Un avertissement concernant le malware Mac a été émis pour toute personne qui a récemment téléchargé Handbrake pour Mac. Un serveur a été compromis et un cheval de Troie d’accès à distance (RAT) a été livré avec le fichier image du disque Apple Handbrake.
Un cheval de Troie d’accès à distance de vol d’informations d’identification a été découvert. Il a été fourni avec l’application d’encodage vidéo Handbrake lors des téléchargements de l’application entre le 2 et le 6 mai 2017. Ceci a permis l’installation du fichier malveillant Proton RAT.
Tous les utilisateurs ayant récemment téléchargé l’application entre les dates ci-dessus ont été avertis. Il leur est fortement recommandé de vérifier que leurs appareils n’ont pas été infectés. Selon une déclaration publiée par les développeurs de l’application, ces utilisateurs ont 50 % de chance d’avoir téléchargé le fichier malveillant.
Les cybercriminels ont pu compromettre un serveur Handbrake et associer le logiciel malveillant à l’application. Tous les appareils ayant utilisé le miroir de téléchargement hébergé download.handbrake.fr pouvaient donc être potentiellement infectés.
Apple a maintenant mis à jour son OSX XProtect pour détecter et supprimer l’infection, bien que les personnes à risque doivent vérifier si leur appareil a été infecté. Celle-ci peut être détectée en recherchant le processus Activity_agent dans le moniteur d’activité OSX. Si le processus est en cours d’exécution, ceci signifie que l’appareil a été infecté par le cheval de Troie.
Tout utilisateur ayant téléchargé le malware devra modifier tous les mots de passe stockés dans le trousseau d’accès Mac. Tout mot de passe stocké dans un navigateur devra également être modifié, car il est probable qu’il ait également été compromis.
Le cheval de Troie peut être facilement supprimé en ouvrant le Terminal et en entrant les commandes suivantes avant de supprimer toutes les instances de l’application Handbrake :
si /Library/VideoFrameworks/ contient proton.zip, supprimez le dossier
Proton RAT a été identifié pour la première fois plutôt cette année. Il est capable d’enregistrer les frappes au clavier pour voler les mots de passe ; d’exécuter des commandes « shell » en tant que « root » ; de voler des fichiers ; de prendre des captures d’écran du bureau et d’accéder à la webcam. Une fois installé, il s’exécutera à chaque fois que l’utilisateur se connecte.
Seuls les téléchargements de Handbrake pour Mac ont été affectés. Tout utilisateur ayant récemment effectué une mise à niveau via le mécanisme de mise à jour de Handbrake n’est donc pas concerné, car des vérifications sont effectuées pour empêcher le téléchargement de fichiers malveillants.
Le serveur compromis a maintenant été fermé afin d’empêcher tout nouveau téléchargement de malwares. Mais on ne sait pas encore comment l’accès au serveur a été obtenu par les pirates et comment le fichier image du disque Apple Handbrake a été remplacé par une version malveillante.
Si vous avez téléchargé HandBrake pour Mac, vous pourriez être infecté par
Proton RAT
Un serveur de téléchargement miroir de HandBrake — une application de conversion vidéo open source populaire pour Mac — a été compromis, et le fichier .dmg de l’application légitime a été remplacée par une version Trojan contenant le RAT Proton.
L’infection pourrait être néfaste
Toute personne ayant téléchargé HandBrake sur Mac doit vérifier le code « SHA1/256 » du fichier avant de l’exécuter, ont prévenu les développeurs qui ont affiché un lien vers l’alerte sur la page principale du projet.
Seuls les utilisateurs qui ont téléchargé le fichier HandBrake « 1.0.7.dmg » depuis le miroir de téléchargement à l’adresse « download.handbrake.fr » sont en danger. Le miroir de téléchargement principal et le site web n’ont pas été compromis.
Si vous voyez un processus appelé « Activity_agent » dans l’application « OSX Activity Monitor », cela signifie que votre appareil est infecté. Vous pouvez trouver l’Activity Monitor dans le menu « Applications/Utilitaires ».
Quel est le risque ?
Proton est un cheval de Troie d’accès à distance (RAT) pour macOS. Il a été récemment repéré comme étant vendu sur des forums clandestins russes de cybercriminalité.
Pour 40 bitcoins, les acheteurs obtenaient des installations illimitées. Le malware était signé d’une signature de développeur Apple légitime, afin qu’il ne soit pas bloqué par la technologie Gatekeeper d’Apple.
Proton permet à l’attaquant de se connecter à distance à la machine infectée. Il est capable de surveiller les frappes au clavier ; de surveiller une webcam ; de télécharger des fichiers malveillants et depuis une machine distante ; etc.
Il peut également présenter une fenêtre native personnalisée qui demande aux utilisateurs de saisir des informations — comme un numéro de carte de crédit — et peut accéder au compte iCloud de la victime, même s’il est protégé par une authentification à deux facteurs.
Que faire si votre appareil a été infecté par le ransomware ?
Les développeurs de HandBrake ont conseillé aux utilisateurs qui ont des ordinateurs infectés de modifier tous leurs mots de passe et ceux qu’ils ont enregistrés dans leur navigateur.
Mais avant de faire cela, ils doivent s’assurer qu’ils ont démarré Proton et les autres logiciels malveillants qu’il a pu installer sur leur machine.
Pour supprimer Proton, les développeurs conseillent d’ouvrir « Terminal.app » et d’exécuter les commandes suivantes :
Si « Library /VideoFrameworks/ » contient proton.zip, supprimez le dossier. Supprimez ensuite toute installation de HandBrake.app que vous pourriez avoir.
Pour trouver et supprimer d’autres malwares, les utilisateurs sont invités à utiliser une solution antivirus pour Mac pour analyser leur système.
Qu’est-ce qu’Apple à fait à ce sujet ?
Apple a ajouté une signature pour la version initiale de Proton à XProtect. Il s’agit d’un scanner antimalware intégré à macOS. La marque a également ajouté la signature pour une variante particulière de Proton, à savoir OSX.Proton.B.
Selon Patrick Wardle, chercheur en sécurité et développeur d’outils de sécurité pour Mac, cette protection peut facilement être déjouée par les pirates.
La signature n’est qu’un hachage « SHA-1 » correspondant uniquement à ce binaire Handbrake utilisant un RAT spécifique. En d’autres termes, si les auteurs du malware utilisent un autre vecteur d’infection, ou même s’ils recompilent simplement le binaire qui est infecté, cette signature ne signalera plus le malware.
