DorothyFramework Honeynet.it
• Analisi malware in una Sandbox
• Jdrone infltrato nella Botnet
• Botnet rete di Bot
• Bot = Zombie, Computer infetat
• Nuova fonte di malware
Honeynet
• Honeynet = rete di honeypot
• Totale assenza di falsi positvi
• Aggiunta funzionalità a Dorothy
• Visione degli atacchi e abilità
Le fasi del progeto
• Implementazione honeypot Kippo SSH
• Funzionamento del sistema a regime
• Analisi dei dat
• Commento dei risultat
Building
• Test e verifca correto funzionamento
• Pubblicazione su internet con ip multpli
• Kippo Secure SHell - Setup
• Deploy virtual machine su host di virtualizzazione VMware
• Kippo scrito in Python simulatore SSH Server
• Disseminaton
• Honeypot VPS Amazon Web Services: Oregon, Tokyo, San Paolo
Building
• Centralizzazione dei dat su DBMS
• VPS Irlanda DBMS Slave + Kippo Graph
Il sistema a regime
• Tentatvi d'accesso ripettvi e utlizzo periodico delle stesse credenziali
• Script automatci
• Kippo Graph illustra che la sonda più colpita è quella negli USA
• Scan dopo poche ore di funzionamento a pieno regime
• Time frame febbraio-maggio 2014
• Il maggior fusso degli atacchi proviene dalla Cina
XIAOHANLinux Backdoor
• Incidente più signifcatvo
• Segnalazione su Virustotal.com
• Ricomparsa tramite variant ma stessa modalità operatva
• Identfcazione XIAOHAN honeypot Oregon
Risultat
Repository
• Malware
Conclusioni
• Progetazione rete di honeypot
• Deploy automatzzato honeynet
• Orchestrazione servizi di virtualizzazione
• Integrazione Dorothy
Thanks for your tme ;o)