Dell เปิดตัว DCEPT กับดักสำหรับตรวจจับการบุกรุกระบบเน็ตเวิร์ค

dell_secureworks_logo

ทีมวิจัยด้านความปลอดภัยของ Dell SecureWorks เปิดตัวเครื่องมือฟรีแบบ Open Source ที่ช่วยให้ผู้ดูแลระบบปฏิบัติการ Windows สามารถตรวจจับความพยายามในการบุกรุกระบบเครือข่าย รวมถึงค้นหาต้นตอของปัญหาได้อย่างแม่นยำ เช่น อุปกรณ์ผู้ใช้ที่ถูกโจมตี เรียกว่า DCEPT ผู้ที่สนใจสามารถลองดาวน์โหลดมาใช้มาได้แล้ววันนี้

Credit: Maksim Kabakou/ShutterStock
Credit: Maksim Kabakou/ShutterStock

โดยปกติแล้ว Windows จะทำการ Cache ข้อมูลล็อกอินไว้ในหน่วยความจำ และ Privileged Local Users เช่น Administrator สามารถดึงข้อมูลนี้ออกมาดูได้ เมื่อ Administrator ของ Domain ล็อกอินเข้าสู่คอมพิวเตอร์ที่ถูกแฮ็คเกอร์โจมตี ไม่ว่าจะผ่านหน้าเครื่อง ผ่านการรีโมท หรือผ่าน CLI รหัสผ่านของ Admin คนนั้นๆ จะถูกจัดเก็บไว้ใน Credential Cache แฮ็คเกอร์สามารถใช้เครื่องมือ เช่น Mimikatz เพื่อขโมย Credential เหล่านั้นออกมาได้ทันที (แฮ็คเกอร์ต้องมีสิทธิ์เป็น Privileged Local User ด้วยเช่นกัน)

DCEPT (Domain Controller Enticing Password Tripwire) เป็นเครื่องมือที่ถูกออกแบบมาเพื่อจัดการกับการแฮ็ครูปแบบดังกล่าว ประกอบด้วย

  • DCEPT Generation Server: สร้าง Credential ที่เป็น “กับดัก” บน Active Directory (AD)
  • DCEPT Agent: กระจายข้อมูล Credential กับดักนั้นไปยังหน่วยความจำของทุกๆ อุปกรณ์ในระบบเครือข่าย
  • DCEPT Sniffer: ตรวจจับ Kerberos Pre-authentication Packet ที่วิ่งมาหา AD ถ้าตรงกับ Credential กับดักที่สร้างไว้ DCEPT จะแจ้งเตือนผู้ดูแลระบบและระบุอุปกรณ์ที่ส่ง Packet นั้นๆ

ผู้ที่สนใจสามารถดาวน์โหลด DCEPT มาลองใช้งานได้ผ่านทาง GitHub ซึ่งมีคู่มือในการติตตั้งพร้อม

ที่มา: https://www.helpnetsecurity.com/2016/03/08/dell-open-sources-dcept-honeypot-tool-detecting-network-intrusions/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Check Point เผยแนวโน้มการโจมตีทางไซเบอร์ในปี 2020

เมื่อวันพุธที่ผ่านมานี้เราได้มีโอกาสเข้าร่วมการแถลงข่าวของ Check Point ผู้เชี่ยวชาญในโซลูชันด้านความมั่นคงปลอดภัยซึ่งได้มาเล่าถึงแนวโน้มด้านการโจมตีในปี 2020 เราจึงขอสรุปมาให้ติดตามกันครับ

Intel แพตช์ช่องโหว่ 6 รายการ แนะผู้ใช้อัปเดต

Intel ได้ประกาศออกแพตช์ช่องโหว่ของเดือนมกราคมจำนวน 6 รายการ ซึ่งส่งผลกระทบกับ VTune และ Intel Processor Graphics Driver สำหรับ Windows และ Linux …