Pour démontrer sa théorie, il a modifié le dernier octet du binaire. Cette manœuvre a changé son hachage « SHA-1 » grâce au téléchargement et l’installation sur un système Mac propre, sans aucun problème.
La raison pour laquelle Apple a opté pour une signature spécifique est que ses développeurs ont pensé que toute nouvelle attaque utiliserait un nouveau vecteur de distribution totalement différente. Ils ont pensé qu’il fallait juste utiliser une signature spécifique pour ce vecteur d’attaque.
Pourtant, comme XProtect prend désormais en charge YARA, une méthode permettant de mettre des signatures plus complexes, Help Net Security affirme qu’il aurait été judicieux de créer une signature plus générique, ce qui aurait au moins permis de déjouer des variantes de ce même vecteur d’attaque..
Cependant, aucune approche basée sur une signature ne peut arrêter les pirates informatiques. Même si Apple avait créé une signature plus robuste, si les escrocs étaient bons et voulaient continuer à distribuer le malware via ce vecteur d’attaque (ou un autre similaire), ils seraient capables de contourner toute signature.
Cette tactique particulière de diffusion de malwares n’est pas nouvelle
Sur le site officiel du projet Transmission (une plate-forme qui propose au téléchargement le client BitTorrent Transmission pour Mac), le système a été compromis plusieurs fois en une année. Le binaire légitime du logiciel a également été échangé avec un malware, notamment le ransomware Keydnap et KeRanger.
Notez que le développeur initial de Handbrake et de Transmission est la même personne. Cependant, l’équipe HandBrake a tenu à préciser qu’il ne fait pas partie de l’équipe actuelle de développeurs HandBrake et qu’elle ne partage pas ses machines virtuelles avec le projet Transmission.
Les utilisateurs qui ont effectué la mise à jour vers HandBrake 1.0.7 sont désormais en sécurité. En fait, le programme de mise à jour utilise les signatures « DSA » pour vérifier les fichiers téléchargés. La vérification des signatures a été introduite dans HandBrake 0.10.6. Si les utilisateurs ont effectué une mise à jour à partir d’une version antérieure, ils doivent donc vérifier leurs systèmes s’ils ont été compromis.
Instructions de suppression
L’équipe HandBrake fournit les instructions de suppression suivantes :
Ouvrez l’application « Terminal » et exécutez la commande : launchctl unload /Library/LaunchAgents/fr.handbrake.activity_agent.plist
Exécutez ensuite la commande :
rm -rf / Library /RenderFiles/activity_agent.app
Si « Library/VideoFrameworks/ » contient proton.zip, supprimez le dossier.
supprimez toute autre installation de HandBrake.app.
Changez tous les mots de passe pouvant résider dans les magasins de mots de passe de votre navigateur ou dans votre « KeyChain OSX ».
L’équipe HandBrake a mis hors ligne le serveur miroir de téléchargement concerné en vue d’une enquête. Après cela, l’équipe a déclaré que les téléchargements de l’application HandBrake seraient plus lents.
C’est déjà arrivé à la même équipe
L’auteur principal de l’application HandBrake est également l’auteur du client BitTorrent Transmission pour Mac. En mars 2016, un pirate inconnu avait compromis le miroir de téléchargement du client Transmission pour Mac, puis remplacé l’original par une version contenant le ransomware KeRanger.
Quelques mois plus tard, le même miroir de téléchargement a été à nouveau compromis. Cette fois, les escrocs ont utilisé le voleur d’identifiants de connexion Keydnap.
Le RAT Proton
Le RAT Proton est récemment apparu dans le paysage des menaces. La variante qui a été nouvellement annoncée sur les forums de piratage comprend de nombreuses fonctionnalités comme la possibilité d’exécuter des commandes de console ; d’accéder à la webcam de l’utilisateur ; d’enregistrer les frappes au clavier ; d’effectuer des captures d’écran, ou encore d’ouvrir des connexions distantes. Le code malveillant est également capable d’injecter un autre code malveillant dans le navigateur de l’utilisateur afin d’afficher des popups qui demandent aux victimes des informations comme des numéros de carte de crédit, des identifiants de connexion, etc.
Pour obtenir des privilèges d’administrateur, le programme d’installation malveillant de HandBrake demande aux utilisateurs leur mot de passe, sous prétexte d’installer des codecs vidéo supplémentaires.
Selon l’expert en sécurité Patrick Wardle, la variante Proton utilisée dans cette attaque n’a pas été détectée par les programmes antimalware.
L’avis publié sur le forum HandBrake fournit également des instructions de suppression manuelle. Les utilisateurs de Mac ayant trouvé le malware sur leur appareils doivent changer tous leurs mots de passe dans macOS ou dans leur navigateur.
Les escrocs ont utilisé des tactiques similaires dans le passé afin de diffuser des malwares. La version macOS du populaire BitTorrent Transmission a été trouvée, distribuant des malwares pour Mac à deux reprises.
Les utilisateurs de Mac qui ont téléchargé l’application de traitement vidéo HandBrake peuvent donc être infectés par un dangereux malware.
HandBrake est un outil gratuit qui est souvent utilisé dans le but d’éditer et de convertir des fichiers vidéo sur les machines macOS. Cependant, tous ceux qui l’ont téléchargé peuvent avoir involontairement infecté leur appareils avec un malware.
Des cybercriminels ont remplacé le programme d’installation de HandBrake par le cheval de Troie d’accès à distance (RAT) Proton, qui prend ensuite le contrôle total du système de la victime. Il peut également voler les mots de passe stockés sur votre appareil Mac.
Sur le forum MacRumors, Gannet a décrit comment le malware a essayé d’infecter son ordinateur. Comme c’est souvent le cas avec les malwares ciblant les appareils Mac, l’assistance de l’utilisateur est nécessaire pour que l’attaque réussisse.
Pour éviter tout cela, il faut toujours faire preuve d’esprit critique lorsque le système vous demande votre mot de passe. D’un autre côté, c’est précisément ce que l’on attend du véritable programme d’installation de HandBrake.
Comment savoir si votre système est infecté par HandBrake ?
Tout d’abord, ouvrez l’application « Activity Monitor » sur votre appareil. Elle se trouve dans le dossier « Utilities » du répertoire « Applications ». Si vous voyez un processus listé nommé « Activity_agent », cela signifie que votre appareil est infecté.
