Respotter, ortamınızda Responder’ı başlatan saldırganları tespit etmek için tasarlanmış açık kaynaklı bir bal tuzağıdır.
Bu uygulama, herhangi bir DNS sorgusuna yanıt verirken davranışını istismar ederek Responder’ın etkin örneklerini belirler. Respotter, var olmayan bir ana bilgisayar adını (varsayılan: Loremipsumdolorsitamet) sorgulamak için LLMNR, mDNS ve NBNS protokollerini kullanır. Bu isteklerden herhangi biri yanıt alırsa, Responder muhtemelen ağınızda çalışıyordur.
Respotter, webhook’ları Slack, Teams veya Discord’a gönderebilir. Ayrıca, bir SIEM tarafından alınmak üzere bir syslog sunucusuna olay göndermeyi de destekler.
“Kolayca dağıtılabilen, hafif bir Responder Honeypot istedim. Bir tane bulamadım, bu yüzden Respotter ile kırmızı takım kurmayı denedikten sonra bir komut dosyası yazdım. Bunu bilerek birkaç özellik ile tasarladım,” dedi Respotter’ın yaratıcısı Baden Erb Help Net Security’ye.
Respotter’ı GitHub’da ücretsiz olarak bulabilirsiniz.
Mutlaka okuyun: