解析蜜罐技術(shù)要點及其潛的在問題

☆彼岸★花開

　蜜罐可以這樣來定義：它是一種其價值在于被探測、攻擊、破壞的系統(tǒng)。也就是說蜜罐是一種我們可以監(jiān)視觀察攻擊者行為的系統(tǒng)，其設(shè)計目的是為了將攻擊者的注意從更價值的系統(tǒng)引開，或者說是為了提供對網(wǎng)絡(luò)入侵的及時預(yù)警。\r\n　　本文將討論現(xiàn)有的蜜罐技術(shù)及相關(guān)技術(shù)的關(guān)鍵不同要點。\r\n　　基本的蜜罐技術(shù)\r\n　　不同類型的蜜罐的主要區(qū)別主要在于攻擊者與應(yīng)用程序或服務(wù)的交互能力上。真正有漏洞的系統(tǒng)準(zhǔn)許攻擊者在各個層面上與系統(tǒng)交互。攻擊者可以探測、攻擊、破壞這種系統(tǒng)，將漏洞用作進(jìn)一步攻擊的一種工具。因而這種系統(tǒng)稱為高交互性的蜜罐。\r\n　　這就要求安全人員密切監(jiān)視并詳細(xì)分析攻擊者的行為。我們可能期望這種蜜罐被用于監(jiān)視一個試圖通過猜測SSH用戶名和口令而突破進(jìn)入系統(tǒng)的攻擊者。一般而言，我們不太可能模仿一個可令攻擊者長久相信的系統(tǒng)(如Unix)外殼，因此我們更喜歡高交互性的系統(tǒng)。這有點類似于許多人所認(rèn)為的典型蜜罐，這種有漏洞系統(tǒng)的系統(tǒng)帶有額外的手段來幫助用戶進(jìn)行監(jiān)視。\r\n　　從理論上講，任何一個有漏洞的機(jī)器都可充當(dāng)一個高交互性的蜜罐。將它連接到網(wǎng)絡(luò)上，很快你就會發(fā)現(xiàn)首次攻擊。然而，在這樣一種系統(tǒng)上，很難執(zhí)行一次完整的取證分析，這也正是“蜜墻”(位于蜜網(wǎng)和外部世界之間的設(shè)施)經(jīng)常被使用的原因。它可從網(wǎng)絡(luò)上收集數(shù)據(jù)和攻擊者的擊鍵信息，并將其全部記錄在一個中心的數(shù)據(jù)倉庫中，以備日后的取證分析。記錄關(guān)鍵數(shù)據(jù)，使得攻擊者無法通過使用加密協(xié)議隱藏其活動。\r\n　　第二種類型，即低交互性蜜罐，一般來說它要模仿漏洞而不是展現(xiàn)真實有漏洞的系統(tǒng)，因此攻擊者并不能與它在各個層面上交互。