Pour supprimer l’infection, ouvrez l’application « Terminal ». Elle se trouve également dans le dossier « Utilities ». Ensuite, copiez et collez chacune des commandes suivantes (sans les guillemets), en appuyant sur Retour après chacune d’elles.
Si le Terminal indique que vous n’êtes pas autorisé, tapez alors le mot « sudo » avant la première commande et connectez-vous en utilisant le mot de passe d’un utilisateur autorisé à installer et supprimer des logiciels sur votre appareil.
La dernière commande liste les fichiers dans un certain répertoire. Si l’un de ces fichiers s’appelle proton.zip, alors vous n’avez qu’à copier et coller la chaîne de texte suivante dans le Terminal. Appuyez sur Retour pour supprimer le fichier.
rm -rf /Library/VideoFrameworks/proton.zip
Ensuite, appuyez sur Command (avec un espace) afin d’ouvrir la recherche « Spotlight » et tapez « handbrake.app ». Faites défiler jusqu’au bas des résultats et cliquez sur « Voir tous les résultats ». Dans la fenêtre suivante, recherchez toutes les instances de l’application Handbrake puis supprimez-les toutes. Faites un clic de commande sur l’icône de la corbeille, puis sélectionnez « Vider la corbeille ».
Quid des mots de passe ?
Ouvrez « Keychain » à partir du dossier « Utilitaires » susmentionné afin d’afficher vos mots de passe stockés. Changez-les pour chaque compte répertorié, car Proton avait accès à votre trousseau.
Vous devrez faire de même pour tous les mots de passe enregistrés dans vos navigateurs web. Si vous voulez afficher ceux enregistrés par Safari, cliquez sur « Safari » dans la barre de menus, puis sélectionnez « Préférences » et cliquez sur « Mots de passe ».
Dans Chrome, consultez chrome://settings/passwords pour les voir.
Si vous utilisez Firefox, vous les trouverez en vous rendant sur about:preferences#security et en cliquant sur « Saved Logins ».
Les questions de sécurité sont devenues l’un des aspects les plus importants d’un réseau d’entreprise, en particulier la sécurité du réseau sur le serveur. Celles-ci sous-tendent la nécessité de mettre en place un système capable de détecter les menaces lancées par les cybercriminelles afin de les contrer. Il existe plusieurs manières d’y parvenir, mais avez-vous envisagé d’implémenter un honeypot de malwares ?
Cette solution consiste à attirer volontairement les cybercriminels dans le but de les prendre la main dans le sac. Bref, il s’agit de créer des pièges à pirates.
Attirer les pirates (et éventuellement les malwares) peut sembler contre-intuitif, mais il y a de grands avantages à en installer un honeypot. Explications !
Qu’est-ce qu’un honeypot ?
Essayons de définir en quelques points la signification de ce terme :
Un honeypot est un système en réseau que les administrateurs réseau créent en guise de leurre afin d’attirer les cybercriminels et pour détecter, dévier ou étudier leurs tentatives de piratage.
Il s’agit d’un système qui a été délibérément rendu vulnérable tel qu’un serveur ou un appareil de grande valeur.
Un honeypot est donc conçu pour se présenter sur le web comme une cible potentielle pour les pirates.
Pourtant, un honeypot est une sorte de diversion de l’attention des pirates, qu’ils pensent qu’ils ont réussi à faire tomber en panne un appareil ou un serveur et à récupérer des données sensibles d’un réseau.
Le honeypot permet de recueillir des informations et de notifier aux administrateurs réseau les tentatives d’accès au faux serveur par des utilisateurs non autorisés, alors que les données que ces derniers obtiennent ne sont pas importantes et que l’emplacement de ces informations est sécurisé.
Les honeypots constituent un outil important pour les grandes entreprises qui souhaitent mettre en œuvre une défense active contre les pirates. Ils permettent également aux chercheurs en cybersécurité d’en savoir plus sur les techniques et les outils utilisés par les attaquants.
Notons que le coût de maintenance d’un honeypot peut être plus ou moins élevé, car sa mise en œuvre et son administration peuvent requérir des compétences spécialisées.
Comment fonctionne un honeypot ?
Un honeypot est généralement constitué d’un ordinateur, de plusieurs applications et de données qui sont utilisés pour simuler le comportement d’un système réel. Il apparaît donc comme un système qui fait partie d’un réseau. Pourtant, il est en réalité isolé et rigoureusement surveillé.
Ces dispositifs peuvent prendre la forme de machines virtuelles délibérément affaiblies et placées dans une zone accessible du réseau. Elles présentent souvent des mises à jour de sécurité critiques manquantes, des ports ouverts, des services inutiles activés, de telle sorte que les pirates puissent les exploiter.
Bien entendu, un système honeypot est également sécurisé par des comptes administrateur, mais les mots de passe sont souvent faibles ou inexistants.
Ceci permet d’augmenter les chances que les pirates s’intéressent aux honeypots. En effet, ces faiblesses en matière de sécurité leur feront croire qu’ils ont trouvé une cible facile à infiltrer.
En réalité, ils perdent leur temps, car les administrateurs réseau surveillent leur activité et bloquent leur accès au reste du réseau. Le temps qu’ils réalisent ce qui se passe, les administrateurs auront déjà recueilli suffisamment d’informations pour renforcer leur réseau ou pour signaler l’activité malveillante aux autorités compétentes.
On utilise généralement les machines virtuelles pour héberger les honeypots. Ainsi, au cas où celles-ci seraient compromises par des malwares, le honeypot pourra être rapidement restauré.
Autre élément important : comme les utilisateurs légitimes n’ont aucune raison d’accéder aux honeypots que vous avez mis en place, toute tentative d’accès à un honeypot particulier doit donc être considérée comme hostile.
Avantages et inconvénients des honeypots
Sachez que la mise en place des honeypots nécessite des ressources importantes. Pourtant, elle offre des avantages non-négligeables dont voici quelques-uns :
Les honeypots collectent des données provenant des activités non autorisées et des attaques réelles, ce qui fournit aux analystes une riche source d’informations.
Les technologies ordinaires de détection d’attaques cybercriminelles génèrent des alertes pouvant inclure un volume important de faux positifs. Par contre, les honeypots réduisent ce volume, car les utilisateurs légitimes n’ont aucune raison d’y accéder.
La mise en place des honeypots offre un bon retour sur investissement puisqu’ils ne nécessitent pas de ressources à haute performance pour analyser de grands volumes de trafic réseau dans le but de rechercher les menaces. En réalité, les honeypots n’interagissent qu’avec des activités malveillantes.
