Automated Identification of Attacking Tools in a Honeypot

Abstract

The study of malware is a recurring topic in the security environment and the tool right for that job is Honeypot. Being a heavily monitored network decoy is possible to identify with a high rate of fidelity attacks performed against it. This reliability is used to research and study about the attacks it captures. They can be used with the goal of creating signatures of those attacks. Therefore if the hacker used a program to execute the attack it’s easy to create a pattern of activity in the network. It’s possible to reverse engineer the activity of attacking tool and build a pattern of indicators that it throws clustering them in a group of indicators identifying that actor.

Die Untersuchung von Malware ist ein wiederkehrendes Thema in der Sicherheitsumgebung. Das für diesen Job geeignete Werkzeug ist Honeypot. Als stark überwachte Netzwerk-Lockvogel kann man sich mit einer hohen Anzahl von Treue-Angriffen gegen ihn identifizieren. Diese Zuverlässigkeit wird verwendet, um die Angriffe zu untersuchen und zu untersuchen. Sie können mit dem Ziel verwendet werden, Signaturen dieser Angriffe zu erstellen. Wenn der Hacker ein Programm zur Ausführung des Angriffs verwendet, ist es daher einfach, ein Aktivitätsmuster im Netzwerk zu erstellen. Es ist möglich, die Aktivität des Angriffswerkzeugs rückzuentwickeln und ein Muster von Indikatoren aufzubauen, das sie in einer Gruppe von Indikatoren gruppiert, die diesen Akteur identifizieren.