За последние несколько лет количество вредоносных атак в интернете выросло относительно высокими темпами. Чтобы защитить веб-сайты от различных форм веб-атак, исследователи и тестеры проникновения используют приманки для сбора информации о атаках. Тем не менее, хакеры могут скрыть себя через stepping stones (например, прокси-серверы, VPN) или анонимные P2P-сети (например, Tor network). Традиционные приманки являются неэффективными средствами для сбора информации о личности злоумышленника, который скрывает себя с помощью этих анонимных средств, что налагает серьезный вызов правоохранительным органам, пытающимся отследить этих хакеров.
Недавно опубликованная статья предложено использование микро-жимолости, которые сосредоточены на использовании методов отпечатков пальцев для отслеживания хакеров, запускающих вредоносные атаки. Традиционные приманки обманывают хакеров, чтобы следить за их деятельностью. Микро-Honeypot снабжен внутри обычное honeypot. Он будет работать и собирать идентификационную информацию, когда злоумышленник успешно посещает приманку. Результаты экспериментов исследователей показывают, что микро-Honeypots может собирать больше информации и отслеживать атакующих, даже если они, возможно, использовали ступеньки (например, прокси-серверы, VPN) или анонимные сети (сеть Tor), чтобы скрыть себя.
Рисунок 1: высокоуровневая архитектура микро-приманки
Что такое жимолость?
Микро-приманки осуществляется внутри обычной приманки. Рисунок 1 иллюстрирует базовую инфраструктуру микро -- Honeypot. Модуль сбора данных переднего плана вставляется в приманку. Когда злоумышленник заманивается и обращается к приманке, он получает страницу с модулем сбора данных переднего плана, который запускает и собирает информацию, отправляемую на сервер отслеживания, который отслеживает все действия злоумышленника. Модуль Front end collection будет собирать несколько элементов, связанных с действиями злоумышленника, включая время посещения, цель, отпечатки пальцев, intranet_IP, тип и версию браузера, color_depth, разрешение, available_resolution, navigator_platform и другие.
Виды жимолости, используемые с микро-жимолости:
Для того, чтобы заманить нападающих, в экспериментах были использованы три различных шаблона honeypot, внутри которых может быть развернут микро-Honeypot:
1. Веб-сайт, замаскированный под эксклюзивный рынок наркотиков, который позволяет торговать только между частным кругом приглашенных участников. Сайт marketplace был создан с использованием старой версии широко используемого приложения OSCommerce e-marketing. Версия, использованная в экспериментах исследователей, включала в себя несколько известных уязвимостей, которые позволяют хакеру захватить панель администратора и злонамеренно манипулировать учетными записями и файлами.
2. Блог-сайт, который предлагает индивидуальные онлайн-решения для размещения скрытых услуг в сети Tor. Сайт был построен с использованием устаревшей версии WordPress CMS, которая включала несколько известных уязвимостей. Honeypot также включал несколько подкаталогов с несколькими веб-оболочками, чтобы донести идею о том, что сайт уже был успешно атакован другими хакерами. Веб-сайт был настроен таким образом, что позволил каталог листинга, так что хакер или вредоносный скрипт может легко перемещаться по структуре веб-сайта и найти оболочки.
3. Пользовательский частный форум, который только позволил зарегистрированным участникам принять участие в обсуждениях там. Форум описал процесс для того, чтобы стать членом форума, чтобы требовать действительного обращения от другого участника форума. В этом случае исследователи вручную включили Уязвимость удаленного включения файлов, которая позволила хакеру загружать произвольные файлы с помощью злонамеренно модифицирующих PHP-фильтров. Уязвимость была создана, чтобы быть явно “стандартным”, чтобы походить на других.
Дактилоскопия , микро-медовые и общие правила защиты данных (GDPR):
Широкое применение дактилоскопии браузера для деанонимизации пользователей, особенно с новой реализацией микро-Honeypots вызывает озабоченность относительно конфиденциальности пользователей Интернета. Хотя политика, как правило, довольно медленно реагирует на пользователей неприкосновенности частной жизни, потребители стали свидетелями крупной победы в прошлом году с общих правил по защите данных (GDPR) , который представляет собой новую группу правил Европейского Союза, которые были созданы, чтобы дать пользователям более жесткий контроль над их частными онлайн-данными. Это только вступило в силу в последнее время, так что это, как ожидается, сделает его еще труднее для правоохранительных органов использовать микро-Honeypots и браузер отпечатков пальцев, чтобы найти хакеров в обозримом будущем, так что больше исследований необходимо экспериментировать использование микро-Honeypots как новые правила конфиденциальности вступают в действие.
