1、蜜罐与蜜网技术Introduction to Honeypot and Honeynet诸葛建伟狩猎女神项目组The Artemis Project内容概要n狩猎女神项目组n蜜罐技术简介 提出、发展历程、概念、Honeyd、发展趋势狩猎女神项目组项目组简介n蜜罐和蜜网技术研究组 北京大学计算机研究所信息安全工程研究中心项目组目前研究工作n蜜网维护及攻击案例分析 结合第三代蜜网技术、honeyd虚拟蜜罐工具、mwcollect/nepenthes 恶意软件自动捕获工具“利用蜜网技术深入剖析互联网安全威胁”-2005年全国计算机大会 Gen 2/Gen 3虚拟蜜网部署与测试技术报告“最新蜜罐与蜜网
2、技术及应用”-电脑安全专家2005年7月刊非常话题专栏4篇文章演讲者介绍n诸葛建伟提问规则n讲座共分为三节n每节中间休息10分钟 仅限对讲解内容相关的问题 对问题不感兴趣的可自由活动蜜罐技术概述互联网安全状况n安全基础薄弱 操作系统/软件存在大量漏洞 安全意识弱、缺乏安全技术能力网络攻防的非对称博弈n工作量不对称 攻击方:夜深人静,攻其弱点 防守方:24*7,全面防护蜜罐技术的提出n试图改变攻防博弈的非对称性 对攻击者的欺骗技术增加攻击代价、减少对实际系统的安全威胁 了解攻击者所使用的攻击工具和攻击方法 追踪攻击源、攻击行为审计取证蜜罐技术概述蜜罐技术的概念n“A security resou
3、rce whos value lies in”n对攻击者的欺骗技术n没有业务上的用途,不存在区分正常流量和攻击的问题n所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷n用以监视、检测和分析攻击蜜罐的分类n交互性:攻击者在蜜罐中活动的交互性级别n低交互型虚拟蜜罐 模拟服务和操作系统 只能捕获少量信息/容易部署,减少风险 例:Honeyd蜜罐技术优势n高度保真的小数据集 低误报率 低漏报率n能够捕获新的攻击方法及技术n并不是资源密集型n原理简单,贴近实际蜜罐技术概述HoneydnA virtual honeypot framework Honeyd 1.0(Jan 22,2005)by Niels
4、 Provos,Google Inc.Honeyd监控未使用IP地址Honeyd设计上的考虑n接收网络流量n模拟蜜罐系统 仅模拟网络协议栈层次,而不涉及操作系统各个层面 可以模拟任意的网络拓扑接收网络流量nHoneyd模拟的蜜罐系统接收相应网络流量三种方式Honeyd体系框架n路由模块n中央数据包分发器 将输入的数据包分发到相应的协议处理器路由模块nHoneyd支持创建任意的网络拓扑结构FTP服务模拟脚本case$incmd_nocase in QUIT*)echo-e 221 Goodbye.rexit 0;SYST*)echo-e 215 UNIX Type:L8r;HELP*)echo-
5、e 214-The following commands are recognized(*=s unimplemented).recho-e USER PORT STOR MSAM*RNTO NLST MKD CDUPrecho-e PASS PASV APPE MRSQ*ABOR SITE XMKD XCUPrecho-e ACCT*TYPE MLFL*MRCP*DELE SYST RMD STOUrecho-e SMNT*STRU MAIL*ALLO CWD STAT XRMD SIZErecho-e REIN*MODE MSND*REST XCWD HELP PWD MDTMrecho-
6、e QUIT RETR MSOM*RNFR LIST NOOP XPWDrecho-e 214 Direct comments to ftp$domain.r;USER*)个性化引擎n为什么需要个性化引擎?不同的操作系统有不同的网络协议栈行为 攻击者通常会运行指纹识别工具,如Xprobe和Nmap获得目标系统的进一步信息 个性化引擎使得虚拟蜜罐看起来像真实的目标日志功能nHoneyd的日志功能Feb 12 23:06:33 Connection to closed port:udp(210.35.128.1:1978-172.16.85.101:1978)Feb 12 23:23:40 Con
7、nection request:tcp(66.136.92.78:3269-172.16.85.102:25)Feb 12 23:23:40 Connection established:tcp(66.136.92.78:3269-172.16.85.102:25)sh scripts/smtp.shFeb 12 23:24:14 Connection dropped with reset:tcp(66.136.92.78:3269-172.16.85.102:25)Feb 12 23:34:53 Killing attempted connection:tcp(216.237.78.227:
8、3297-172.16.85.102:80)Wed Feb 12 23:23:40 UTC 2003:SMTP started from Port EHLO Honeyd的应用n反蠕虫 Snipe Blaster:add default tcp port 4444/bin/sh scripts/strikeback.sh$ipsrc蜜罐技术概述蜜罐技术的发展历程n蜜罐(Honeypot)物理蜜罐 虚拟蜜罐工具:DTK,Honeyd 专用蜜罐工具:mwcollect,nepenthes蜜场蜜罐技术研究热点n虚拟蜜罐工具休息、提问时间10分钟Gen 3 蜜网技术什么是蜜网技术?n实质上是一种研究型