因為這個原因，這種蜜罐更加安全，因為你不必?fù)?dān)心攻擊者在系統(tǒng)上的活動，但它也就極大地喪失了靈活性。一種低交互性的蜜罐的典型例子即nepenthes，它可以在最少用戶干預(yù)的情況下，自動收集基于Windows的蠕蟲。Nepenthes是一種收集惡意代碼樣本的優(yōu)秀工具，但卻并不能提供Windows主機(jī)的完整模擬。另外一個程序，honeyd準(zhǔn)許用戶構(gòu)建擁有60000臺主機(jī)的模擬網(wǎng)絡(luò)，這些主機(jī)看似運行著不同的操作系統(tǒng)和服務(wù)。\r\n　　蜜罐工具h(yuǎn)oneytrap的設(shè)計目的是為了捕獲未知的攻擊。它之所以如此，在于它在所有的TCP端口上監(jiān)聽，并動態(tài)監(jiān)視每個端口上的加載句柄。例如，nepenthes可以捕獲針對現(xiàn)有的某種服務(wù)的攻擊，如在445/TCP上的microsoft-ds，但它卻不能處理到達(dá)先前未知端口的連接企圖。Honeytrap擁有簡單的句柄，它可以記錄關(guān)于TCP會話的信息，重新發(fā)出先前捕獲的響應(yīng)，在發(fā)出FTP命令時可以下載遠(yuǎn)程文件，或者說，它可以建立到達(dá)另外一種程序的代理連接。\r\n　　在最低的交互水平上，我們有一個稱為“網(wǎng)絡(luò)望遠(yuǎn)鏡”的工具，或者說darknet，它所宣稱的IP地址空間上并沒有連接任何的主機(jī)。操作人員并不必使用honeyd等工具來偽造一個網(wǎng)絡(luò)，他只需觀察到達(dá)這個網(wǎng)絡(luò)段的數(shù)據(jù)通信。因為在這個網(wǎng)段上并沒有真實的主機(jī)，對地址空間的掃描很容易被發(fā)現(xiàn)�！熬W(wǎng)絡(luò)望遠(yuǎn)鏡”還可以顯示欺騙性的“退信”的證據(jù)，因為它的一些地址是被互聯(lián)網(wǎng)上其它地方的機(jī)器偽造的，因為這個望遠(yuǎn)鏡可接收RST或SYN+ACK數(shù)據(jù)包(TCP協(xié)議)，或應(yīng)答或ICMP不可到達(dá)的消息(UDP協(xié)議)。\r\n\r\n