Les honeypots peuvent détecter les activités malveillantes, même si les pirates utilisent la technique du chiffrement.
Force est toutefois de constater que les honeypots présentent quelques inconvénients :
Ils ne collectent les informations que lorsqu’une attaque se produit. Le fait qu’aucune tentative malveillante n’accède pas au honeypot ne signifie donc pas qu’il n’y a aucune menace de cybersécurité.
Le trafic malveillant capturé ne peut être collecté que lorsqu’une attaque vise le réseau de honeypot. Au cas où les attaquants soupçonneraient qu’un réseau est un honeypot, ils pourraient donc l’éviter.
Les honeypots se distinguent souvent des systèmes de protection légitimes. Autrement dit, les pirates informatiques expérimentés parviennent souvent à différencier un système légitime d’un honeypot en utilisant des techniques avancées.
En résumé, les honeypots peuvent aider les chercheurs et administrateurs réseau à comprendre les menaces qui sont susceptibles de porter atteinte aux systèmes en réseau. Néanmoins, il faut qu’ils soient configurés correctement, sinon ils peuvent constituer un moyen pour les pirates d’accéder à des systèmes légitimes ou servir de rampe de lancement pour d’autres attaques cybercriminelles.
Conseils pratiques sur la mise en place d’un honeypot de malwares
Un honeypot de malwares peut être très bénéfique pour une organisation.
Cependant, il est important de l’installer correctement et d’engager suffisamment de ressources pour sa maintenance et son entretien.
Un honeypot de malwares n’aura que peu d’utilité, sauf s’il peut facilement être identifié comme un faux système et s’il peut être utilisé comme une plate-forme pour attaquer votre système.
Vous trouverez ci-dessous quelques conseils et astuces pour commencer.
Quel degré d’interaction recherchez-vous ?
Lorsque vous configurez un honeypot de malwares, vous devez décider du niveau d’interaction que vous souhaitez. Quelle marge de manœuvre donnerez-vous à un pirate informatique ? Quelle quantité d’activité êtes-vous prêt à autoriser ?
D’une manière générale, plus vous permettez d’interactions, plus vous aurez besoin de temps afin de configurer et de maintenir votre honeypot de malwares.
Vous devez également garder à l’esprit que plus vous permettez d’interactions, plus le risque que l’attaquant s’échappe du honeypot et lance une attaque sur vos systèmes est élevé. En effet, les honeypots de malwares à forte interaction exécutent de véritables systèmes d’exploitation. Par contre, si vous êtes satisfait de l’interaction de bas niveau, vous pouvez utiliser l’émulation, ce qui nécessite moins de maintenance et comporte moins de risques.
Les systèmes de honeypots de malwares prêts à l’emploi sont peut-être le point de départ le plus facile, bien qu’il existe des options open source qui peuvent être modifiées pour répondre à vos besoins. Ce n’est pas parce que vous utilisez un honeypot commercial que vous devez dépenser beaucoup. Il y a beaucoup d’options gratuites à essayer.
Honeypots de malwares, et plus encore…
Un paquet d’attaques informatiques est généralement le point de départ logique avant de passer à des options open source ou à des systèmes de honeypots coûteux et complets.
Vous pouvez évaluer l’intérêt d’utiliser un honeypot pour détecter les malwares. Si cela s’avère utile, vous pouvez consacrer plus de temps et de ressources au développement d’un honeypot entièrement personnalisé pour votre organisation.
Vous pouvez également commencer avec un honeypot de malwares et, si vous êtes satisfait des résultats, configurer un honeypot pour SCADA/ICS et pour vos services Web.
Nous vous suggérons les honeypots suivants pour commencer :
Honeyd
Un excellent choix pour simuler plusieurs hôtes et services sur une seule machine en utilisant la virtualisation. Ce honeypot à faible interaction permet de mettre en place un réseau convaincant impliquant de nombreux systèmes d’exploitation tels que Windows, Linux et Unix au niveau de la pile TCP/IP. Il est capable d’identifier passivement les hôtes distants.
Kippo
Il existe une façon courante de fournir un accès shell à distance sur un système d’exploitation. En effet, vous pouvez utiliser le protocole réseau Secure Shell (SSH). En utilisant ce protocole, vous pouvez établir une connexion distante sécurisée sur un réseau non sécurisé afin d’accéder à un shell distant. Mais pour s’y connecter, l’utilisateur doit d’abord s’authentifier auprès du serveur SSH. Le problème est que les pirates peuvent s’authentifier en récupérant le mot de passe lors d’une attaque par force brute.
Kippo est un honeypot à interaction moyenne conçu pour enregistrer toutes les attaques par force brute et toutes les interactions shell réalisées par les pirates. Il dispose d’un faux système de fichiers qui peut simuler un serveur Debian Linux. C’est ce que les attaquants voient lors de la connexion, c’est-à-dire qu’ils peuvent naviguer sur le serveur, mais ils ne peuvent pas faire de réels dégâts.
Kippo possède également d’excellentes capacités de journalisation et permet de visionner la rediffusion d’une attaque. De plus, il permet de créer des systèmes de fichiers complets.
Dionaea
C’est un bon honeypot de malwares basé sur Windows. Dionaea peut piéger les malwares qui exploitent les vulnérabilités exposées par les services offerts à un réseau.
Son but ultime est d’obtenir une copie du malware.
Ghost USB
Il s’agit d’un honeypot qui détecte les malwares diffusés via des clés USB. En gros, Ghost USB imite un périphérique de stockage USB.
Au cas où votre machine serait infectée par un malware utilisant de tels dispositifs pour se propager, Ghost USB incitera le malware à infecter le dispositif émulé.
Glastopf
Glastopf est un honeypot avec une faible interaction.
Son principe consiste à émuler un serveur web vulnérable qui héberge de nombreuses applications et pages web présentant des milliers de vulnérabilités.
Thug
C’est un honeypot côté client qui imite un navigateur Web. L’outil sert à explorer et interagir avec un site web malveillant afin de détecter le code malveillant ainsi que les objets qu’il contient.
On utilise souvent le terme « Thug » pour l’apprentissage et l’analyse des malwares ou pour la découverte de menaces.
Paquets de honeypots puissants
Il existe trois excellents ensembles complets de honeypots qui sont énumérés ci-dessous. Il peut être préférable de payer pour ces forfaits plutôt que de consacrer le temps et les ressources nécessaires au développement de votre propre système de honeypot personnalisé.
