Dell เปิดตัว DCEPT กับดักสำหรับตรวจจับการบุกรุกระบบเน็ตเวิร์ค

ทีมวิจัยด้านความปลอดภัยของ Dell SecureWorks เปิดตัวเครื่องมือฟรีแบบ Open Source ที่ช่วยให้ผู้ดูแลระบบปฏิบัติการ Windows สามารถตรวจจับความพยายามในการบุกรุกระบบเครือข่าย รวมถึงค้นหาต้นตอของปัญหาได้อย่างแม่นยำ เช่น อุปกรณ์ผู้ใช้ที่ถูกโจมตี เรียกว่า DCEPT ผู้ที่สนใจสามารถลองดาวน์โหลดมาใช้มาได้แล้ววันนี้

โดยปกติแล้ว Windows จะทำการ Cache ข้อมูลล็อกอินไว้ในหน่วยความจำ และ Privileged Local Users เช่น Administrator สามารถดึงข้อมูลนี้ออกมาดูได้ เมื่อ Administrator ของ Domain ล็อกอินเข้าสู่คอมพิวเตอร์ที่ถูกแฮ็คเกอร์โจมตี ไม่ว่าจะผ่านหน้าเครื่อง ผ่านการรีโมท หรือผ่าน CLI รหัสผ่านของ Admin คนนั้นๆ จะถูกจัดเก็บไว้ใน Credential Cache แฮ็คเกอร์สามารถใช้เครื่องมือ เช่น Mimikatz เพื่อขโมย Credential เหล่านั้นออกมาได้ทันที (แฮ็คเกอร์ต้องมีสิทธิ์เป็น Privileged Local User ด้วยเช่นกัน)

DCEPT (Domain Controller Enticing Password Tripwire) เป็นเครื่องมือที่ถูกออกแบบมาเพื่อจัดการกับการแฮ็ครูปแบบดังกล่าว ประกอบด้วย

• DCEPT Generation Server: สร้าง Credential ที่เป็น “กับดัก” บน Active Directory (AD)
• DCEPT Agent: กระจายข้อมูล Credential กับดักนั้นไปยังหน่วยความจำของทุกๆ อุปกรณ์ในระบบเครือข่าย
• DCEPT Sniffer: ตรวจจับ Kerberos Pre-authentication Packet ที่วิ่งมาหา AD ถ้าตรงกับ Credential กับดักที่สร้างไว้ DCEPT จะแจ้งเตือนผู้ดูแลระบบและระบุอุปกรณ์ที่ส่ง Packet นั้นๆ

ผู้ที่สนใจสามารถดาวน์โหลด DCEPT มาลองใช้งานได้ผ่านทาง GitHub ซึ่งมีคู่มือในการติตตั้งพร้อม

ที่มา: https://www.helpnetsecurity.com/2016/03/08/dell-open-sources-dcept-honeypot-tool-detecting-network-intrusions/