Analisi forense di una macchina compromessa (honeypot)

Analisi forense di una macchina compromessa (honeypot)

Analisi forense di una macchina compromessa (honeypot)

I dati acquisiti dalle analisi forense da un honeypot (log, pacchetti di dati, file, ecc.) hanno realmente valore solo se si riesce a tradurli in informazioni utili, servendosi dell’ampia varietà di strumenti visti nell’articolo precedente circa il processo di analisi forense e catena di custodia. In questo modo si possono ricavere motivazioni, strumenti, strategie utilizzate dagli attacker.

I log dei firewall permettono di tracciare tutte le connessioni in ingresso e uscita dal nostro honeypot. Già sappiamo che il traffico riguardante tali sistemi è potenzialmente sospetto, ma una particolare attenzione va riservata alle connessioni in uscita in quanto sintomo evidente di una compromissione del sistema.

Dai log degli IDS si possono ottenere informazioni circa i tentativi di attacco da parte degli aggressori di cui è oggetto il sistema. Inoltre, in funzione delle caratteristiche del prodotto utilizzato, è possibile raggruppare alert simili, traffico di rete ed eventi in ordine cronologico, ricostruendo la sequenza degli eventi accaduti, generando report dettagliati e statistiche sugli attacchi.

Tutte le attività di un sistema vengono registrate localmente in vari modi a seconda del sistema operativo utilizzato. Quasi tutte le piattaforme sono in grado di svolgere questa attività di logging in remoto, permettendo di scoprire le modalità con cui un aggressore ha ottenuto l’accesso al sistema, la provenienza dell’attacco, i servizi attivati o interrotti. Inoltre è possibile confrontare il sistema attaccato con quello originale in modo da individuare eventuali modifiche o cancellazioni relative ai file locali.

Esistono molti altri tool quali il Sebek che consentono l’acquisizione delle sequenze di comandi impartiti dall’attacker e le risposte generate dal sistema oltre a creare delle copie dei file caricati sull’honeypot. Infine l’analisi dei pacchetti di rete catturati rivela moltissime informazioni circa i protocolli utilizzati, i tentativi di scansione, gli attacchi condotti e le vulnerabilità sfruttate.

Precedente Processo di analisi forense e catena di custodia Successivo Il funzionamento dell'algoritmo di crittografia RSA

Lascia un commento

*