9、、高交互型的蜜罐技术n一个体系框架虚拟蜜网n在一台机器上部署蜜网的解决方案 VMware&User Mode Linux蜜网项目组n非赢利性研究机构n目标 To learn the tools,tactics,and motives of the blackhat community and share these lessons learned蜜网技术的发展历程 Gen I 蜜网技术:概念验证nEd Balas,Indiana UniversityGen 3 蜜网技术蜜网的体系框架蜜网技术核心需求n数据控制机制 防止蜜网被黑客/恶意软件利用攻击第三方Gen 3 蜜网技术数据控制攻击数据包过滤
10、nSnort_inline:NIPSIPTABLESIP_QUEUESNORT_INLINEIP_QUEUEIPTABLESPacket FlowNETWORKNETWORKiptables-A FORWARD-i$LAN_IFACE-m state -state RELATED,ESTABLISHED-j QUEUE数据控制机制图示IPTableseth0Snort_inlineIPTableseth1SebekHoneyWall蜜罐主机Sebek蜜罐主机SwatchIPTables日志Snort报警信息eth2管理员对攻击者隐蔽丢弃修改无效化向外已知攻击方法网络连接数限制扫描、DoSEma
11、il报警Gen 3 蜜网技术数据捕获机制n快数据通道数据捕获机制体系结构图Gen 3 蜜网数据模型sensorPKsensor_id state name country_codeprocessPKsensor_idPKprocess_id src_ip pidosPKsensor_idPKos_id genre detailsys_socketPKsensor_idPKsys_socket_idFK1process_idFK2argus_id call typeargusPKsensor_idPKargus_id ip_proto local src_ip dst_ip src_port d
12、st_port src_pkts dst_pkts src_bytes dst_bytesFK1client_os_ididsPKsensor_idPKids_idFK2ids_sig_id sig_idFK1argus_id priorityids_sigPKsensor_idPKids_sig_id sig_name referenceprocess_treePKsensor_idPK,FK1child_processPK,FK2parent_processcommandPKsensor_idPKcommand_id nameprocess_to_comPKsensor_idPK,FK2p
13、rocess_idPK,FK1command_idsys_openPKsensor_idPKsys_open_idFK1process_id uid filenamesys_readPKsensor_idPKsys_read_idFK1process_id uid length dataSebek:系统行为数据p0fArgus:网络流数据Snort:入侵检测报警数据捕获机制图示Arguseth0eth1TcpdumpSebekHoneyWall蜜罐主机Sebek蜜罐主机hflowd系统行为数据eth2管理员对攻击者隐蔽Snortp0fIPTablessebekdhflow DB网络连接报警OS
14、pcap文件WalleyeGen 3 蜜网技术数据分析WalleyenPerl语言编写的Web GUI 通过DBI连接mysql数据库 mysql数据库中的信息由hflowd.pl提交Gen 3 蜜网技术Gen 3 蜜网的部署和测试n在单台主机上部署虚拟Gen 3蜜网nGen 3蜜网的部署过程nGen 3蜜网的测试n参考文档:狩猎女神项目组网站虚拟Gen 3蜜网网络拓扑虚拟Gen 3蜜网资源需求n硬件资源 单台主机P4以上/512M以上/40G以上/2块网卡Vmware的配置HoneyWall虚拟主机硬件设置Honeypot虚拟主机硬件设置安装HoneyWall配置HoneyWalln登录 不
15、允许root直接登录 roo/honey su-(root/honey)修改缺省口令Walleye的管理界面配置过程n蜜网的相关信息 蜜罐的IP地址 蜜网IP范围安装Honeypot操作系统n不同的patch策略 未打任何补丁捕获所有攻击 完全补丁zero-day exploits安装Sebek 3.0.xn解压tar包n修改sbk_install.sh测试n网络连通性 外网主机 ping 蜜罐主机攻击分析实例渗透测试工具攻击分析实例发起攻击执行指令:uname a;whoami;cd/etc;cat shadow;exit;攻击分析实例Email报警攻击分析实例-Walleye Overvi
