13 подписчиков
🍯 Respotter: Honeypot для обнаружения атак в сети 🕵️♂️
📌 Respotter — инструмент с открытым исходным кодом, разработанный для обнаружения атак с использованием утилиты Responder. Responder — популярный инструмент для атак LLMNR/NBT-NS Poisoning, который злоумышленники применяют для перехвата учетных данных в Windows-сетях. Respotter помогает вовремя распознать зловредную активность и защитить инфраструктуру от компрометации.
Как работает Respotter?
🔍 Honeypot для Responder: Respotter использует протоколы LLMNR, mDNS и NBNS для поиска поддельных имен хостов, которых нет в сети. Если Responder активен, он откликнется на запросы, что позволит Respotter его обнаружить.
📢 Оповещения и интеграция: При обнаружении активности Respotter может отправлять уведомления через webhooks в Slack, Teams или Discord, а также передавать события на сервер syslog для последующего анализа с помощью SIEM (оповещения ограничены одним предупреждением на IP в час.).
🔧 Помощь в конфигурации сети: Respotter подскажет, что может перестать работать, если вы решите отключить LLMNR, mDNS и NetBIOS. Если в процессе мониторинга будут найдены запросы, требующие внимания, инструмент даст рекомендации по их устранению. Как только все проблемы будут решены, вы сможете безопасно отключить протоколы на узлах в пределах подсети Respotter.
🛡️ Обнаружение других инструментов: Respotter также может выявить утилиты, похожие на Responder, такие как Inveigh, которые используются для выполнения схожих атак.
🔗 Продукт доступен на GitHub
#кибербезопасность #honeypot #LLMNR #SecureTechTalks #инфобезопасность
1 минута
6 сентября 2024