(Bilde: Picasa)

DCEPT

Gir bort honningkrukke mot Active Directory-angrep

Dell lanserer friprog-verktøy som kan avsløre innbrudd.

Dell Secureworks har utviklet et verktøy mot forsøk på inntrengning i Active Directory, som de nå utgir i åpen kildekode, under en fri lisens.

DCEPT (Domain Controller Enticing Password Tripware) fungerer som en såkalt «honningkrukke» eller hacker-felle. Produktet er myntet på en spesiell type angrep.

Nærmere bestemt forsøk på å hente ut påloggingsdetaljer tilhørende administratorkonto fra systemminnet på en allerede kompromittert datamaskin i et Windows-nettverksdomene.

Et slikt angrep forutsetter at en systemadministratorkonto har logget seg på klienten tidligere, noe som kan representere en risiko. Fordi Windows i utgangspunktet bufrer påloggingsinformasjon i minnet. Det finnes angrepsverktøy som kan hente ut dette via en pålogget lokalbruker.

– Dette er en teknikk spioner og avanserte trusselaktører har benyttet seg av for å bryte seg inn i datanettverk i årevis, skriver Dell i en kunngjøring.

DCEPT består av tre komponenter, som henholdsvis genererer unike honningtoken-passord for hver klient og sesjon, plasserer disse i systemminnet, samt en sniffeprosess som overvåker nettverkstrafikk og fanger opp bruk av disse.

Kildekode og dokumentasjon om hvordan løsningen kan implementeres er lagt ut på Github.

Til toppen