VoIP and Hacking | Consulenza Documentazione

Riesaminando il post pubblicato ieri mi ha colto il dubbio che fosse opportuno qualche chiarimento su come sia possibile fare in modo che tutti i socket aperti sulla virtual-machine trappola appartengano a HoneyBOT e non a servizi reali.

Se infatti è possibile rilasciare il resto dei socket aperti per default dal sistema, intervenendo attraverso Pannello di Controllo -> Strumenti di Amministrazione -> Servizi, e disattivando pazientemente i servizi corrispondenti, non è possibile farlo con “RPC locator”, per cui diventa necessario assumere un approccio differente per disabilitare la porta 445 (TCP e UDP).

Lo si può comunque ottenere facilmente intervenendo sul Registro di Configurazione:

• Occorre avviare l’ Editor di Registro  (Regedit.exe).
• Localizzare la key seguente:

HKLM\System\CurrentControlSet\Services\NetBT\Parameters

• Nella parte destra della finestra recuperare la opzione chiamata TransportBindName.
• Fare un doppio click su tale opzione, e quindi cancellare il valore di default (”\Device\”).
• Chiudere l’ editor di registro.
• Riavviare il computer (nel nostro caso la virtual machine.

Dopo il riavvio, una verifica fatta con:

c:\>netstat -ab

Connessioni attive

Proto  Indirizzo locale    Indirizzo esterno    Stato          PID
TCP    honeyvirt:1040      honeyvirt:0          LISTENING      264
[mmc.exe]

evidenziera che non vi è più nulla in attesa sulla porta 445.

Un ulteriore vantaggio offerto dal collocare un honeypot in una macchina virtuale consiste anche nel fatto di poter attivare, stavolta sulla macchina ospite, ulteriori tool di monitoraggio dell’attività dell’honeypot, come ad esempio wireshark, che sarà in grado, in modalità promisqua, di catturare ed analizzare tutto il traffico destinato alla macchina virtuale e da essa proveniente.

Send post as PDF to