xwbest

很高深的技術(shù)�。�

☆彼岸★花開

　最有名的莫過于CAIDA的“網(wǎng)絡(luò)望遠(yuǎn)鏡”，其數(shù)據(jù)可被用于分析Witty和Slmmer等蠕蟲的傳播。\r\n\r\n　　客戶端蜜罐\r\n\r\n　　在傳統(tǒng)的服務(wù)器蜜罐(如NielsProvos的honeyd)和客戶端蜜罐之間存在著一些相對較新的差異�？蛻舳嗣酃薏⒉皇潜粍拥氐却�攻擊，而是主動搜索惡意服務(wù)器，典型情況下，也就是圍繞著存在客戶端瀏覽器漏洞的Web服務(wù)器，但也不限于此�？蛻舳嗣酃抟呀�(jīng)得以擴(kuò)展，它已經(jīng)可以調(diào)查對辦公應(yīng)用程序的攻擊。\r\n\r\n　　客戶端蜜罐的例子有MITREHoneyClient、Shelia、Honeymonkey、CaptureHPC。這些客戶端蜜罐都按照同樣的原理工作。我們可以從一個專業(yè)的系統(tǒng)開始，由于此系統(tǒng)通�；�于某種虛擬化技術(shù)，所以在被感染后，它可自動被重置為干凈的狀態(tài)。這種系統(tǒng)可與潛在的惡意服務(wù)器交互，并可以監(jiān)視系統(tǒng)，可以在與服務(wù)器交互期間或之后查找未授權(quán)的狀態(tài)改變。例如，如果我們在windows的system32文件夾內(nèi)發(fā)現(xiàn)了額外的文件，并在注冊表中發(fā)現(xiàn)了新的鍵值，我們就可以知道，機(jī)器已經(jīng)被惡意代碼感染，并且操縱了我們的機(jī)器在系統(tǒng)重新啟動時運行某種代碼。當(dāng)然，未授權(quán)的狀態(tài)改變還可以包括對網(wǎng)絡(luò)連接、內(nèi)存、進(jìn)程等的改變。\r\n\r\n　　筆者試用了CaptureHPC2.0，此工具準(zhǔn)許使用不同的客戶端，如Firefox、RealPlayer、MicrosoftWord等軟件。它還擁有一個選項，即可以收集惡意軟件，并記錄客戶端和Web服務(wù)器之間的tcpdump捕獲。\r\n\r\n　　客戶端蜜罐需要與服務(wù)器交互，目的是為了決定這個服務(wù)器是否是惡意的。采用高交互性的客戶端蜜罐，要實現(xiàn)這個目標(biāo)，花費的成本是很高的。因此選擇與哪個服務(wù)器交互可以極大地增加找到網(wǎng)絡(luò)上惡意服務(wù)器的比率。我們可以使用幾種資源，但“搜索”也許是訪問大量Web服務(wù)器的最傳統(tǒng)的方法。\r\n\r\n　　交互水平的區(qū)別還適用于客戶端蜜罐。驅(qū)動一個客戶端與服務(wù)器交互，并且根據(jù)狀態(tài)的改變將服務(wù)器歸為惡意服務(wù)器的客戶端蜜罐是一種高交互性的蜜罐。另外一方面，一種低交互性的客戶端蜜罐使用了模擬的客戶端，如用wget代替IE瀏覽器，通過靜態(tài)分析(如簽名)來評估服務(wù)器的惡意屬性。惡意傳播的危險在高交互性的客戶端蜜罐上是很現(xiàn)實的，安全人員可以通過低交互性的客戶端蜜罐來減少這種危險。SpyBye和HoneyC屬于低交互性的客戶端蜜罐，它們可以執(zhí)行簡單的基于規(guī)則的匹配和簽名匹配，用以檢測客戶端的攻擊。\r\n\r\n　　速度上的增加和較低的資源消耗是這些低交互性的客戶端蜜罐的最大好處。不過，因為這種蜜罐通常都是基于規(guī)則和簽名的，所以它們并不能檢測自己以前未見過的攻擊(零日漏洞攻擊)。高交互性的蜜罐更容易檢測這種攻擊，因為這種蜜罐并不需要預(yù)先知道這種攻擊的知識便可以檢測它。\r\n\r\n　　特定應(yīng)用蜜罐\r\n\r\n　　現(xiàn)在既有通用的蜜罐可以提供或模仿有漏洞的系統(tǒng)，又有應(yīng)用或特定協(xié)議的蜜罐。有許多蜜罐設(shè)計目的是通過偽裝成開放的郵件傳送服務(wù)器或開放代理來捕獲垃圾郵件。如Jackpot這個小程序，它由Java語言編寫，它可以假裝成一個可以轉(zhuǎn)發(fā)郵件的配置錯誤的SMTP服務(wù)器。實際上，它將所有的消息發(fā)送給用戶，然后繞過垃圾制造者的測試消息，并避免受垃圾郵件侵?jǐn)_。(通常情況下，垃圾制造者會試圖發(fā)送一個測試郵件，其目的是為了確認(rèn)主機(jī)是否是一個真實的開放服務(wù)器)。另外，Proxypot也有不俗的表現(xiàn)。