16、ew视图内/外连接数内/外IDS报警流量及IDS报警统计攻击分析实例Walleye网络流视图p0f操作系统辨识Snort报警攻击案例分析Exploit网络流相关进程树视图攻击案例分析Exploit网络流详细视图攻击案例分析Exploit数据包解码视图攻击案例分析Exploit网络流检测结果攻击案例分析Exploit网络流数据包攻击案例分析Shell进程树视图攻击案例分析Shell进程详细视图攻击案例分析Shell进程read detail视图攻击案例分析Shell网络流详细视图攻击案例分析Shell网络流数据包解码视图狩猎女神项目组部署的蜜网狩猎女神项目组的虚拟蜜网休息、提问时间10分钟蜜罐与
17、蜜网技术的应用互联网安全威胁分析案例n黑客攻击 通过Samba服务漏洞获得root权限、安装后门如何发现僵尸网络?nIDS方法 必须充分了解僵尸程序,提取指纹信息作为IDS检测的特征恶意软件捕获器mwcollectn针对主动攻击漏洞传播的恶意软件(包括僵尸程序)n模拟RPC DCOM、LSASS等知名漏洞n对主动攻击漏洞恶意软件注入的shellcode进行分析,获取恶意软件传播使用的URLn通过URL获取恶意软件样本其他的僵尸程序来源nInternational mwcollect Alliance 共享捕获的恶意软件样本资源僵尸程序样本分析n任务获取僵尸网络控制信道信息 控制服务器host/
18、port 连接口令 加入的频道名/频道口令 用户名和昵称的结构 CHN|xxxxx?HoneyBotn僵尸网络跟踪工具观测Bot样本及僵尸网络数Bot样本数及Botnet数的曲线图((2004-9月-2005-9月)0200040006000800010000120001400016000910 11 12123456789Bot样本数Botnet数僵尸网络控制服务器分布僵尸网络控制中心节点分布(2005.9)美国36%荷兰8%澳大利亚7%德国7%英国4%加拿大4%瑞典4%意大利3%韩国2%其他国家21%中国中国4%4%僵尸网络规模分布僵尸网络规模分布图(2005.9)10K4.4%200-5
19、00200-50021.0%21.0%9月份活跃僵尸网络持续跟踪结果240个僵尸网络活跃情况(2005.9)160170180190200210220230时间活跃的僵尸网络数一个典型的僵尸网络规模变化情况一个典型的僵尸网络的规模变化(05.9.16-05.9.23)02004006008001000110192837465564738291100109118时间(小时)节点数使用mIRC进一步跟踪僵尸网络跟踪僵尸网络的一些经验n相当大比例的僵尸网络生命周期较短 首先使用自动化跟踪工具确定其存活情况、规模等信息,再进行选择跟踪互联网安全威胁分析案例n黑客攻击 通过Samba服务漏洞获得root
20、权限、安装后门什么是网络钓鱼攻击?n目标:获取个人敏感信息 用户名、口令、帐号ID、ATM PIN码或信用卡信息通过攻陷的网站服务器钓鱼n攻击者扫描网段,寻找有漏洞的服务器n服务器被攻陷,并安装一个rootkit或口令保护的后门工具n钓鱼者从加密的后门工具获得对服务器的访问权n下载已构建完毕的钓鱼网站内容n内容配置和网站测试工作 第一次访问钓鱼网站的IP地址可能是钓鱼者的真实IP地址n群发电子邮件工具被下载,并用以大规模散发包含假冒钓鱼网站信息的欺骗性垃圾邮件n潜在的受害者开始访问恶意的网页内容有,在4天内有265个HTTP请求到达,但不是因为从服务器发出的垃圾邮件所吸引没有,垃圾邮件的发送和
21、对钓鱼网站的访问被阻断受害者是否到达钓鱼网站 从一个小量级的Email地址输入列表进行垃圾邮件群发的Basic PHP script 可能仅仅是一次测试.从一个中量级Email地址输入列表进行垃圾邮件群发的Basic PHP script 群发电子邮件仅测试了邮件发送,可能是给钓鱼者同伙,Improved syntax and presentation.企图发送垃圾邮件,但被Honeywall所拦截.电子邮件活动 拥有更高级输入验证和分类的PHP脚本用于验证用户输入的PHP脚本 服务器后台处理 下载一个预先构建的以一家美国主要银行为目标的钓鱼网站 下载多个构建好的以eBay和多家美国银行为目标
22、的钓鱼网站网站行为 来自罗马尼亚的拨号IP网络的多个组织未知可能的攻击者SHV4 rootkitSimple rootkits that backdoors several binaries.安装的RootkitRoot.Root.获得的访问权限NETBIOS SMB trans2open buffer overflowWu-Ftpd File globbing heap corruption vulnerability 被利用的漏洞 Mole mass scanner.Superwu autorooter.攻击方法英国ISP数据中心 德国企业网络 部署位置Redhat Linux 7.3 x
23、86.Redhat Linux 7.1 x86.被攻陷的蜜罐 英国案例英国案例 德国案例德国案例 数据数据构建钓鱼网络 通过端口重定向钓鱼 n端口重定向器 透明地将连入的TCP连接转发到一个远程的目标主机 redir-lport=80-laddr=-cport=80-caddr=221.4.XXX.XXX(中国的IP)透明地将受害者重定向到主钓鱼网站 36小时的时间段内,721个受害IP地址通过僵尸网络进行钓鱼 n僵尸网络用于发送垃圾邮件 启动SOCKS代理服务利用蜜网技术剖析网络钓鱼攻击n对整个网络钓鱼攻击案例的全程跟踪 之前,对钓鱼攻击的幕后一无所知 通过蜜网技术展示了一个完整的网络钓鱼攻击的全过程谢谢!提问时间
