iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 8
1
Security

30天蜜罐品嘗系列 第 8

[Day 8] 30天蜜罐品嘗 : 蜜罐非罐之三 Honeyclient

蜜罐是用來欺騙駭客的虛擬陷井,除了前面介紹的幾種方式和手法,模擬一個或多個伺服器被動地等待攻擊;另外也有主動找尋現有伺服器是否被駭而散播惡意程式的方法,稱之為client honeypot 或 honeyclient

當伺服器被駭攻擊、佔領後,駭客通常會植入新的惡意內容,以此做為跳板繼續攻擊,散播惡意程式,尤其是內網網站伺服器,被攻擊後駭客可以運用各種script 甚至無檔案式手法(fileless attack),用於感染更多位於內網的電腦,若是傳統只注重邊界防禦,輕視內網間流量的架構,沒有適合的工具偵測。我們要怎麼偵測這種行為呢?

運用特殊的蜜罐client honeypot,我們可以造訪網站或伺服器,這些蜜罐同樣分為高交互式與低交互式兩種,有的只模擬瀏覽器功能,有的互動性強,除了模擬瀏覽器,還會模擬系統,將瀏覽器造訪網站、下載執行乃至無檔案式攻擊在記憶體裡執行的行為都可以捕捉。一旦偵測到惡意行為,client honeypot 可以通知資安團隊處理。

下次將介紹一個client honeypot叫做YALIH (yet another low interaction honeyclient)

「荊軻刺秦,一步勝一步」《火鳳燎原》

PS: 這篇是在機場打完的,特以此紀念。


上一篇
[Day 7] 30天蜜罐品嘗 : 蜜罐非罐之二 honeyobject
下一篇
[Day 9] 30天蜜罐品嘗 : YALIH (yet another low interaction honeyclient)
系列文
30天蜜罐品嘗30

尚未有邦友留言

立即登入留言