|
|
文章作者:log0
: ?8 m& L9 d8 B: k- j原始出处:http://onhacks.org/% I1 N, R; i! S# Q3 D
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)% l" O2 g) u8 [9 s
===) f7 z* ]" f6 Z4 Z4 Z5 P0 R
谁在入侵我的系统?
7 V( c( |9 ^8 T0 c: d1. 谁入侵我
8 K1 j E6 j3 U" B6 W) ?2. 何谓蜜罐# ^% w3 d3 ]: \9 {7 k% I" g1 Z
3. 设置陷阱" d7 [5 t+ o, t! t
4. 开始反击
k2 b" X" U+ L! a% N( `$ ^" N5. 分析罪证
& R! h1 P, X, X6. 改善蜜罐
# I# ?$ |, B- T6 V7 i7. 文章总结
. d" D- _- W' P+ p===7 @ h8 x" n1 b5 d4 o8 ?
1. 谁入侵我
( u( U- G& u9 {; _我们的电脑无时无刻都受到攻击,怎麽找出是谁呢?. g, P3 X4 y/ F: \
这篇文章不会为你马上带来答案,但将会引导你去发现这个问题的可能解法。若果你以前没有接触过蜜罐,这将会是一个很有趣的概念。# Q$ k+ _+ {* \1 E0 q
2. 何谓蜜罐. I* ]( R- S9 h" ? R- n. Q% o
蜜 罐 (honeypot) 的唯一用途是给黑客控制,它和普通的电脑看上去无异,并且有平常的系统上的程式,可能是一台 Windows 也可以是一台 Linux。透过这部被控制的电脑,这些不知情的黑客还以为轻鬆得到肉鸡,在他们为所欲为之时,我们可以静观黑客的所作所为,使我们能学会及掌握他们的技术和动机等等。利用他们不小心留下的证据,加上一些网路地址 ( IP address )等资料,我们可以掌握黑客的真正身份。根据蜜罐的定义,它没有其他正常的用途,而且也不应该有,所以它是不应该有外界接触到,因此所有的访问都当是恶意的,这除去了我们要分办正常和恶意的连接。! r2 [( H* [& \; Y
蜜罐主要分几种类,又可以是多种类组合而成,但具体的分为以下两种:' T% V2 F7 u( h0 s! E3 v! U# i
1. 高互动性蜜罐 ( high interaction honeypot )9 J/ _9 z5 H2 o+ ^% w. I: f, h( N
2. 低互动性蜜罐 ( low interaction honeypot )* T8 E' s. A6 _9 N! v
高 互动性蜜罐 – 这种蜜罐和普通的电脑无异,他们是可以完完全全给控制并和普通电脑无异,唯一不同是所有行为都给纪录下来。由于其像真度极高,黑客可以在内为所欲为,但这也意味着电脑可以用来攻击其他无辜的人,所以我们要加入侵检测系统及防牆去降低伤害性,并且要设置一个很重要的蜜牆 (Honeywall),用以把恶意的入侵隔离。所以,高互动性也有一定的危险性。这种搭建需要一正台电脑或虚拟电脑,所以相对也要更多资源。这篇文章将不会解说这个安装方法。2 k" ~9 h5 @6 f+ \; ~: H
低互动性蜜罐 – 这种蜜罐的特色是它只是模彷一些已知漏洞 (Vulnerability) 的行为来欺骗一些自动化或简单的攻击方法,因为不会模彷程式的所有功能,亦因为我们只是接收数据而不执行,在收到攻击数据 (Attack vector) 之后,我们就会把连线断掉,此时我们已把想要的资料记录下来了,所以这个有效的降低了危险性。和高互动性蜜罐不同,这不用到真正可被攻击控制掉的程式。
% W3 c, w2 t1 F" j这篇文章将会谈级如何在 Linux (Ubuntu 9.04) 上搭建一台低互动性蜜罐。作者选用 Ubuntu (或Debian) 是因为这比较用容搭建这个蜜罐起来。: n; y0 D' I( [1 C
3. 设置陷阱" y/ P. ~+ k5 }1 Y8 K
今 次我们用的是 Nepenthes 低互动性蜜罐。它的概念主要是模彷已知漏洞的程式,模彷的程度是足以暪骗一些程式和低水准的黑客,而且因为攻击只是被记录而无被执行,所以比较安全。再者,它的模彷功能都主要为 Windows 的漏洞,即使被攻击了,Windows 的攻击也不会影响 Linux 。它亦有一个很重要的功能,就是能够把病毒样本下载并储起来,让你可以以后慢慢研究剖析黑客的行为或最新在野的病毒。
9 n# ^; t/ A! A1 q( t8 S# qUbuntu/Debian 的用户可以这样安装 :
: m" A' p, Y/ s$apt-get install nepenthes
8 y' _0 V: V& d5 q或者是去官方网站下载4 ^7 y+ \; o& r# W8 q; h6 u0 y
http://nepenthes.carnivore.it/
! a$ [, Q3 e# R- T5 ?4. 开始反击
+ W5 Y# g9 d( \) w1 t0 `$nepenthes+ u7 x7 `+ v( Q1 J# z7 s+ R2 w% e; B
就可以开始了!