Capteur KFS
C’est un système de honeypots basé sur Windows avec une excellente fonctionnalité et flexibilité. Il est cher, mais c’est le choix des professionnels.
Pourquoi l’utiliser ?
Le Capteur KFS détecte les menaces inconnues, tout en améliorant la sécurité et en offrant une solution économique. C’est une solution économique qui ne nécessite que peu de maintenance.
En tant qu’honeypot, le capteur KFS est conçu pour attirer et détecter les pirates et les malwares en simulant des services système vulnérables.
De plus, il peut être préconfiguré pour surveiller tous les ports UDP, TCP et ICMP. Le honeypot peut démarrer la surveillance dès son installation et il est possible de le personnaliser si vous voulez ajouter des services supplémentaires.
MHN
MHN (ou littéralement Modern Honeypot Network) est un honeypot open source qui permet une configuration et une personnalisation faciles, avec une large gamme d’outils. Il fonctionne à l’aide d’une base de données Mongo.
Pourquoi l’utiliser ?
Ce honeypot est caractérisé par une interaction faible ou forte, selon sa complexité. Les configurations à forte interaction peuvent encourager les pirates à passer beaucoup de temps à exploiter un environnement factice, ce qui laisse de nombreux indices et fait perdre son temps.
Pour les configurations à faible interaction, le honeypot ne recueille que les informations de base sur les comportements invasifs des pirates. Son avantage est qu’il utilise moins de ressources.
HoneyDrive
C’est une application virtuelle (OVA) avec Xubunti pour Linux. Elle est fournie avec une gamme d’outils d’analyse, ainsi qu’un choix de 10 logiciels de honeypot préinstallés.
Pourquoi l’utiliser ?
Ce honeypot vous fait gagner du temps, car les principaux logiciels qui y sont liés sont préconfigurés et préinstallés pour fonctionner dès le départ.
À propos du honeypot CAPTCHA
La capture et le blocage des spams ont créé (et créeront toujours) l’un des plus grands désagréments sur Internet. L’une des solutions pour éviter ce problème est l’utilisation d’un champ CAPTCHA. Il vous protège contre les spams potentiels et de nombreux types d’abus automatisés.
Cette méthode fonctionne bien, mais elle présente quelques inconvénients. En fait, vous devez ajouter un champ de saisie de caractères encombrant sur tous vos formulaires. Là encore, vous pouvez penser que ce n’est pas un problème, mais vous allez souvent vous heurter à la conception, notamment si vous essayez de placer un formulaire de messagerie électronique dans un espace restreint. Pour bloquer rapidement les spams, vous pouvez simplement utiliser un honeypot CAPTCHA.
La méthode du honeypot CAPTCHA est assez simple. Il suffit de mettre un champ supplémentaire dans votre formulaire qui sera caché aux utilisateurs humains (c’est-à-dire que les humains ne devront pas remplir). La plupart des robots de spam recherchent des formulaires, puis ils remplissent tous les champs disponibles et les envoient. Si le robot remplit le champ CAPTCHA du honeypot, vous pourrez reconnaître qu’il s’agit d’un spam.
L’avantage du champ CAPTCHA caché est qu’il n’a pas d’impact sur l’expérience des utilisateurs finaux. Souvent, ces derniers ne savent même pas qu’il est mis en œuvre.
L’inconvénient de cette méthode est que, si les utilisateurs disposent d’une fonction de remplissage automatique ou d’un lecteur d’écran destiné à remplir les champs pour eux, ces outils peuvent aussi voir les champs invisibles et les remplir automatiquement, comme le ferait un spambot. Ceci entraînerait le rejet du formulaire.
Si vous avez installé un honeypot CAPTCHA et que vous recevez encore trop de spams, vous aurez probablement besoin d’une solution supplémentaire pour assurer une protection maximale de votre réseau.
Utiliser des honeypots basés dans le cloud est-elle une bonne idée ?
Les entreprises qui utilisent le cloud sont particulièrement vulnérables à une myriade de cybermenaces, dont certaines ne sont même pas encore connues.
Si vous souhaitiez protéger votre réseau, vos logiciels, vos données basées dans le cloud ou votre système de messagerie électronique contre d’éventuelles menaces, vous pouvez utiliser un honeypot. Il pourra recueillir les données sur les éventuelles attaques et personnaliser la protection de votre réseau contre les attaques futures.
Mais pourquoi héberger vos honeypots dans le cloud ?
Il est possible de déployer des honeypots directement sur votre cloud privé, mais la plupart des entreprises de sécurité ne le recommandent pas (ou ne le font pas), car cela pourrait faire courir des risques inutiles à vos systèmes. Une autre option consiste à utiliser le cloud public pour les héberger. Ainsi, vous pourrez mieux protéger votre réseau réel des attaques sur les vulnérabilités et de ne pas mettre en danger vos données sensibles. Vous pouvez également utiliser le cloud public pour détecter les cyberattaques provenant de différents pays du monde.
De plus, les honeypots basés dans le cloud peuvent être configurés pour découvrir les activités des cybercriminels de n’importe quelle partie du monde. Vous pourrez donc collecter des informations précieuses qui feront passer votre système de cybersécurité à un niveau supérieur.
Attention toutefois : un rapport d’étude publié par Sophos — qui portait sur dix serveurs cloud honeypots — a révélé que les cybercriminels peuvent rechercher automatiquement des buckets open cloud vulnérables. S’ils réussissent à entrer dans votre réseau, vos données sensibles seront exposées. Ils peuvent aussi se servir de vos serveurs cloud compromis comme relais afin d’accéder à d’autres réseaux ou serveurs.
Votre honeypot peut être détecté !
Comme on l’a dit ci-dessus, les honeypots présentent quelques inconvénients.
Ce n’est peut-être qu’une question de temps avant que votre honeypot ne soit détecté, et lorsque cela se produit, l’information est susceptible d’être partagée avec d’autres pirates. Heureusement, il existe de nombreux forfaits différents et il est possible de créer des honeypots personnalisés. Les pirates informatiques ne peuvent donc pas rechercher une signature unique pour identifier un système comme étant un honeypot.
Il y a des signes évidents qu’un système est un honeypot. Nous vous recommandons de prendre des mesures pour résoudre les problèmes suivants si vous voulez vous assurer qu’il n’est pas détecté comme un faux système.
Assurez-vous qu’il y ait de l’activité dans le système – Un signe certain d’un faux système est qu’aucune personne ne l’utilise !
Faites en sorte qu’il soit beaucoup trop facile de compromettre le système – en définissant par exemple « mot de passe » comme mot de passe.