Недавно опубликованная статья предложено использование микро-жимолости, которые сосредоточены на использовании методов отпечатков пальцев для отслеживания хакеров, запускающих вредоносные атаки. Традиционные приманки обманывают хакеров, чтобы следить за их деятельностью. Микро-Honeypot снабжен внутри обычное honeypot. Он будет работать и собирать идентификационную информацию, когда злоумышленник успешно посещает приманку. Результаты экспериментов исследователей показывают, что микро-Honeypots может собирать больше информации и отслеживать атакующих, даже если они, возможно, использовали ступеньки (например, прокси-серверы, VPN) или анонимные сети (сеть Tor), чтобы скрыть себя.
Рисунок 1: высокоуровневая архитектура микро-приманки
Что такое жимолость?
Микро-приманки осуществляется внутри обычной приманки. Рисунок 1 иллюстрирует базовую инфраструктуру микро -- Honeypot. Модуль сбора данных переднего плана вставляется в приманку. Когда злоумышленник заманивается и обращается к приманке, он получает страницу с модулем сбора данных переднего плана, который запускает и собирает информацию, отправляемую на сервер отслеживания, который отслеживает все действия злоумышленника. Модуль Front end collection будет собирать несколько элементов, связанных с действиями злоумышленника, включая время посещения, цель, отпечатки пальцев, intranet_IP, тип и версию браузера, color_depth, разрешение, available_resolution, navigator_platform и другие.
Виды жимолости, используемые с микро-жимолости:
Для того, чтобы заманить нападающих, в экспериментах были использованы три различных шаблона honeypot, внутри которых может быть развернут микро-Honeypot:
1. Веб-сайт, замаскированный под эксклюзивный рынок наркотиков, который позволяет торговать только между частным кругом приглашенных участников. Сайт marketplace был создан с использованием старой версии широко используемого приложения OSCommerce e-marketing. Версия, использованная в экспериментах исследователей, включала в себя несколько известных уязвимостей, которые позволяют хакеру захватить панель администратора и злонамеренно манипулировать учетными записями и файлами.
2. Блог-сайт, который предлагает индивидуальные онлайн-решения для размещения скрытых услуг в сети Tor. Сайт был построен с использованием устаревшей версии WordPress CMS, которая включала несколько известных уязвимостей. Honeypot также включал несколько подкаталогов с несколькими веб-оболочками, чтобы донести идею о том, что сайт уже был успешно атакован другими хакерами. Веб-сайт был настроен таким образом, что позволил каталог листинга, так что хакер или вредоносный скрипт может легко перемещаться по структуре веб-сайта и найти оболочки.
3. Пользовательский частный форум, который только позволил зарегистрированным участникам принять участие в обсуждениях там. Форум описал процесс для того, чтобы стать членом форума, чтобы требовать действительного обращения от другого участника форума. В этом случае исследователи вручную включили Уязвимость удаленного включения файлов, которая позволила хакеру загружать произвольные файлы с помощью злонамеренно модифицирующих PHP-фильтров. Уязвимость была создана, чтобы быть явно “стандартным”, чтобы походить на других.
Дактилоскопия , микро-медовые и общие правила защиты данных (GDPR):
Широкое применение дактилоскопии браузера для деанонимизации пользователей, особенно с новой реализацией микро-Honeypots вызывает озабоченность относительно конфиденциальности пользователей Интернета. Хотя политика, как правило, довольно медленно реагирует на пользователей неприкосновенности частной жизни, потребители стали свидетелями крупной победы в прошлом году с общих правил по защите данных (GDPR) , который представляет собой новую группу правил Европейского Союза, которые были созданы, чтобы дать пользователям более жесткий контроль над их частными онлайн-данными. Это только вступило в силу в последнее время, так что это, как ожидается, сделает его еще труднее для правоохранительных органов использовать микро-Honeypots и браузер отпечатков пальцев, чтобы найти хакеров в обозримом будущем, так что больше исследований необходимо экспериментировать использование микро-Honeypots как новые правила конфиденциальности вступают в действие.