6 g- j& P4 R; T4 w若果要有更多的资讯,应去修改 /etc/nepenthes/nepenthes.conf ,找出这数行。
/ P7 x2 W+ X5 \// logging
! a& w! q& W- e4 V' a- x9 d41 “logattack.so”, “log-attack.conf”, “”
3 b" \. O/ ]* { l1 g42 “logdownload.so”, “log-download.conf”, “”
9 U5 m" B$ Y$ V2 D# [43 // “logirc.so”, “log-irc.conf”, “” // needs configuration
; a! a& s9 _: w% J; u/ S44 // “logprelude.so”, “log-prelude.conf”, “”% i* t& q8 F8 C B
45 “loghexdump.so” “” “”7 v! e4 r6 l I0 N5 \) {$ b3 |% z
把 logattack.so, logdownload.so 的注释码除去。
. j+ _6 d- |& Q4 \) F. V0 ~, Y5. 分析罪证
! T; C- U: d! a; I, A) _运气好的话,大概过了数小时,再打开 /var/log/nepenthes.log,就会看到有所斩获;若然没有,请耐心等待,并检查一下外界能否连进来蜜罐:
& J9 b( f( G! |. E* _(为了保护原有电脑的安全,我把网络地址都给修改过。 )6 ]+ s1 z5 @' l0 y
–
* a- o; Y/ i+ J9 e8 q8 u- DSocket|LUID=0×9b6b290|Start=1246711030.266579|Finish=1246711030.638501|Status=CONNECTED|Proto=TCP|Type=INCOMING|Local=192.168.1.4:135|Remote=xxx.96.245.148:61250|RX=2,1520,a87bbacd0cd1c84a5991ccc690492866|TX=3,532,dc9b4e2f264c732eb5b239b2bd3a23bd|Dumpfile=9 a3 p. b' x6 d
Shellcode|LUID=0×9b6afd0|Start=1246711030.453659|Finish=1246711030.462127|Type=UNKNOWN|Emulation=SUCCESS|Handler=execute::createprocess|ISock=0×9b6b290|MD5=52e5dbe8fc84060525e965aa0c030f0c|Trigger=Generic Microsoft Windows DCOM! x9 ^7 P$ J3 `& W7 V8 o5 Y* @9 R
Download|LUID=0×9b6bcb8|Result=SUCCEEDED|Start=1246711030.461798|Finish=1246711185.861585|ISock=0×9b6b290|SSock=|MD5=5069160ffe5a229ed2ee1ddd8ca14df6|SHA512=ca50e009cad7f861759f85f8db74a684f6eee8f081bcdc255414ca898bbd7ef5c14c8a7bdd875201a51581ea484a49f4cceaf90ecef526c8bdda0d5ae94e24f5|Trigger=Download Initiated by Shell Command|URL=tftp://xxx.96.245.148/ssms.exe
+ M! h4 N/ }: }* H0 p–5 f: k( M* N' v3 s% F5 b6 x7 ]
…4 [3 |3 Y' P9 J( r) R
…
; B5 V6 A. f. h/ [! W) k这 是由 远端 xxx.96.245.148:61250 发出的一个攻击包,而我的私域网络是 192.168.1.4,被攻击端口是 135,而下载了的程式的 MD5 hash 为 5069160ffe5a229ed2ee1ddd8ca14df6,在 VirusTotal 上搜出来发觉是 Net-Worm.Win32.Kolabc.gwr 。7 }5 D7 R; K& k2 @8 k! p$ B
6. 改善蜜罐( k7 _+ a6 `5 t4 Q7 Z" D, }# l! J& b
Nmap 是一个能用作网络扫描的工具,就让我们扫一下这台蜜罐 192.168.1.4 吧。
! N! i1 J3 Q! g/ z+ c2 X8 M/ t看看以下 Nmap 的结果 :1 E X! w: r: i, m+ i1 X" r+ }
# Nmap 4.90RC1 scan initiated Sat Jul 11 01:39:09 2009 as: nmap -oN 192.168.1.4.sS.txt -v -sS 192.168.1.49 ]+ }- V) P+ M6 @0 K. p
Host 192.168.1.4 is up (0.000011s latency).
