BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...
3Jun/091

Hacker schlagen zurück gegen Honeypots

Wir mussten mit Erschrecken feststellen, wie schnell die Hacker auf neue Honeypots reagieren können.

Was ist passiert?
Wir haben einen modifizierten "pbot" abgefangen, welcher normalerweise als RFI genutzt wird.

Was hat sich geändert?
Prinzipiell ist der Aufbau des "pbot" immer noch gleich/ähnlich geblieben, doch es wurde eine neue Funktion eingeführt. Diese neue Funktion erlaubt es dem Hacker gewisse Domains aus dem zu scannenden Bereich zu filtern.

Wie haben die Hacker das umgesetzt?
---code snip---
// hier werden die zu "sperrenden" Domains eingetragen
$ignorelist = array(
'av.rds.yahoo.com/',
'xxxtz.com',
'xxxst.de',
'xxxy.com',
);

---snap---

// hier wird während des Scannens die Liste abgefragt
----code snip---
foreach ($ignorelist as $v) {
if(substr_count($pesanlo,strtolower($v)) > 0) {

---snap---

Wie kann man ein Blacklisting verhindern?

Zunächst ist es wichtig die eingefangenen "pbot" automatisch zu analysieren. Dadurch kann festgestellt werden, ob und in welcher Weise die Hacker die Domains blacklisten.
Wie wir feststellen konnten, blocken die Hacker nur auf Domain-Ebene, d.h. wir können einfach neue Domains in Umlauf bringen ohne gleich eine neue IP Adresse benutzen zu müssen. Leider bedeutet das auch im Umkehrschluss, dass wir wieder viel Zeit investieren müssen um die Domains bekannt zu machen. Indem wir unsere Honeypots den aktuellen Gegebenheiten anpassen, reagieren auch wir auf die von Hackern herbeigeführten Veränderungen.

Was bedeutet das für die Zukunft der Honeypots?

Wir deuten es als ein gutes Zeichen, dass die Hacker sich mit unserem Topf beschäftigen. Dies zeigt uns, dass sie unseren Honeypot als Bedrohung sehen, da sie viel Zeit investieren mussten um unser Netz zu analysieren.
In Zukunft wird es wichtig sein, ein großes und schnelll wachsendes Honey-Netz aufzubauen, um den Hackern nur einen kleinen Ausschnitt offen legen zu müssen. Somit sollten auch kleinere Rückschläge professionell und schnell gelöst werden können.  An alle Honeypot Betreiber, lasst euch davon nicht verärgern, sondern seht es als Herausforderung an weiter zu machen.
Wir werden auch nicht aufgeben ...

Kommentare (1) Trackbacks (0)
  1. für einen provider ist dies Teil des Plans.
    Ich freue mich über jeden bl-eintrag.
    danke!
    :p


Leave a comment

Noch keine Trackbacks.

/* google like button API */