Laissez les ports impairs ouverts et assurez-vous que les services hors du commun sont en cours d’exécution.
Presque aucun logiciel n’a été installé.
Les configurations par défaut des logiciels et des systèmes d’exploitation ont été installées.
La structure des fichiers est trop régulière et les noms de fichiers sont manifestement faux – les noms de fichiers tels que « liste de mots de passe utilisateur » et « numéros de sécurité sociale du personnel » sont irréalistes.
Il vaut également la peine d’envisager l’inclusion ou non d’un « port de tromperie ».
Il s’agit d’un port ouvert, permettant à un attaquant de détecter un honeypot.
Quel est l’intérêt ?
Cela montrera à tout attaquant potentiel qu’il a affaire à une organisation qui a consacré beaucoup de temps et d’efforts à la cybersécurité.
Cela, en soi, peut suffire à convaincre les attaquants de regarder ailleurs et de poursuivre des cibles beaucoup plus faciles.
Les réglementations concernant les honeypots
La diversité de honeypots rend difficile l’appréhension des aspects juridiques liés à ces outils informatiques. Les honeypots servent à alarmer le personnel informatique d’une activité anormale, mais aussi à surveiller l’activité des cybercriminels. Face à cette diversité d’outils, il faut que les organisations se conforment à quelques règlementations.
Certain pays acceptent l’utilisation des honeypots, tandis que d’autres le condamnent. Depuis la mi-avril 2003, quelques états américains reconnaissent que cette pratique est illégale sur leurs territoires.
En France, le ministère de l’intérieur a affirmé que les organismes gouvernementaux français ne doivent pas utiliser les technologies basées sur les honeypots. Selon ladite insitution, un honeypot est une technique de leurre dont le but est d’éprouver et de comprendre les techniques d’intrusion sur des systèmes. En réalité, le droit pénal français prohibe toute forme de provocation à commettre une infraction. Cette technique ne devrait donc pas utilisée.
L’article 23 de la loi du 29 juillet 1881 sur la liberté de la presse confirme que toute action commise par le biais de certains canaux, et qui auront directement provoqué un ou plusieurs auteurs à commettre ladite action, est qualifiée de crime ou délit si la provocation a été suivie d’effet.
De plus, l’utilisation d’un honeypot ne relève pas seulement d’un problème légal, car l’outil peut récupérer des données à caractère personnel. Le traitement de ces informations doit faire l’objet d’une déclaration à la Commission nationale de l’informatique et des libertés (CNIL).
Les administrateurs réseaux qui souhaitent protéger leur réseau via les honeypots doivent donc se prémunir contre les poursuites judiciaires, même si ces poursuites devraient être dédiées aux hackers.
Nos conseils !
Comme susmentionnée, la mise en place d’un honeypot peut exiger beaucoup de ressources. Pour éviter cela, vous pouvez l’installer sur de vieux ordinateurs ou sur d’autres appareils que vous n’utilisez plus. Quant aux logiciels, vous pouvez choisir des honeypots prêts à l’emploi afin de réduire le travail interne nécessaire pour son déploiement.
Sachez que les honeypots ont un faible taux de faux positifs, contrairement aux systèmes traditionnels de détection d’intrusion (IDS) qui peuvent produire un niveau élevé de fausses alertes. Mais si vous savez utiliser les données collectées par vos honeypots pour les corréler avec d’autres journaux du système et du pare-feu, vous pourrez configurer l’IDS avec des alertes plus pertinentes pour produire moins de faux positifs. Ceci vous permet d’améliorer vos systèmes de cybersécurité.
Les honeypots peuvent également servir d’outils de formation pour votre personnel de sécurité informatique. Comme il s’agit d’un environnement contrôlé et sûr, il permet de montrer comment fonctionnent les cybercriminalités et d’examiner de nombreux types de menaces.
Les pare-feu ne sont pas efficaces pour contrer les menaces internes, par exemple, lorsqu’un employé qui envisage de quitter votre organisation et qui voudrait voler des fichiers avant de partir. Un honeypot peut vous donner certaines informations valables sur ces menaces internes.
Bien qu’un honeypot puisse cartographier les menaces internes ou celles venant de l’extérieur, il ne voit pas tout ce qui se passe, c’est-à-dire qu’il ne peut détecter que les activités qui sont dirigées vers lui. Si aucune menace n’a pas été dirigée contre le honeypot que votre organisation est à l’abri des actes cybercriminelles.
Ajoutez des couches de sécurité supplémentaires pour protéger votre réseau
Un honeypot peut vous aider à contrer certaines attaques en ligne, mais la meilleure solution est d’adopter un ensemble de solutions de cybersécurité comprenant les services de sécurité de base dont toutes les entreprises ont besoin afin qu’elles puissent mieux se protéger contre les principaux vecteurs d’attaques.
En réalité, vous devez disposer de cinq services de sécurité clé, à savoir :
Une solution de cybersécurité de base ;
Un pare-feu ;
Une couche supplémentaire pour la sécurisation de la messagerie électronique ;
Un service de filtrage du DNS
Une solution de sécurisation des nœuds d’extrémité.
D’abord, le pare-feu est essentiel si vous voulez sécuriser votre périmètre réseau, en séparant les réseaux fiables de ceux qui ne le sont pas. Il peut également protéger vos ressources et votre infrastructure réseau contre les accès non autorisés. Pour plus de sécurité, vous pouvez même mettre en place plusieurs pare-feu.
Ensuite, la sécurité de la messagerie électronique est cruciale, car ce canal est le plus utilisé par les pirates pour mener leurs attaques. Sans cela, de nombreux e-mails malveillants ou de phishing risquent d’atteindre les boîtes de réception de vos employés. Ainsi, vous ne pourrez plus compter que sur leur capacité à réagir face aux attaques cybercriminelles.
Vous devez également déployer un filtre DNS pour vous protéger contre les attaques cybercriminelles, notamment les téléchargements par drive-by, les publicités malveillantes et les kits d’exploitation.
Même les meilleures honeypots ne permettent pas de bloquer toutes les menaces en ligne. Le filtrage DNS s’avère dans ce cas une couche de sécurité supplémentaire qui protégera votre organisation contre les attaques de malwares et de phishing. Il peut également assurer la protection de vos employés lorsqu’ils utilisent le WiFi public.