☆彼岸★花開

另外HTTP，特別是Web應(yīng)用蜜罐受到了特別的關(guān)注。而谷歌的HackHoneypot則提供了不同的種類的模塊，其中之一看似是一個配置錯誤的PHPShell。PHPShell準(zhǔn)許管理員通過Web界面來執(zhí)行外殼命令，但對它的訪問卻至少受到口令的限制。谷歌這個工具擁有一個中央接口，它準(zhǔn)許操作人員監(jiān)視用戶正試圖執(zhí)行的命令。\r\n\r\n　　一種常見的漏洞利用技術(shù)是使用遠(yuǎn)程文件包含。一些PHP配置準(zhǔn)許執(zhí)行程序，以便于包含可以駐留在其它Web或FTP服務(wù)器上的文件。在某種特定的程序在進(jìn)行包含之前，它并不仔細(xì)檢查其輸入。攻擊者能夠經(jīng)常在Web服務(wù)器上執(zhí)行他選擇的代碼。另外一種方法是，部分PHPHoP腳本會試圖分析下載有效負(fù)載，作為對惡意請求的一種直接響應(yīng)。前一種方法可能更有用，因為其設(shè)計目的是為了在服務(wù)器上運行，同時又不會干擾實際服務(wù)器。但在Web應(yīng)用程序中還有其它的漏洞，如SQL注入、直接命令注入等。\r\n\r\n　　與其它蜜罐相比，有一些蜜罐能更好地捕獲特定類型的攻擊，而且理想情況下，幾種蜜罐的混合能夠提供對當(dāng)前攻擊的最佳洞察方式。例如，用于PHPHoP的ErrorDocument處理程序不能正確地捕獲POST數(shù)據(jù)，因為Apache并沒有將這種信息交給ErrorDocument處理程序。為此，你可能需要定制編寫Web服務(wù)器，或者用你希望模擬的文件名來創(chuàng)建PHP腳本。\r\n\r\n　　蜜罐的潛在問題\r\n\r\n　　在部署一個蜜罐或蜜網(wǎng)時，保密是極為重要的。如果每個人都知道這是一個陷阱，除了一些自動化的攻擊工具(如一些蠕蟲)，不會有人嘗試攻擊它。還有一些蜜罐，特別是一些低交互性的蜜罐，由于其模擬的服務(wù)，會很容易就被攻擊者識別出蜜罐的身份。對于一個復(fù)雜系統(tǒng)的任何模仿總與真實的系統(tǒng)有不同點。例如，可以有多種方法讓一個程序決定它是否運行在一個虛擬機(jī)內(nèi)部，并且惡意軟件正日益增多地使用這些技術(shù)來與蜜罐技術(shù)對抗�？梢赃@樣說，攻擊者正在想方設(shè)法找到檢測蜜罐的手段和技術(shù)，而蜜罐制造者也在努力改善蜜罐，使得攻擊者難于發(fā)現(xiàn)其“指紋特征”。\r\n\r\n　　客戶端的攻擊框架仍然存在，這種攻擊包含著一些自動化的機(jī)制，這使得用客戶端蜜罐來檢測和分析惡意Web服務(wù)器更加困難。例如，如果客戶端蜜罐從一個特定的網(wǎng)絡(luò)訪問一個惡意服務(wù)器，客戶端攻擊就無法觸發(fā)或只激發(fā)一次。由于不斷重復(fù)的交互，惡意服務(wù)器將不可能再發(fā)動客戶端攻擊，這就使得安全人員在跟蹤和分析惡意服務(wù)器及其攻擊時遇到困難。\r\n\r\n　　另外一個值得關(guān)注的問題是，如果一個高交互性的蜜罐被破壞或利用了，那么攻擊者會嘗試將它用作一個破壞或控制其它系統(tǒng)的墊腳石。理想情況下，蜜罐應(yīng)當(dāng)使用多種機(jī)制來防止這一點，操作人員應(yīng)當(dāng)緊密注意防止對無辜第三方的損害。\r\n\r\n　　總結(jié)\r\n\r\n　　在過去的這幾年里，安全人員利用各種蜜罐技術(shù)已經(jīng)收集了攻擊者及其攻擊方法的大量數(shù)據(jù)，而且我們期望這種趨勢繼續(xù)發(fā)展下去。現(xiàn)在，蜜罐正越來越多地被用于主流的應(yīng)用中，并且安全人員可以使用的蜜罐工具也日益增多。我們尤其希望看到客戶端蜜罐領(lǐng)域能有一個突破性的發(fā)展，因為我們看到瀏覽器的漏洞特別是IE的漏洞更是Windows平臺的一個重要的威脅。Web應(yīng)用程序是跨平臺的應(yīng)用中最為薄弱的環(huán)節(jié)。我們也看到，一些更新的應(yīng)用程序，如VoIP和SCADA蜜罐也大行其道，這是因為對這些協(xié)議的濫用已經(jīng)引起人們的重視。

