Methodik

TroyanosYVirus nutzt ein verteiltes Netzwerk von **Honeypot**-Sensoren (Kodersystemen), die an mehreren geografischen Standorten eingesetzt werden, um Cyberangriffe in Echtzeit anzulocken, zu erkennen und zu analysieren. Ein Honeypot ist ein Computersystem, das so konfiguriert ist, dass es fur Angreifer als legitimes und attraktives Ziel erscheint. Wenn ein Angreifer mit dem Honeypot interagiert, werden alle seine Aktionen protokolliert und analysiert, was wertvolle Informationen liefert uber: - **Angriffsvektoren**, die derzeit verwendet werden - **Bosartige IPs** und ihre Geolokalisierung - **Zugangsdaten**, die bei Brute-Force-Angriffen getestet werden - **Malware**, die von Angreifern bereitgestellt wird - **Befehle**, die nach Erhalt des Zugangs ausgefuhrt werden

Wir implementieren mehrere Kontrollen zur Gewahrleistung der Datenqualitat: - **Deduplizierung**: Wir entfernen doppelte Ereignisse desselben Angriffs - **IP-Validierung**: Wir uberprufen, dass IPs offentlich und gultig sind - **Rauschfilterung**: Wir schliesen bekannte gutartige Scans aus (Shodan, Censys usw.) - **Malware-Verifizierung**: Hashes werden mit VirusTotal uberpruft - **Kontinuierliche Aktualisierung**: Daten werden jede Minute aktualisiert

Es ist wesentlich, die inharmenten Einschrankungen von Honeypot-Daten fur ihre korrekte Interpretation zu verstehen: - **Geografische Verzerrung**: Der Standort der Sensoren beeinflusst, welche Angriffe erfasst werden und welche ausserhalb des Erkennungsbereichs bleiben - **Gezielte Angriffe**: Sehr ausgefeilte oder gezielte Angriffe konnen Honeypots erkennen und umgehen - **Volumen vs. Auswirkung**: Ein hohes Angriffsvolumen bedeutet nicht immer grosere Gefahr; es konnen automatisierte Scans mit geringer Auswirkung sein - **Zuordnung**: Erkannte IPs konnen Proxys, VPNs, Tor-Knoten, kompromittierte Maschinen oder CDN-Infrastruktur sein. Das Vorhandensein einer IP impliziert nicht, dass ihr Inhaber fur die bosartige Aktivitat verantwortlich ist - **Falsch-Positive**: Einige legitime Sicherheitsscans (Forscher, Suchmaschinen, Uberwachungsdienste) konnen falschlich als Angriffe klassifiziert werden - **Automatisierte Daten**: Der gesamte Sammel-, Anreicherungs- und Bewertungsprozess ist automatisiert, was systematische Fehler einfuhren kann - **Keine endgultige Zuordnung**: Daten dieser Plattform sollten nicht als einzige Quelle fur die Zuordnung krimineller Aktivitaten verwendet werden

Wir folgen ethischen Grundsatzen in unserer Forschung: - **Keine offensive Interaktion**: Unsere Systeme sind passiv, wir greifen niemals zuruck an - **Offentliche Daten**: Wir veroffentlichen nur IPs, die nachweislich bosartige Aktivitaten durchgefuhrt haben - **Datenschutz**: Wir sammeln keine personlichen Daten von legitimen Benutzern - **Verantwortung**: Daten werden "wie besehen" ohne Garantien bereitgestellt - **Legitime Nutzung**: Daten sind fur Forschung und Verteidigung bestimmt, nicht fur Vergeltung