En ce qui concerne la sécurisation des nœuds d’extrémité, sachez que cette solution peut ajouter une couche supplémentaire à votre pile de sécurité. Au cas où l’une des solutions susmentionnées échouerait et que des malwares seraient téléchargés, la sécurisation des nœuds d’extrémité pourra fournir une protection supplémentaire. Vous pouvez utiliser un logiciel antivirus ou d’autres solutions plus avancées tels que les systèmes de détection d’intrusion.
Bon à savoir : Lorsque vous choisissez les solutions à adopter pour votre pile de sécurité, assurez-vous qu’elles peuvent fonctionner parfaitement ensemble. Il est donc recommandé de ne pas acheter vos solutions de sécurité auprès de fournisseurs différents.
Pour assurer la sécurité de votre réseau et de vos données, optez pour TitanHQ, leader mondial en matière de sécurité web et de la protection de la messagerie dans le cloud. La marque fournit des produits efficaces, faciles à utiliser et à gérer.
Les différents produits de TitanHQ
La marque propose trois solutions de base, notamment la sécurisation de la messagerie électronique (SpamTitan) ; le filtrage DNS (WebTitan) et la solution d’archivage des e-mails (ArcTitan).
Toutes ces solutions peuvent être à 100 % basées dans le cloud. Elles ont été développées pour que vous puissiez facilement l’intégrer dans votre pile de sécurité, en plus de votre système honeypot. Il est aussi possible de les mettre en place sur votre infrastructure existante. Vous pouvez même personnaliser l’interface utilisateur afin de n’inclure que les fonctionnalités dont vous avez besoin.
Si vous avez besoin de rapports, vous n’aurez aucun problème. La solution de TitanHQ est dotée d’une large gamme de rapports préconfigurés. Vous pouvez les planifier dans le but d’alléger votre charge administrative, surtout lorsque vous devez fournir des rapports à votre conseil d’administration. Bien entendu, vous pouvez aussi créer vos propres rapports.
Grâce à TitanHQ, votre entreprise pourra offrir facilement des services de sécurité fiables à vos employés et améliorer ses marges.
Pour en savoir plus sur nos produits ou pour toute autre information, contactez dès aujourd’hui notre équipe. Vous bénéficierez d’un essai gratuit pour vous permettre de constater par vous-même pourquoi de nombreuses entreprises ont choisi nos solutions.
Le malware Xbash est l’une des nombreuses nouvelles menaces de logiciels malveillants qui ont été détectées au cours des dernières semaines et qui intègrent les propriétés de cryptage de fichiers des ransomwares avec la fonctionnalité de minage de cryptomonnaires de certains logiciels malveillants.
Cette année, plusieurs sociétés de cybersécurité et de renseignements sur les menaces ont signalé que les attaques de rançon ont plafonné ou sont en déclin. Les attaques de ransomwares sont toujours rentables, bien qu’il soit possible de gagner plus d’argent grâce au minage de cryptomonnaies.
Le récent rapport d’Europol sur les menaces liées à la criminalité organisée sur Internet, publié récemment, note que le détournement par cryptage est une nouvelle tendance de la cybercriminalité et constitue désormais une source de revenus régulière et à faible risque pour les cybercriminels, mais que « les logiciels rançon restent la principale menace des logiciels malveillants ». Europol note dans son rapport que le nombre d’attaques aléatoires par courrier électronique non sollicité a diminué, alors que les cybercriminels se concentrent sur les entreprises où les profits sont les plus importants. Ces attaques sont très ciblées.
Une autre tendance émergente offre aux cybercriminels le meilleur des deux mondes – l’utilisation de logiciels malveillants polyvalents qui ont les propriétés à la fois des ransomwares et des mineurs de cryptomonnaie. Ces variantes très polyvalentes de malwares offrent aux cybercriminels la possibilité d’obtenir des paiements de rançon ainsi que la possibilité de miner de la cryptomonnaie. Si le logiciel malveillant est installé sur un système qui n’est pas parfaitement adapté à l’extraction de cryptomonnaie, la fonction ransomware est activée et vice versa.
Le malware Xbash est l’une de ces menaces, bien qu’avec une mise en garde majeure. Le malware Xbash n’a pas la capacité de restaurer les fichiers. A cet égard, il est plus proche de NotPetya que de Cerber. Comme c’était le cas avec NotPetya, les logiciels malveillants Xbash se déguisent en rançon et demandent un paiement pour restaurer les fichiers – Actuellement 0.2 BTC ($127). Le paiement de la rançon n’entraînera pas la fourniture de clés pour déverrouiller les fichiers chiffrés, car les fichiers ne sont pas vraiment chiffrés. Le malware supprime simplement les bases de données MySQL, PostgreSQL et MongoDB. Cette fonction est activée si le malware est installé sur un système Linux. S’il est installé sur des périphériques Windows, la fonction de cryptojacking est activée.
Xbash a également la capacité de se propager lui-même. Une fois installé sur un système Windows, il se répandra sur le réseau en exploitant les vulnérabilités des services Hadoop, ActiveMQ et Redis.
Les logiciels malveillants Xbash sont écrits en Python et compilés dans un format exécutable portable (PE) en utilisant PyInstaller. Le logiciel malveillant exécutera sa routine de chiffrement/suppression de fichiers sur les systèmes Linux et utilisera JavaScript ou VBScript pour télécharger et exécuter un coinminer sur les systèmes Windows. L’Unité42 de Palo Alto Networks a attribué le malware à un groupe de menaces connu sous le nom d’Iron Group, qui a déjà été associé à des attaques par rançon de logiciels.
Actuellement, l’infection se produit par l’exploitation de vulnérabilités non corrigées et des attaques par force brute sur des systèmes dont les mots de passe et les services non protégés sont faibles. La protection contre cette menace nécessite l’utilisation de mots de passe forts et uniques sans défaut, de correctifs rapides et de solutions de sécurité des terminaux. Bloquer l’accès à des hôtes inconnus sur Internet empêchera la communication avec son C2 s’il est installé, et il est naturellement essentiel que de multiples sauvegardes soient effectuées régulièrement pour assurer que la récupération des fichiers est possible.
Kaspersky Lab a déterminé que le nombre de ces outils d’accès à distance polyvalents a doublé au cours des 18 derniers mois et que leur popularité devrait continuer à augmenter. Ce type de logiciel malveillant polyvalent pourrait bien s’avérer être le logiciel malveillant de choix pour les acteurs de menaces avancées au cours des 12 prochains mois.
Dans un article précédent, nous avons donné un aperçu des honeypots.
