Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Honeypots 'nieuwe WannaCry' hebben voor het eerst beet, maar vangst is geen worm

Honeypots die opgezet zijn om exploits van de BlueKeep-kwetsbaarheid in Windows op te vangen, hebben voor het eerst stelselmatig beet. Echter lijkt de exploit die gebruikt wordt om de honeypots aan te vallen geen worm, wat goed nieuws is.

De honeypots worden volgens een rapport op Wired geïnfecteerd met een cryptominer, die de rekenkracht van doelwitten gebruikt om cryptovaluta te delven. Welke munt het om gaat, is niet duidelijk. Systemen worden individueel via het web opgespoord en de malware gaat niet door naar naburige machines. De honeypots zijn van security-onderzoeker Kevin Beaumont.

Security-onderzoeker Marcus Hutchins bestempelt het als 'opvallend' dat een bekende kwetsbaarheid als deze zo lang onbenut is gebleven en dat de 'uitbraak' nu blijft bij een vrij beperkte uitbuiting van de kwetsbaarheid. Volgens hem zou het gaan om een 'low-level actor' die 'out-of-the-box pentest-tools gebruikt'.

De BlueKeep-kwetsbaarheid zit in oudere Windows-versies, waaronder Windows 7 en XP. Het gaat om een vulnerability in Remote Desktop Services waarmee van een afstand code kan worden uitgevoerd. Microsoft vergeleek bij de bekendmaking de potentiele impact van een exploit met die van WannaCry, de rampzalige ransomware die in 2017 huishield en naar schatting van Wired vier tot acht miljard dollar aan schade aanrichtte. Al met al lijkt het erop dat de campagne die Microsoft, maar ook de NCSC en de NSA voerden zijn vruchten heeft afgeworpen.

Door Mark Hendrikman

Nieuwsposter

03-11-2019 • 11:47

23 Linkedin Google+

Reacties (23)

Wijzig sortering
Ben niet bekend met de honeypots. Hoe kan je op een veilige manier de exploits binnen hengelen ?
Het zijn PC's die gescheiden zijn en dus niet andere PC's in het netwerk kunnen besmetten. In mijn geval als ik met virussen experimenteer is het een virtualbox machine die op host niveau er voor zorgt dat elke verbinding naar de overige PC's niet kan. In mijn geval doe ik dat via de firewall in de windscribe vpn waarbij mijn virtuele netwerk achter de nat van virtualbox zit. Door die nat functie wordt het verkeer via de routerings regels van mijn host gestuurd en houdt deze firewall ook binnen de VM stand. Erbuiten draait er altijd een antivirus mee in het geval dat ze uit een VM kunnen breken. Overigens gebruik ik een speciale inmiddels niet langer beschikbare versie van virtualbox welke automatisch spoofing toe past om VM detectie te ontwijken.

Baremetal is de makkelijkste weg om een geroote android telefoon en wifi te gebruiken. Via de app VPN Hotspot kun je zorgen dat al het verkeer via een vpn wordt gestuurd en je op die manier geen detecties veroorzaakt bij je internet provider.

Je ziet dus al de trend, je moet ten alle tijden een losse (virtuele) pc gebruiken die je erna wiped. Je hebt ten alle tijden een VPN nodig om te voorkomen dat je provider je niet afsluit wegens verdacht verkeer en je moet er voor zorgen dat je test netwerk gescheiden is van alle PC's die niet bij de test horen. Als laatste zal je bij een VM spoofing moeten toepassen zodat je PaFish kunt doorstaan en er voor moeten zorgen dat guest host interactie niet goed werkt.

Mocht je dit willen doen omdat je als bedrijf wilt weten of bestanden veilig zijn raad ik aan het niet zelf te doen maar het bestand door te sturen naar reverse.it . Zij zullen het in veilige machines uitvoeren en jij krijgt vervolgens een rapport van wat zij observeren.
"Baremetal is de makkelijkste weg om een geroote android telefoon en wifi te gebruiken. "

Wat is baremetal in deze context?
Elke spare / test PC die je maar kunt hebben.
Voornaamste voordeel is dat je geen last hebt van VM detectie, in mijn geval werdt de laptop inclusief beveiliging software aangeleverd door de klant en was het mijn taak deze te besmetten om de nieuwe antivirus paketten te testen zodat zij een geinformeerde keuze konden maken.
antivirus loopt per definitie achter op virussen
een checker maken die controleert of de registry is veranderd lijkt mij effectiever
Exploitable machine(s) aan het internet hangen en die monitoren.
Exploitable machine(s) aan het internet hangen en die monitoren.
Dat is doorgaans niet hoe een honeypot werkt. Een honeypot is een specialistisch stuk software welke in staat is om zich voor te doen als een exploitable machine of zelfs een heel netwerk. Hier hangt echter een stuk alarmering en logging aan vast die alle exploit attempts nauwlettend in de gaten houdt zodat er alarm kan worden geslagen. Het doel is vaak tevens om een vanuit een aanvaller interessante machine aan te bieden om zo de aandacht van de rest van het netwerk af te leiden.

