web-dev-qa-db-fra.com

Est-il possible de détecter un pot de miel?

Existe-t-il des techniques pour savoir si une machine est un pot de miel (ou des indicateurs suspects)?

Quelles techniques peuvent être utilisées pour un logiciel à l'intérieur ou à l'extérieur du pot de miel?

Quelles techniques utilisent des logiciels malveillants pour empêcher l'infection du pot de miel?

26
wjaphqoz

Idéalement, non. Un pot de miel est un mot utilisé pour définir le but d'une machine, mais n'a aucune incidence sur la machine elle-même, sa configuration ou tout logiciel particulier s'exécutant dessus.

Cela dit, quelqu'un qui crée un pot de miel a généralement pour objectif d'attirer des cibles en dépensant des ressources ou en cassant OpSec. Pour ce faire, ils présenteraient un objectif qui semble offrir une récompense importante et/ou un effort minimal requis pour exploiter. À condition que le propriétaire du pot de miel ne soit pas un très bon joueur de poker (sachant combien offrir sans rendre le piège évident), on pourrait potentiellement mesurer la valeur "trop beau pour être vrai" d'une machine.

Malheureusement, si l'on compare cette mesure avec la majorité des hôtes connectés à Internet, un objectif délibérément faible et précieux sera largement indiscernable de celui qui l'est accidentellement.

30
Smiling Dragon

Hmmm, comment savoir si vous êtes entré dans un pot de miel, voyons ...

  • La machine semble avoir été configurée hier et la seule chose qu'elle contient, à part les répertoires par défaut, est un dossier appelé "Sensitive" rempli de numérisations de pages d'anciennes copies de 2600 et de listes de noms et d'adresses mal orthographiés censés être des employés de HB. Gary.

  • Le pilote de la souris a le fabricant étiqueté comme "Microsoft SMS Solutions"

  • Vous essayez de parler au contrôleur de lecteur ou à tout autre appareil DMA et l'ordinateur commence à répondre comme s'il avait subi une lobotomie.

  • Le code op CPUID place la valeur 0x02 dans EAX

  • Vous effectuez une synchronisation RDTSC sur une séquence d'instructions et la valeur résultante est un nombre insensé.

  • Vous essayez d'établir une connexion HTTP à cnn.com et obtenez l'erreur "impossible de se connecter"

  • Les seules imprimantes installées sur la machine ont le mot "générique" dans leur nom.

  • Vous donnez la commande "net view" et récupérez la réponse "La liste des serveurs pour ce groupe de travail n'est pas disponible actuellement."

  • Votre scanner radio a soudainement beaucoup d'activité bizarre sur les lignes de jonction de Motorola par des gars avec des accents texans disant des choses comme "Code 10" et "en position".

Sérieusement, les seules personnes qui tombent pour des pots de miel sont des adolescents ou des amateurs utilisant Blackhole ou quelque chose. Normalement, les pirates qui présentent une menace sérieuse n'entreront jamais dans un pot de miel car ils ciblent des adresses IP spécifiques qu'ils savent à l'avance être des machines valides. Si le pirate informatique veut identifier des pots de miel assis sur, disons, un réseau d'entreprise, c'est facile à faire car la machine n'aura pas de trafic sortant ou le trafic sera artificiel et ne suivra pas un modèle d'utilisation normal. En outre, une machine supposée assise seule à l'extérieur de la DMZ est un givaway mort.

19
Tyler Durden

Bien que, comme le dit Dragon souriant, les pots de miel soient idéalement indétectables, ils peuvent l'être. Une attaque peut utiliser le contexte et les détails d'implémentation connus pour détecter un Honey pot.

Le contexte peut être très important. Autrement dit, une machine est trop manifestement précaire (comme indiqué ci-dessus) ou trop précaire par rapport à l'environnement, cela peut être un indicateur pour avancer doucement.

En ce qui concerne les détails d'implémentation, cela suit comme les autres logiciels, en particulier les logiciels de système d'exploitation (pensez à la prise d'empreintes digitales du système d'exploitation). Si un stimuli qui induit une réponse connue (ou supposée provenir) d'un pot de miel, cela peut alerter ou avertir un attaquant.

Ces documents pourraient valoir la peine d'être lus pour vous, http://old.honeynet.org/papers/individual/DefeatingHPs-IAW05.pdf et http://ro.ecu.edu .au/cgi/viewcontent.cgi? article = 1027 & context = adf

1
user3730788