Nous poursuivons ici la discussion, avec des informations plus détaillées sur la mise en œuvre pratique. Rappelez-vous qu’un honeypot est un outil très flexible avec de nombreuses applications différentes en matière de sécurité.
Il existe des versions qui ciblent spécifiquement les logiciels malveillants, les services web, les SCADA/ICS et d’autres services.
Déterminer le niveau d’interaction approprié
Il existe des systèmes avec différents niveaux d’interaction.
L’interaction mesure l’activité qu’une implémentation en honeypot permet à l’attaquant. Plus l’interaction est permise, plus vous en apprendrez sur le pirate et ses intentions. Cependant, plus d’interaction implique plus de complexité dans la mise en œuvre et la maintenance.
Cela augmente également le risque qu’un pirate informatique s’échappe du conteneur du honeypot et attaque les systèmes de production réels.
Un honeypot à forte interaction utilise un système d’exploitation réel (ou des systèmes) tandis qu’un honeypot à faible interaction utilise l’émulation. La plupart des systèmes de honeypots commerciaux ou open-source se composent d’un menu de honeypots « design » au choix.
Types de packages de honeypots
L’approche de loin la plus simple consiste à mettre en œuvre un package. Il existe un grand nombre de produits disponibles dans le commerce (ou gratuitement !) qui répondent à un large éventail de besoins, tels que les suivants :
Kippo – Un honeypot à interaction moyenne qui vous permet de présenter un serveur SSH assez convaincant avec un système de fichiers. Kippo enregistre et permet même de rejouer l’attaque.
Glastopf – Un honeypot à faible interaction qui émule les vulnérabilités web connues telles que l’injection SQL.
Honeyd – Un honeypot à faible interaction qui simule plusieurs services et hôtes sur une seule machine via la virtualisation. En conséquence, il présente un environnement plus convaincant pour les pirates informatiques. Il est basé sur Linux/Unix mais peut émuler différents systèmes d’exploitation et services. Ceci est important car chaque système d’exploitation réagit différemment aux messages. Comme Honeyd émule les systèmes d’exploitation au niveau du stack TCP/IP, il peut tromper même les outils d’analyse réseau sophistiqués tels que nmap. Lorsqu’une attaque se produit, Honeyd peut tenter passivement d’identifier l’hôte distant. Le site web honeyd propose également une série de documents utiles « Know Your Enemy ».
Thug – Un honeypot côté client (honeyclient) qui émule un navigateur web. Il est conçu pour interagir automatiquement avec le site web malveillant afin d’explorer ses exploits et ses artefacts malveillants, souvent sous la forme de JavaScript.
Ghost USB – Il se monte comme une clé USB « fantôme » pour servir de honeypot pour les logiciels malveillants qui utilisent des clés USB pour se répliquer.
Dionaea – Un honeypot basé sur Windows pour collecter les malwares.
Ensembles complets de honeypots
Les honeypots tels que ceux mentionnés ci-dessus sont souvent regroupés, avec des capacités de reporting unifiées. Il s’agit notamment de :
HoneyDrive – Cette distribution Linux est une appliance virtuelle (OVA) avec Xubuntu. Il fournit plus de 10 logiciels de honeypot préinstallés et préconfigurés, ainsi que des outils d’analyse et de surveillance.
MHN (Modern Honeypot Network) – Ce projet open source utilise une base de données Mongo et fournit de nombreux outils.
KFSensor – Il s’agit d’un système complet de honeypots basé sur Windows. Il s’agit d’un système de qualité professionnelle avec un prix élevé, mais sa flexibilité est imbattable.
Construire son propre système de honeypots
Vous passerez beaucoup de temps à installer et à mettre au point des logiciels qui correspondent aux capacités de progiciels aussi complets que KFSensor, MHN, et HoneyDrive.
Si c’est là votre idée du plaisir, voici quelques considérations (https://www.sans.org/security-resources/idfaq/honeypot3.php) :
Enregistrez tous les paquets en provenance et à destination du système de honeypots. Considérez qu’il n’y a pas de raison légitime pour un tel trafic.
Utilisez un analyseur de protocole tel que Wireshark pour analyser les attaques. Vous devrez vous concentrer sur les paquets qui transitent entre le pare-feu et le honeypot. Soyez averti que cela nécessite beaucoup d’espace disque. Utilisez les capacités de filtrage de l’analyseur de protocole pour minimiser la taille de capture. Conservez l’ordre, la séquence, l’horodatage et le type de paquet des paquets de l’intrus, car ce sont des indices importants sur les intentions de l’intrus.
Pour un système Linux, assurez-vous d’inclure syslogd afin de pouvoir vous connecter à un serveur distant.
Utilisez les capacités de notification du pare-feu pour vous envoyer des alertes lorsque du trafic se produit vers ou depuis votre honeypot.
Détection de honeypots par les attaquants
Les attaquants ont leurs propres contre-mesures contre les honeypots.
Sachez que les attaquants échangent des informations sur des honeypots connus. La bonne nouvelle, c’est que, comme nous l’avons mentionné, de nombreux systèmes sont utilisés.
Cela rend plus difficile pour les attaquants la recherche d’une signature unique trahissant l’existence d’un honeypot. Certains experts pensent que chaque honeypot devrait avoir un « port de tromperie », un port ouvert qui permet aux attaquants de détecter le honeypot.
On suppose que cela convainc les attaquants qu’ils ont affaire à un adversaire sophistiqué et les dissuaderait de poursuivre leurs attaques.
Dans tous les cas, les attaquants utilisent ce qui suit pour déterminer s’ils sont tombés dans un honeypot. Vous pouvez utiliser cette liste pour améliorer votre système :
Il y a peu ou pas d’activité dans le système
Un système est trop facile à pirater
Des services et/ou ports inhabituels sont ouverts
Les systèmes d’exploitation et les logiciels ont été installés en utilisant les valeurs par défaut
Les noms de fichiers et de dossiers sont manifestement trop attrayants, par exemple, un fichier appelé « numéros de sécurité sociale »
Il y a très peu de logiciels installés.
Vous voulez toujours installer des honeypots ?
Avant de lancer votre honeypot, vous devez également prendre en compte les implications juridiques.
Les principales questions juridiques à considérer lorsqu’il s’agit de honeypots sont : le piégeage et l’intimité. Cet article et l’article précédent sur les honeypots donnaient un bref aperçu des honeypots.
Pour créer et/ou installer un système, vous aurez besoin d’informations plus détaillées et d’une personne ou d’une équipe ayant une expertise technique.