Het simpelweg aan het internet hangen van een exploitable machine kan je nauwelijks een honey pot noemen wanneer je dit met gespecialiseerde software vergelijkt. Bovendien is het ook niet slim gezien je niet kan uitsluiten dat vanuit die machine andere machines niet geïnfecteerd kunnen raken. Het doel van een honeypot is juist om niet gepnwd te worden maar voortijdig alarm te slaan.
Het kan toch ook een goed functionerende website/ftpsite zijn die niet als doel heeft een hack te ontwaren maar als doel heeft een doelgroep (terroristen, hackers, pedos, criminelen) te ontmaskeren door ze in kaart te brengen, overtredingen van wetten waar te nemen en hun relaties vast te liggen? DoD FTP comes to mind. Of heeft dat soort mechanisme een andere naam?
Dat is toch ook precies die 'monitoring' die hij noemt. Het is wat simplistisch misschien maar het spreekt jouw uitleg niet tegen.

Een Honeypot is een honeypot, of het nou puur softwarematig is of niet.
Het doel van een honeypot is juist om niet gepnwd te worden maar voortijdig alarm te slaan.

Dat ben ik niet helemaal met je eens, het kan ook een doel zijn om een hacker "binnen te laten" in een honeypot omgeving en vervolgens te monitoren wat ze doen. Alarm slaan is dan niet slim want dan weten ze dat ze detetecteerd zijn, het kan veel leerzamer zijn om te zien wat voor acties ze uitvoeren in de tijd na het pwnen.
Alarm slaan is dan niet slim want dan weten ze dat ze detetecteerd zijn, het kan veel leerzamer zijn om te zien wat voor acties ze uitvoeren in de tijd na het pwnen.
Alarm sla je meestal niet richting een aanvaller maar juist richting de security en beheerorganisatie. Daar hoort een aanvaller niets van te merken. Een goede honeypot gaat ver in het overtuigen dat het systeem gepwnd is of kan worden maar echt misbruik maken en een aanvaller echt foothold laten krijgen brengt risico's met zich mee.

[Reactie gewijzigd door Bor op 4 november 2019 08:51]

Een honingspot is een waarschuwing /alarm systeem, je zet letterlijk iets heel interessant in de etalage maar als iemand eraan komt gaan er alarmbellen af.
Zo kan het zijn dat in de geldlade bij de bankbediende de briefjes van 500 en 200 als honeypot dienen, als iemand daar aankomt gaat er een stil alarm af. Of Tweakers zet een databank met users/wachtwoorden dat nog vrij eenvoudig te benaderen valt. In dat geval is de data fake en is de echte veel beter beveiligd maar tegen dat de aanvaller dat door heeft is het al te laat.
Doordat nooit iemand aan die honeypot komt is het zeer eenvoudig te detecteren als iemand dat wel doet, een simpele tcp connectie kan al voldoende zijn.

Mocht je ooit een bank aanvallen kan je er gif op nemen dat er eerst een reeks honeypots staan, als die allemaal afgaan kan men tijdelijk systemen afschermen (al dan niet automatisch) en gaat men uiteraard meteen gaan uitzoeken wie/wat/waar. Gezien het gemiddeld 6 maand duurt tegen een bedrijf door heeft dat ze ongewenste digitale bezoekers hebben kan het nogal interessant zijn.

Dit scenario is bij mijn weten eerder uitzonderlijk waarbij de honeypot diende om na te gaan of er nieuwe malware is die van een specifieke kwetsbaarheid gebruik maakt.
een unpatched testmachine met W7 of XP er op aan het net en wachten maar ...
Net als een pot honing in het bos (of een jonge vrouw om een spion of regeringsafgevaardigde geheimen te ontfutselen)
een unpatched testmachine met W7 of XP er op aan het net en wachten maar ...
Net als een pot honing in het bos (of een jonge vrouw om een spion of regeringsafgevaardigde geheimen te ontfutselen)
Een unpatched testmachine is niet altijd even handig, vooral als je de nodige tools niet hebt. Een testmachine binnen je eigen netwerk is sowieso niet aan te raden als je wilt experimenteren mer virussen en/of exploits.

Een exploit kan ook in je netwerk nestelen als je bijv. een NAS of een HTPC hebt en vanuit daar je exploit verder uitbreiden binnen je thuis netwerk. Een exploit als Wannacry zoekt juist binnen je netwerk af naar bestanden die belangrijk voor je zijn (foto's, video's, documenten e.d.). Ik weet alleen niet of er ook ransomware voor NAS systemen daadwerkelijk bestaat, maar de kans acht ik juist wel groot dat het bestaat.

een unpatched testmachine wordt ook wel als een zombie device gezien. Als je een fysieke machine hebt, dan mag de ISP waar je zit, je afsluiten omdat je verdachte verkeer binnenhaalt en ze niet willen dat door iemand de gehele netwerk gaat platleggen (botnet).
Daarnaast komen virussen en exploits niet zo maar binnen, je moet eerst geïnfecteerd worden. Dit kan gebeuren door zowel advertenties die geïnfecteerd zijn of waarbij sites gekaapt worden en voordat de site geladen is, al een script inladen. Andere manier is om een geïnfecteerde bestand naar binnen te halen of sites te bezoeken waarbij er geen geldige certificaat is en dus niet achterhaald kan worden of de verbinding wel veilig verloopt. Het kan ook zijn dat malafide sites een geldige certificaat hebben, waardoor je denkt dat de site wel bonafide is, terwijl het niet zo is.

Met een unpatched Windows XP en W7 machine kom je het web al niet op, omdat de browsersupport EOL is, tenzij je Chrome of IE11 erop zet. Ook heb je vanaf Windows 7 de ingebouwde Windows Defender.

Echter is het niet aan de raden om zelf virussen en exploits te zoeken als je er zelf geen verstand van hebt. Onderzoekers daarentegen weten meestal wat ze doen en hebben altijd logging en monitoring aan staan.

Zoals vermeld in het artikel gaat het om een vulnerability in de RDP services van Windows, iets wat meestal een doel is van kwaadaardige exploits, gezien een RDP sessie toegang geeft tot meer machines. Voor zover ik het weet zijn er in het verleden wel exploits en zero days in de RDP services gevonden, echter weet ik niet of die exploits ook daadwerkelijk werden misbruikt en hoeveel mensen daadwerkelijk slachtoffer van zijn geworden.

Naar mijn inziens zou dit ook betekenen dat bijv. door nep Microsoft mensen je wordt gebeld en dat er een vulnerability is gevonden en dat hun jouw machine moeten updaten, zo kunnen zij dus er voor zorgen dat zij een vulnerability alsnog plaatsen en toegang hebben tot jouw gegevens en netwerk.

OT:
Hoeveel procent van alle machines zouden nog op Windows XP zitten? Windows 7 begint wel langzamerhand af te bouwen en steeds meer mensen gaan dan naar Windows 10. Ik ben dan ook benieuwd of deze exploit ook Windows 10 treft, of alleen oudere Windows versies die EOL zijn en alleen zeer kritische updates krijgen.
een unpatched testmachine met W7 of XP er op aan het net en wachten maar ...
Wel 10 seconden wachten ofzo :)
Moet je voor de grap eens je logging op je internet router aanzetten en loggen naar SNMP.
De hele dag, 24/7, wordt er aan jou modem-deur geklopt.. wie zal dat zijn?
Nou.. Hackers!!
Nou.. Hackers!!
Dat zullen eerder bots zijn die gewoon alle IP-adressen af gaan en proberen o.b.v. oude/bekende vulnerabilities íets van data proberen te jatten. Als mensen gericht je thuisnetwerk proberen te hacken heb je daar wel zeer interessant spul staan.
Nou daar heb je het aan het verkeerde eind, het volstaat om in dezelfde range te zitten als een bekend bedrijf om een persoonlijke target te worden, het zou maar eens moeten dat je toevallig een deel daarvan bent. Maar goed 99% is weldegelijk bots, en daarom zelfs niet kwaadaardig, google gaat zo heel wat af om nieuwe websites te vinden...
Google helpt meestal ook een heel end ...(de UK versie toch)
https://en.wikipedia.org/wiki/Honeypot_(computing)
Volgens hem zou het gaan om een 'low-level actor' die 'out-of-the-box pentest-tools gebruikt'.
Dat noemen we in normaal Nederlands dus gewoon een scriptkiddie. :Y)


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True