DorothyFramework Honeynet.it

• Analisi malware in una Sandbox

• Jdrone infltrato nella Botnet

• Botnet rete di Bot

• Bot = Zombie, Computer infetat

• Nuova fonte di malware

Honeynet

• Honeynet = rete di honeypot

• Totale assenza di falsi positvi

• Aggiunta funzionalità a Dorothy

• Visione degli atacchi e abilità

Le fasi del progeto

• Implementazione honeypot Kippo SSH

• Funzionamento del sistema a regime

• Analisi dei dat

• Commento dei risultat

Building

• Test e verifca correto funzionamento

• Pubblicazione su internet con ip multpli

• Kippo Secure SHell - Setup

• Deploy virtual machine su host di virtualizzazione VMware

• Kippo scrito in Python simulatore SSH Server

• Disseminaton

• Honeypot VPS Amazon Web Services: Oregon, Tokyo, San Paolo

Building

• Centralizzazione dei dat su DBMS

• VPS Irlanda DBMS Slave + Kippo Graph

Il sistema a regime

• Tentatvi d'accesso ripettvi e utlizzo periodico delle stesse credenziali

• Script automatci

• Kippo Graph illustra che la sonda più colpita è quella negli USA

• Scan dopo poche ore di funzionamento a pieno regime

• Time frame febbraio-maggio 2014

• Il maggior fusso degli atacchi proviene dalla Cina

XIAOHANLinux Backdoor

• Incidente più signifcatvo

• Segnalazione su Virustotal.com

• Ricomparsa tramite variant ma stessa modalità operatva

• Identfcazione XIAOHAN honeypot Oregon

Risultat

Repository

• Malware

Conclusioni

• Progetazione rete di honeypot

• Deploy automatzzato honeynet

• Orchestrazione servizi di virtualizzazione

• Integrazione Dorothy

Thanks for your tme ;o)