Télescope

Objectifs du réseau «télescope»

large_bear_with_honeypotsLe réseau "télescope" est un ensemble de pots de miel sur les connexions Internet dédiées à capturer le code malveillant.

Il fournit également des traces de réseau d'attaques (de NetFlow à PCAP données brutes) pour l'analyse des données.

S'il vous plaît nous contacter si vous voulez les utiliser. Il est possible en cas d'intérêt de recherche ou de partenariat industriel.

 

Capture de code malveillant et de fichiers binaires

  • Émulation de vulnérabilités
    • Évitez les sondes compromis et les attaques propagation
  • Capture de malwares à étudier par l'équipe de virologie.
  • Sandboxes et AV utilisés pour analyser et identifier les malwares
  • Collecter toutes les informations concernant les attaques
    • Source IP, emplacement géographique, serveur hébergeant le binaire, préparations
  • Capture des attaques Zero-Day pour définir des défenses pro-actives

Capture de flux de réseau et de traces

  • Capture dans PCAP et NetFlow des traces d'attaque
  • Analyse des mécanismes d'infection et de propagation
  • Objectif
    • Définition des défenses périmétriques pro-actives
    • Bloquer les attaques à leur source

Les malwares à grande échelle et les traces d'attaques recueillent en utilisant des pots de miel à faible interaction

 Pots de miel à faible interaction

25 instances déployées (environ 100 dans la toute première version)

  • Dionaea
    • RPC/NetBIOS, HTTP, FTP/TFTP, SIP/VoIP, MSSQL
  • Amun
    • Vulnérabilités émulées via des plugins python
  • Kippo
    • La force brute SSH fonctionne toujours et l'accès à la coquille minimaliste
    • Les sessions et les tentatives de force brute sont consignées
  • Projet Leurrecom.org honeypot
    • Projet de pots de miel distribués, Hébergement de 2 sondes
  • Glastopf/Glaspot
    • Vulnérabilités du WEB
  • Snort
    • Détection d'intrusion sur toute la gamme SDSL/24 IP
  • Dans le passé,
    • Nepenthes, Dionaea ancêtre
    • Hali en colaboration avec l'Université du Luxembourg, honeypot SSH comme Kippo

Réseau de honeypot moderne-MHN

Serveur et outils centralisés pour gérer les réseaux honeypot

  • Déployez et agrégez des pots de miel
  • Conçu pour les grands réseaux de honeypot distribués
  • Données stockées dans MongoDB
  • Connexion des capteurs via HPFeeds
    • Protocole de publication-abonnement authentifié léger
    • prend en charge les charges utiles binaires arbitraires
  • Données normalisées via Mnemosyne
    • Persistance immuable pour hpfeeds
    • Normalisation des données pour permettre l'analyse agnostique des capteurs
    • Exposer les données normalisées via une API RESTful
  • Flux d'attaques visualisés avec Honeymap
    • Lit le flux en direct de hpfeeds
    • Affiche les emplacements GPS sur une carte du monde SVG

Voir http://threatstream.github.io/mhn/pour plus de détails.

Index

 

 

Certaines valeurs

Total

Stats depuis le 09-09-2008 à la 21-12-2014

  • Nombre total d'attaques 910703870
  • Nombre d'attaques possibles 536501702
  • Nombre d'attaques malveillantes 374202168
  • Nombre de malwares offerts 249291391
  • Nombre de malwares téléchargés 39893927

 

Nombre d'attaques par jour

 

MHN_dashboard

Carte de l'attaque en temps réel

 

MHN_MAP