0 J4 D. X- o1 N8 d1 U$ h8 f) QInteresting ports on 192.168.1.4:; D. e z1 r( j6 [! U5 c
Not shown: 975 closed ports
x) d7 Z$ C3 Q0 |$ S7 WPORT STATE SERVICE8 S/ F7 y1 Q! R
21/tcp open ftp
! [) t" h. D2 _2 o V" `22/tcp open ssh
+ {# D& ?4 g9 z1 F25/tcp open smtp$ J- ~( o& @" Z: O) q) g# `
42/tcp open nameserver- I, @- w7 B- O) q) y: P/ P3 b
80/tcp open http
! i9 j1 T' [' ?110/tcp open pop3
& a: G* U4 [% K. F5 m: q135/tcp open msrpc4 w3 O$ H7 E0 S- }7 n; |# z
139/tcp open netbios-ssn- {8 Q; I: j, [$ \, ^0 @% H
143/tcp open imap; j- m% Q0 t. K6 o
443/tcp open https* A8 @8 ^9 D, m% b
445/tcp open microsoft-ds
7 n) L Z2 R1 B0 j- q. T4 h: g2 l465/tcp open smtps4 A p5 w4 f. I3 n9 r5 V- }5 ?
993/tcp open imaps
* Q9 t) Z) i( F8 n0 J; c7 _$ ^995/tcp open pop3s
+ X( W$ o3 d, }5 R# z1 }$ W" v1023/tcp open netvenuechat
7 |9 O$ Q0 R7 d6 {1025/tcp open NFS-or-IIS
( v# B& ^0 ]; B$ S/ h* M2103/tcp open zephyr-clt/ u$ p* Y6 M* W8 G2 q+ @, B
2105/tcp open eklogin
) n, T* c) S' j3 g( Z! y+ N2107/tcp open unknown
: b0 e5 y& _+ j, @3372/tcp open msdtc
$ c% j2 l+ [0 J# V5000/tcp open upnp1 d9 S% ]& Y8 J* f$ S
5901/tcp open vnc-13 t+ h9 {2 w+ J" C4 ~, E
6129/tcp open unknown$ d/ M& E9 u/ l9 Z0 c1 a9 L# c
10000/tcp open snet-sensor-mgmt
6 L, t1 F0 s H* {9 x% l1 {10012/tcp open unknown
, x/ l) W; ]/ ORead data files from: /usr/local/share/nmap
* ]! w/ ~; g5 N( T$ B8 @# Nmap done at Sat Jul 11 01:39:09 2009 — 1 IP address (1 host up) scanned in 0.17 seconds
/ V( X0 P' \& y对于一位有少许经验的黑客来说,除了这可能是一台防守很差的电脑,这也是很可疑的一台电脑,就像张扬着自己是一个陷阱。为了增加可信性,可以把一些端口关掉。可以打开 /etc/nepenthes/nepenthes.conf,把部份漏洞模块注释掉:& z! Z5 |- k3 u8 ~
57 // vulnerability modules0 {- x, O) A; w3 \
…7 g# _: E& j% }" `/ b9 g8 ]8 O
62 “vulniis.so”, “vuln-iis.conf”, “”
8 Q0 `, p* h- o5 b; z63 // “vulnkuang2.so”, “vuln-kuang2.conf”, “”: E( r9 X' I% A7 A
64 “vulnlsass.so”, “vuln-lsass.conf”, “”
+ ^! o1 i0 w4 s! n/ k% |…
I7 @2 c: ~) |% X. h/ Q# r) o0 ?) w有兴趣的人可以加一个 -sV 上去(测试服务的版本及身份),看看有甚麽有趣的结果?
& V5 X2 J+ h( h7. 文章总结
& x1 T8 o5 k: d" q+ {6 i我们的电脑无时无刻都受到攻击,但我们不知道是甚麽人要攻击我们,通过蜜罐,你也可以暸解黑客的行动,对「谁入侵我的电脑」这个问题作出初步解答。本篇文章介绍的 Nepenthes 是一个低互动性蜜罐,亦只是很多蜜罐中的其中一种,而通过高互动性蜜罐,更可以暸解更多关于黑客的日常运作。现在可以由不知所措变成有所行动了,并见识一下全世界的黑客没公开的技术了。
/ U6 k2 i: o- ?! ^& g6 A7 ~作者
2 A- J* J. H1 A! b2 \“Log0″ 是一位电脑安全研究人员,我是针对蜜罐、网页安全及网络犯罪这方面的研究,并在 http://onhacks.org 裡以 log0 的笔名撰写关于电脑安全的文章。, b. I: I6 s9 E7 z% w; }/ Y
===
! q9 V2 ~# K" Y& X# h- |參考 :
6 | f$ C& J. _9 oNepenthes – http://nepenthes.carnivore.it/- ^! Q6 B2 Z9 u' M7 N: {; o6 S
Niels Provos, Thorsten Holz – “Virtual Honeypots: From Botnet Tracking to Intrusion Detection” |
|
窥视卡
雷达卡
发表于 2009-7-21 06:40:08
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
