Il Fantasma nella Rete

Tue, 19 May 2026 00:00:00 +0000

TL;DR

Un honeypot è un sistema esca - qualsiasi connessione ricevuta è per definizione sospetta
La ricognizione interna (lateral movement iniziale) lascia tracce nei log prima che l'attaccante agisca
Analizzare chi ha contattato il honeypot rivela quali host sono compromessi o controllati da un attaccante
IDS/IPS signature-based non rileva zero-day - il comportamento anomalo verso risorse inesistenti lo fa

▶ $ history

tshark -r capture.pcap -Y "ip.dst == 192.168.10.99" -T fields -e ip.src -e tcp.dstport
dig -x 192.168.10.99

Sono le 14:33. Il SIEM ha flaggato una connessione TCP verso 192.168.10.99. Il problema: a quell'IP non c'è nessun server. Non c'è nessun servizio. Non c'è nessun device registrato nell'inventario.

Threat-Hunting on u-random

Il Fantasma nella Rete