|
|
Glastopf un Web Honeypot dynamique de nouvelle génération pour prendre le contrôle des Botnets IRC
Par Xavier Poli,
secuobs.com
Le 11/11/2009
Résumé : Glastopf est une solution évolutive de Web Honeypot capable de s'adapter dynamiquement aux attaques inconnues. Les données ainsi collectées pourraient par exemple permettre de prendre le contrôle d'un Botnet reposant sur l'utilisation d'un centre IRC de commandes et de contrôle. - Lire l'article
Les attaques à destination des applications Web proliférant et se complexifiant, Glastopf est un projet Open Source visant à fournir un Web Honeypot ( lien ) de dernière génération dont le déploiement et la configuration des sondes soient simples. Il se caractérise par son coté évolutif et le faible niveau d'interaction qu'il nécessite. Contrairement aux solutions analogues, Glastopf se présente sous la forme de codes python émulant de façon dynamique un serveur web minimaliste.
En s'affranchissant ainsi des modèles statiques habituels tout en gardant conjointement un système de signatures pour les vulnérabilités connues, son adaptabilité aux menaces peut lui permettre de détecter automatiquement des attaques jusqu'alors inconnues. Concrètement, Glastopf scanne tout d'abord les requêtes entrantes à la recherche de chaînes de caractères spécifiques. Lorsque ces chaînes sont identifiées, les requêtes sont analysées afin de fournir dynamiquement une réponse cohérente aux attentes de l'attaquant.
En proposant, dans un court délai, une réponse dynamique pouvant contenir des informations habituellement ciblées, comme les numéros de versions vulnérables d'une application Web, Glastopf pousse l'attaquant à lui envoyer ses charges utiles. Les fichiers malicieux sont alors collectés puis analysés en vue d'identifier des informations sensibles propres à l'attaquant. On pourrait par exemple imaginer la collecte de données IRC identifiantes via son usage afin d'infiltrer plus tard les Botnets responsables des attaques.
Pour le moment, les informations peuvent être collectées à partir d'attaques PHP se basant sur des inclusions de fichiers à distance RFI ( lien ) et locales LFI ( lien ) ou par l'intermédiaire des tentatives d'injections SQL ( lien ). Glastopf enregistre de plus les mots clés utilisés par les attaquants et s'en sert pour optimiser le référencement des sondes auprès des moteurs de recherche et attirer un plus grand nombre d'entre eux.
Les données collectées sont par ailleurs stockées dans une base MySQL qui est accessible via une interface Web prévue à cet effet. Glastopf devrait ainsi permettre d'obtenir des statistiques stratégiques sur les attaques réelles qui se destinent aux applications Web vulnérables. Il pourrait également être utilisé afin de détecter des machines corrompues au sein d'un parc informatique en fonction des requêtes qu'elles émettent en vue d'étendre les infections.
Le site du projet ( lien )
Les dépôts ( lien )
Source : Compte Twitter @DarkReading ( lien )
- Article suivant : Dispatcher un outil automatisé d'ingénierie inverse pour analyser les protocoles de communication non-documentés utilisés par les Botnets
- Article précédent : Un premier ver pour l’iPhone
- Article suivant dans la catégorie Outils : Dispatcher un outil automatisé d'ingénierie inverse pour analyser les protocoles de communication non-documentés utilisés par les Botnets
- Article précédent dans la catégorie Outils : HookSafe utilise l'hyperviseur XEN pour lutter contre les Rootkits KOH visant à infecter l'espace mémoire du noyau
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, microsoft, attaque, réseau, outil, vulnérabilité, audit, système, virus, internet, données, metasploit, présentation, linux, bluetooth, protocol, source, vista, scanner, réseaux, shell, rootkit, engineering, conférence, trames, paquet, téléphone, wishmaster, sysun, mobile, noyau, mémoire, botnet, https, rapport, libre, téléphones, google, patch, reverse, scapy, security, navigateur |
| Mini-Tagwall de l'annuaire video : | | | | security, vmware, biometric, virus, metasploit, windows, password, botnet, lockpicking, tutorial, attack, exploit, network, linux, crypt, source, iphone, server, secconf, shmoocon, conficker, engineering, virtual, ettercap, wimax, rootkit, wireshark, reverse, hackitoergosum, cisco, internet, hacker, systm, openssh, firewall, wireless, openbsd, openvpn, meterpreter, access, conference, knoppix, backtrack, arduino, brucon |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