☆彼岸★花開

另外HTTP，特別是Web應(yīng)用蜜罐受到了特別的關(guān)注。而谷歌的HackHoneypot則提供了不同的種類的模塊，其中之一看似是一個配置錯誤的PHPShell。PHPShell準(zhǔn)許管理員通過Web界面來執(zhí)行外殼命令，但對它的訪問卻至少受到口令的限制。谷歌這個工具擁有一個中央接口，它準(zhǔn)許操作人員監(jiān)視用戶正試圖執(zhí)行的命令。\r\n　　一種常見的漏洞利用技術(shù)是使用遠(yuǎn)程文件包含。一些PHP配置準(zhǔn)許執(zhí)行程序，以便于包含可以駐留在其它Web或FTP服務(wù)器上的文件。在某種特定的程序在進(jìn)行包含之前，它并不仔細(xì)檢查其輸入。攻擊者能夠經(jīng)常在Web服務(wù)器上執(zhí)行他選擇的代碼。另外一種方法是，部分PHPHoP腳本會試圖分析下載有效負(fù)載，作為對惡意請求的一種直接響應(yīng)。前一種方法可能更有用，因為其設(shè)計目的是為了在服務(wù)器上運行，同時又不會干擾實際服務(wù)器。但在Web應(yīng)用程序中還有其它的漏洞，如SQL注入、直接命令注入等。\r\n　　與其它蜜罐相比，有一些蜜罐能更好地捕獲特定類型的攻擊，而且理想情況下，幾種蜜罐的混合能夠提供對當(dāng)前攻擊的最佳洞察方式。例如，用于PHPHoP的ErrorDocument處理程序不能正確地捕獲POST數(shù)據(jù)，因為Apache并沒有將這種信息交給ErrorDocument處理程序。為此，你可能需要定制編寫Web服務(wù)器，或者用你希望模擬的文件名來創(chuàng)建PHP腳本。\r\n　　蜜罐的潛在問題\r\n　　在部署一個蜜罐或蜜網(wǎng)時，保密是極為重要的。如果每個人都知道這是一個陷阱，除了一些自動化的攻擊工具(如一些蠕蟲)，不會有人嘗試攻擊它。還有一些蜜罐，特別是一些低交互性的蜜罐，由于其模擬的服務(wù)，會很容易就被攻擊者識別出蜜罐的身份。對于一個復(fù)雜系統(tǒng)的任何模仿總與真實的系統(tǒng)有不同點。例如，可以有多種方法讓一個程序決定它是否運行在一個虛擬機(jī)內(nèi)部，并且惡意軟件正日益增多地使用這些技術(shù)來與蜜罐技術(shù)對抗。可以這樣說，攻擊者正在想方設(shè)法找到檢測蜜罐的手段和技術(shù)，而蜜罐制造者也在努力改善蜜罐，使得攻擊者難于發(fā)現(xiàn)其“指紋特征”。\r\n　　客戶端的攻擊框架仍然存在，這種攻擊包含著一些自動化的機(jī)制，這使得用客戶端蜜罐來檢測和分析惡意Web服務(wù)器更加困難。例如，如果客戶端蜜罐從一個特定的網(wǎng)絡(luò)訪問一個惡意服務(wù)器，客戶端攻擊就無法觸發(fā)或只激發(fā)一次。由于不斷重復(fù)的交互，惡意服務(wù)器將不可能再發(fā)動客戶端攻擊，這就使得安全人員在跟蹤和分析惡意服務(wù)器及其攻擊時遇到困難。\r\n　　另外一個值得關(guān)注的問題是，如果一個高交互性的蜜罐被破壞或利用了，那么攻擊者會嘗試將它用作一個破壞或控制其它系統(tǒng)的墊腳石。理想情況下，蜜罐應(yīng)當(dāng)使用多種機(jī)制來防止這一點，操作人員應(yīng)當(dāng)緊密注意防止對無辜第三方的損害。\r\n　　總結(jié)\r\n　　在過去的這幾年里，安全人員利用各種蜜罐技術(shù)已經(jīng)收集了攻擊者及其攻擊方法的大量數(shù)據(jù)，而且我們期望這種趨勢繼續(xù)發(fā)展下去�，F(xiàn)在，蜜罐正越來越多地被用于主流的應(yīng)用中，并且安全人員可以使用的蜜罐工具也日益增多。我們尤其希望看到客戶端蜜罐領(lǐng)域能有一個突破性的發(fā)展，因為我們看到瀏覽器的漏洞特別是IE的漏洞更是Windows平臺的一個重要的威脅。Web應(yīng)用程序是跨平臺的應(yīng)用中最為薄弱的環(huán)節(jié)。我們也看到，一些更新的應(yīng)用程序，如VoIP和SCADA蜜罐也大行其道，這是因為對這些協(xié)議的濫用已經(jīng)引起人們的重視。\r\n\r\n

tt170

很高深的技術(shù)啊！

yuxuangzs

希望能做出這樣的教程 就好了

ptman2011

學(xué)習(xí)了.............