweck und Ziel**: Das qHoneypots-Projekt zielt darauf ab, Sicherheitsfachleuten eine Sammlung von Honeypot-Werkzeugen und -Konfigurationen bereitzustellen, die verwendet werden können, um potenzielle Angriffe auf Netzwerke und Systeme zu erfassen und zu analysieren. Die Tools und Konfigurationen sind darauf ausgerichtet, verschiedene Arten von Angriffen und Angriffsvektoren zu simulieren und Angreifer zu erkennen, die versuchen, auf die bereitgestellten Köderdienste zuzugreifen.
2. **Verfügbarkeit**: Die qHoneypots-Sammlung ist als Open-Source-Projekt auf GitHub verfügbar, was bedeutet, dass der Quellcode frei zugänglich ist und von der Community weiterentwickelt und verbessert werden kann. Dies fördert die Zusammenarbeit und den Austausch von Ideen zwischen Sicherheitsexperten und Entwicklern.
3. **Tools und Konfigurationen**: Die Sammlung enthält verschiedene Honeypot-Tools und Konfigurationen, die entwickelt wurden, um bestimmte Dienste oder Protokolle zu emulieren und potenzielle Angreifer anzulocken. Dazu gehören beispielsweise HTTP-Honeypots, SSH-Honeypots, FTP-Honeypots und andere.
4. **Flexibilität und Anpassungsfähigkeit**: Die Tools und Konfigurationen in der qHoneypots-Sammlung sind flexibel und anpassbar, um den spezifischen Anforderungen und Bedürfnissen von Sicherheitsfachleuten gerecht zu werden. Sie können je nach Bedarf konfiguriert und eingesetzt werden, um eine Vielzahl von Angriffsszenarien zu simulieren und zu überwachen.
5. **Community-Beitrag**: Die qHoneypots-Sammlung ermutigt zur aktiven Beteiligung und Mitwirkung der Community. Benutzer können Fehler melden, Vorschläge machen und Codebeiträge einreichen, um zur Weiterentwicklung und Verbesserung der Tools und Konfigurationen beizutragen.
Insgesamt bietet das qHoneypots-Projekt eine nützliche Ressource für Sicherheitsexperten, die Honeypots einsetzen möchten, um potenzielle Angriffe zu erkennen und zu analysieren. Durch die Bereitstellung von Tools und Konfigurationen erleichtert es die Implementierung und Nutzung von Honeypot-Technologien zur Verbesserung der Sicherheit von Netzwerken und Systemen.
Sie können Informationen zu qHoneypots auf GitHub finden. Es gibt ein Repository namens “honeypots” von qeeqbox, das 30 verschiedene Honeypots in einem Paket anbietet. Dieses Paket scheint eine Vielzahl von Protokollen zu unterstützen und kann für die Überwachung von Netzwerkverkehr, Bot-Aktivitäten und Anmeldeinformationen verwendet werden. Für weitere Details können Sie das Repository direkt auf GitHub besuchen
Honeypot: SentryPeer
Februar 29, 2024 Lesezeit: 4 Minuten
SentryPeer (SENTRYPEER is a registered trademark of Gavin Henry) ist ein Honeypot, der speziell entwickelt wurde, um SIP-Server vor schädlichen Akteuren zu schützen. Hier sind einige Details zu SentryPeer:
Funktionen: SentryPeer ist ein Betrugserkennungstool. Es lässt schädliche Akteure versuchen, Telefonanrufe zu tätigen und speichert die IP-Adresse, von der sie kamen, und die Nummer, die sie versucht haben anzurufen.
Verwendung: Sie können das Installationsdokument überprüfen, um weitere Informationen darüber zu erhalten, wie Sie den Honeypot ordnungsgemäß installieren, konfigurieren und ausführen können.
Voraussetzungen: Ein funktionierender MySQL-Server ist erforderlich, wenn Sie das MySQL-Ausgabe-Plugin verwenden
SentryPeer ist ein fraud detection tool. Es ermöglicht es böswilligen Akteuren, Telefonanrufe zu tätigen, und speichert die IP-Adresse, von der aus sie stammen, sowie die Nummer, die sie anzurufen versucht haben. Diese Details können dann verwendet werden, um Benachrichtigungen im Netzwerk des Dienstanbieters zu generieren, und das nächste Mal, wenn ein Benutzer/Kunde versucht, eine gesammelte Nummer anzurufen, können Sie entsprechend handeln.
Beispiel:
Angenommen, Sie betreiben Ihre eigene VoIP-Telefonanlage vor Ort. Was SentryPeer Ihnen in diesem Zusammenhang ermöglicht, ist der Zugriff auf die Liste der Telefonnummern (über die RESTful API), wenn Ihre Benutzer ausgehende Anrufe tätigen. Wenn Sie einen Treffer erhalten, erhalten Sie eine Vorwarnung, dass möglicherweise ein Gerät innerhalb Ihres Netzwerks versucht, bekannte Sondierungs-Telefonnummern anzurufen, die entweder von:
- Nummern, die von Ihren eigenen SentryPeer-Knoten gesammelt wurden
- Nummern, die von anderen SentryPeer-Knoten gesehen wurden und über das Peer-to-Peer-Netzwerk an Ihren Knoten repliziert wurden
Dies würde es Ihnen ermöglichen, eine Benachrichtigung von Ihren Überwachungssystemen zu generieren, bevor Sie teure Anrufe tätigen oder etwas Schlimmeres passiert.
Was würde zu diesem Szenario führen?
- Potenzieller Voicemail-Betrug. Dies kann passieren, wenn Sie das Anrufen einer eingehenden Nummer (Ihre DID/DDI) zulassen, um zu Ihrem Voicemail-System zu gelangen, und dann nach einer PIN fragen. Diese PIN ist schwach und das Voicemail-System ermöglicht es Ihnen, '*' zu drücken, um die Caller-ID zurückzurufen, die eine Voicemail hinterlassen hat. Der Angreifer hat eine Voicemail hinterlassen, und sie raten dann Ihre PIN und rufen sie zurück. Die CLI ist eine bekannte Nummer, die von SentryPeer gesehen wurde. Sie können darauf alarmieren.
- Ein Gerät wurde entführt und/oder ein Softphone oder ähnliches verwendet die Anmeldeinformationen, die sie vom GUI des Telefons gestohlen haben, um sich bei Ihrem System anzumelden und Anrufe an eine von SentryPeer gesehene Nummer zu tätigen.
- Ein unschuldiger Benutzer ruft eine Phishing-Nummer oder eine bekannte teure Nummer usw. an, die SentryPeer zuvor gesehen hat.
Traditionell wird diese Daten an einen zentralen Ort gesendet, sodass Sie die von Ihnen gesammelten Daten nicht besitzen. Dieses Projekt dreht sich um das Peer-to-Peer-Sharing dieser Daten. Der Benutzer, der die Daten besitzt, und verschiedene Service Provider / Netzwerkprovider-bezogene Feeds der Daten sind der Schlüsselaspekt für mich. Ich bin es leid, dass alle Dienste da draußen sie behalten und verkaufen. Wenn Sie es gesammelt haben, sollten Sie die Wahl haben, es zu behalten und/oder es mit anderen Mitgliedern der SentryPeer-Community über P2P-Methoden zu teilen.