iDEFENSE labs windows platformunda çalisan honeypotunu duyurdu. Adi multipot olan ürün bence açik kodlu olmasi yönüyle çok iyi ve önü açik bir proje. iDEFENSE’ten gelen mail akabinde web sitelerine girip downloadu yapip hemen sisteme kurdum. Arayüz olarak çok profesyonel bir yapiya sahip oldugu söylenemez ayrica parali muadillerine göre çok fazla emulasyona da sahip degil ama yerel aginizdaki makinalarda birsey var mi yok mu diye makinanizda açik tutabileceginiz (2 Mb bellek yiyor hepsi o kadar) bir yazilim. Yok benim yerel agim yok ama adsl/kablo/dial-up internete baglandigim zaman bloklamanin haricinde kim benim makinama girmeye çalisiyor yada windows paylasimlarina erismeye çalisiyor diye kullanabilirsiniz. Lsass modülünün portunu degistirme imkaniniz var, böylelikle adsl modeminizden 135 ve 445. portalara gelen çagrilari Multipot’ta ayarladiginiz herhangi bir porta redirect edip,kim ne yapmaya çalisiyor görebilirsiniz.

Ayrica benim firewall loglarinda en çok karsilastigim MyDoom ve Optix’i koymuslar. Bunun haricinde Lsass içinde modül tasarlamislar, lsass için ortalikta dolasan malware’lerden herhangi birisi tarafindan ele geçirilmis makinalari “Infected Hosts kismindan” görmek mümkün.

Emülasyonunu yaptiklari modüller:

MyDoom – TCP 3127
Optix – TCP 2060 and 500
Bagle – TCP 2745 and 12345
Sub7 – TCP 27347
Kuang2 – TCP 17300
Veritas – TCP 6101 and 10000