Oggi parliamo un poco di Portspoof, inerente ai fantastici tool Cyber Deception, una fantastica utility che prende le tue porte TCP/IP inutilizzate e le trasforma in qualcosa di diverso ogni volta che un utente malintenzionato cerca effettivamente di scansionarle.

Questo tool è presente nella distribuzione Harbinger della difesa attiva. Ancora una volta, se vuoi questa distribuzione, vai su activecountermeasures.com, vai negli strumenti gratuiti, vedrai l’ADHD elencato lì.

Ora cominciamo e la prima cosa che dovremo fare è giocare con le regole di iptables. Ora il modo in cui Portspoof funziona è in ascolto su una porta, in questa situazione che sarà in ascolto sulla porta 4444 e creeremo un firewall iptables che prende tutto il traffico che arriva in una porta o in un intervallo di porte. E quindi questa situazione, l’intervallo tra 1 e 65.535 e lo reindirizzerà sulla porta 4444.

Ora quello che Portspoof sta per fare è ricevere quelle connessioni inizialmente e dirà che ogni singola porta che viene scansionata è aperta, quindi la cambieremo in modo che vada effettivamente con una varietà di servizi diversi.

Vedi il video per settare il tool meraviglioso:

Adesso sta funzionando.

Quindi ora se torno al mio sistema, questo è “in esecuzione dell’attacco” qui, puoi vedere che inizialmente tutte le porte erano chiuse. Ora tutte queste porte sono aperte e il motivo per cui afferma che quelle porte sono aperte è perché ha ricevuto un SYN / ACK e Portspoof sta inviando quei SYN / ACK.

Questo di per sé non è poi così interessante. In pratica sta solo dicendo sì, SYN / ACK, le porte aperte. Ma con Portspoof, possiamo effettivamente fare qualcosa di un po ‘più interessante.

Bene, una varietà di servizi diversi risponderà con una varietà di diversi banner. Ad esempio, se ti connetti a un server SSH, potrebbe tornare e dire SSH aperto nella versione specifica. È possibile identificare un server Web tramite il suo banner. Dice che è un server web Apache o altro. Possiamo usare quelle firme e, ad essere onesti, Nmap usa quelle firme per identificare adeguatamente ciò che l’applicazione remota è dall’altra parte. Quindi ora se eseguiamo una scansione vera e propria contro di essa, ora eseguiremo Nmap -AF, ma eseguiremo una scansione della versione e ciò che la scansione della versione farà, tenterà di identificare quali sono le versioni dei diversi servizi sul sistema.

Portspoof sta prendendo queste firme dal file delle firme e le sta inviando alla scandione con Nmap e in realtà sta prendendo una firma casuale da quel file di firme e le inserisce in Nmap.

Ora inevitabilmente avrai qualcuno da dire, beh, ovviamente, un attaccante sarà in grado di vedere bene attraverso questo. Sì, intendo che creerà molto rumore per l’attaccante, ma è questo il punto.

Ricorda, il tempo di rilevamento più il tempo di reazione deve essere inferiore al tempo impiegato da un attaccante per attaccare con successo la tua rete. Quindi ora abbiamo notevolmente aumentato il tempo impiegato da un utente malintenzionato per eseguire una semplice scansione delle porte sul sistema del computer di destinazione. È interessante, di per sé, aumenterà quel tempo e prenderà molti pentest team nella tua infra provando a interrograre questi servizi.