Methodik

Wie wir Bedrohungen sammeln und analysieren

Uberblick

TroyanosYVirus nutzt ein Netzwerk von **Honeypots** (Kodersystemen), die strategisch auf 5 Kontinenten verteilt sind, um Cyberangriffe in Echtzeit anzulocken, zu erkennen und zu analysieren. Ein Honeypot ist ein Computersystem, das so konfiguriert ist, dass es fur Angreifer als legitimes und attraktives Ziel erscheint. Wenn ein Angreifer mit dem Honeypot interagiert, werden alle seine Aktionen protokolliert und analysiert, was wertvolle Informationen liefert uber: - **Angriffsvektoren**, die derzeit verwendet werden - **Bosartige IPs** und ihre Geolokalisierung - **Zugangsdaten**, die bei Brute-Force-Angriffen getestet werden - **Malware**, die von Angreifern bereitgestellt wird - **Befehle**, die nach Erhalt des Zugangs ausgefuhrt werden

Infrastruktur

Unser Netzwerk besteht aus **5 T-Pot Honeypot-Servern** an folgenden Standorten:

🇫🇷

Paris

Frankreich

Westeuropa

🇩🇪

Frankfurt

Deutschland

Mitteleuropa

🇵🇱

Warschau

Polen

Osteuropa

🇸🇬

Singapur

Asien-Pazifik

🇨🇦

Toronto

Kanada

Nordamerika

Diese geografische Verteilung ermoglicht es uns, Angriffe aus verschiedenen Regionen der Welt zu erfassen und einen globalen Uberblick uber die Bedrohungslandschaft zu erhalten.

T-Pot: Multi-Honeypot-Plattform

Wir verwenden **T-Pot**, eine All-in-One Honeypot-Plattform, entwickelt von Deutsche Telekom Security. T-Pot integriert mehrere spezialisierte Honeypots:

Cowrie

SSH/Telnet-Honeypot mit mittlerer/hoher Interaktion. Erfasst Zugangsdaten, Befehle und Malware.

Dionaea

Erfasst Malware, die Schwachstellen in SMB, HTTP, FTP, MySQL usw. ausnutzt.

Honeytrap

Honeypot mit niedriger Interaktion zur Erfassung generischer Netzwerkangriffe.

Conpot

Simuliert industrielle Steuerungssysteme (ICS/SCADA).

Mailoney

SMTP-Honeypot zur Erfassung von Spam und Phishing.

ADBHoney

Emuliert Android Debug Bridge zur Erkennung von Angriffen auf Android-Gerate.

Glutton

SSH-Proxy-Honeypot, der Verbindungen an Cowrie weiterleitet.

Heralding

Erfasst Zugangsdaten aus mehreren Protokollen (FTP, SSH, Telnet, HTTP usw.).

Datenfluss

Erfassung

Honeypots protokollieren alle Angreifer-Interaktionen: IPs, Ports, Zugangsdaten, Befehle, Payloads.

→

Aggregation

Daten werden an einen zentralen Server gesendet, wo sie normalisiert und in Elasticsearch gespeichert werden.

→

Anreicherung

IPs werden mit Geolokalisierung, ASN/ISP-Daten und Reputation aus externen Quellen angereichert.

→

Analyse

Risikobewertungen werden berechnet, Muster identifiziert und Bedrohungen klassifiziert.

→

Visualisierung

Verarbeitete Daten werden uber Web und API zur offentlichen Abfrage bereitgestellt.

Berechnung der Risikobewertung

Jede erkannte IP erhalt eine **Risikobewertung** (0-100) basierend auf mehreren Faktoren:

Faktoren

25%

Angriffsvolumen

Gesamtzahl bosartiger Ereignisse

20%

Angriffsvielfalt

Verschiedene Arten durchgefuhrter Angriffe

15%

Betroffene Honeypots

Anzahl der Honeypots, die die IP erkannt haben

20%

Assoziierte Malware

Ob die IP bekannte Malware bereitgestellt hat

10%

Aktualitat

Zeit seit der letzten Aktivitat

10%

Externe Reputation

Daten aus Blacklists und OSINT-Quellen

Skala

0-39

Niedrig

Minimale oder sporadische Aktivitat

40-59

Mittel

Moderate Aktivitat, mogliches Scanning

60-79

Hoch

Signifikante Aktivitat, aktive Angriffe

80-100

Kritisch

Schwere Bedrohung, mehrere Angriffsvektoren

Datenqualitat

Wir implementieren mehrere Kontrollen zur Gewahrleistung der Datenqualitat: - **Deduplizierung**: Wir entfernen doppelte Ereignisse desselben Angriffs - **IP-Validierung**: Wir uberprufen, dass IPs offentlich und gultig sind - **Rauschfilterung**: Wir schliesen bekannte gutartige Scans aus (Shodan, Censys usw.) - **Malware-Verifizierung**: Hashes werden mit VirusTotal uberpruft - **Kontinuierliche Aktualisierung**: Daten werden jede Minute aktualisiert

Einschrankungen

Es ist wichtig, die Einschrankungen von Honeypot-Daten zu verstehen: - **Geografische Verzerrung**: Der Standort der Honeypots beeinflusst, welche Angriffe erfasst werden - **Gezielte Angriffe**: Sehr ausgefeilte Angriffe konnen Honeypots erkennen - **Volumen vs. Auswirkung**: Ein hohes Angriffsvolumen bedeutet nicht immer grosere Gefahr - **Zuordnung**: IPs konnen Proxys, VPNs oder kompromittierte Maschinen sein - **Falsch-Positive**: Einige legitime Scans konnen als Angriffe klassifiziert werden

Ethische Uberlegungen

Wir folgen ethischen Grundsatzen in unserer Forschung: - **Keine offensive Interaktion**: Unsere Systeme sind passiv, wir greifen niemals zuruck an - **Offentliche Daten**: Wir veroffentlichen nur IPs, die nachweislich bosartige Aktivitaten durchgefuhrt haben - **Datenschutz**: Wir sammeln keine personlichen Daten von legitimen Benutzern - **Verantwortung**: Daten werden "wie besehen" ohne Garantien bereitgestellt - **Legitime Nutzung**: Daten sind fur Forschung und Verteidigung bestimmt, nicht fur Vergeltung

Haufig gestellte Fragen

Sind die Daten in Echtzeit?

Die Daten werden jede Minute aktualisiert. Die Live-Karte zeigt Angriffe der letzten Sekunden.

Kann ich die Daten zum Blockieren von IPs verwenden?

Ja, aber wir empfehlen die Kombination mit anderen Quellen. Berucksichtigen Sie den Kontext und das Risiko von Falsch-Positiven.

Bieten Sie eine API fur den Datenzugriff an?

Wir arbeiten an einer offentlichen API. Kontaktieren Sie uns, wenn Sie fruhen Zugang fur Forschungszwecke benotigen.

Wie kann ich beitragen?

Sie konnen Falsch-Positive melden, Daten Ihrer Honeypots teilen oder an der Projektentwicklung mitarbeiten.

Haben Sie Fragen zu unserer Methodik? Kontaktieren Sie uns.

Kontakt →