|
|
文章作者:log0
: [1 I5 _( D% d E0 H9 d: k原始出处:http://onhacks.org/2 ~. a2 x+ ~, d: Z
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
( s, T' G: ~. {1 t* f: E5 q/ n6 x===. s( v$ m: m2 E2 s) P* B- p
谁在入侵我的系统?* D# N0 G/ \/ E# B
1. 谁入侵我
+ T8 c) u- x( V3 L, b2. 何谓蜜罐0 k ?) p3 h) k P* F
3. 设置陷阱; Z3 i" E1 A7 @0 O4 d
4. 开始反击% S) H2 l) }7 o/ M8 N4 F9 \. _
5. 分析罪证2 j- [ Q3 F/ [0 b8 i' T
6. 改善蜜罐
) J- K# n( z# s, a N2 x- v7. 文章总结
. |6 F' R; t& A' e2 |===) V% g* {! d( ]6 @6 I' w
1. 谁入侵我. q3 O. l; b# J6 d+ k: R
我们的电脑无时无刻都受到攻击,怎麽找出是谁呢?
4 k5 x. J2 f8 A/ {% V+ ~这篇文章不会为你马上带来答案,但将会引导你去发现这个问题的可能解法。若果你以前没有接触过蜜罐,这将会是一个很有趣的概念。4 H+ e3 V6 E! `! q: L
2. 何谓蜜罐! w& M/ N0 w/ N9 s: Q6 a
蜜 罐 (honeypot) 的唯一用途是给黑客控制,它和普通的电脑看上去无异,并且有平常的系统上的程式,可能是一台 Windows 也可以是一台 Linux。透过这部被控制的电脑,这些不知情的黑客还以为轻鬆得到肉鸡,在他们为所欲为之时,我们可以静观黑客的所作所为,使我们能学会及掌握他们的技术和动机等等。利用他们不小心留下的证据,加上一些网路地址 ( IP address )等资料,我们可以掌握黑客的真正身份。根据蜜罐的定义,它没有其他正常的用途,而且也不应该有,所以它是不应该有外界接触到,因此所有的访问都当是恶意的,这除去了我们要分办正常和恶意的连接。. ]/ B3 e" }* L
蜜罐主要分几种类,又可以是多种类组合而成,但具体的分为以下两种:( L' J) X* J5 Q
1. 高互动性蜜罐 ( high interaction honeypot )
/ n! v' j0 w2 a% n; }( ?2. 低互动性蜜罐 ( low interaction honeypot )% F& w3 F0 q# w% z# E7 X9 ^; J0 @
高 互动性蜜罐 – 这种蜜罐和普通的电脑无异,他们是可以完完全全给控制并和普通电脑无异,唯一不同是所有行为都给纪录下来。由于其像真度极高,黑客可以在内为所欲为,但这也意味着电脑可以用来攻击其他无辜的人,所以我们要加入侵检测系统及防牆去降低伤害性,并且要设置一个很重要的蜜牆 (Honeywall),用以把恶意的入侵隔离。所以,高互动性也有一定的危险性。这种搭建需要一正台电脑或虚拟电脑,所以相对也要更多资源。这篇文章将不会解说这个安装方法。% e0 v! v m1 C+ r
低互动性蜜罐 – 这种蜜罐的特色是它只是模彷一些已知漏洞 (Vulnerability) 的行为来欺骗一些自动化或简单的攻击方法,因为不会模彷程式的所有功能,亦因为我们只是接收数据而不执行,在收到攻击数据 (Attack vector) 之后,我们就会把连线断掉,此时我们已把想要的资料记录下来了,所以这个有效的降低了危险性。和高互动性蜜罐不同,这不用到真正可被攻击控制掉的程式。( b- \3 h9 q4 g+ I' Q* P
这篇文章将会谈级如何在 Linux (Ubuntu 9.04) 上搭建一台低互动性蜜罐。作者选用 Ubuntu (或Debian) 是因为这比较用容搭建这个蜜罐起来。
6 t& Z# |& Z8 v! s# z0 I3. 设置陷阱
$ x( s; k* o3 Q% o4 ?& S" H6 D; b今 次我们用的是 Nepenthes 低互动性蜜罐。它的概念主要是模彷已知漏洞的程式,模彷的程度是足以暪骗一些程式和低水准的黑客,而且因为攻击只是被记录而无被执行,所以比较安全。再者,它的模彷功能都主要为 Windows 的漏洞,即使被攻击了,Windows 的攻击也不会影响 Linux 。它亦有一个很重要的功能,就是能够把病毒样本下载并储起来,让你可以以后慢慢研究剖析黑客的行为或最新在野的病毒。
$ x) ?7 z5 `1 k/ m/ s% H; aUbuntu/Debian 的用户可以这样安装 :# D" _( D9 }* b$ Z7 r C2 x! e
$apt-get install nepenthes& b6 J+ w- q9 \6 ]4 R3 l: x
或者是去官方网站下载) w1 c! Q: Y* M1 I2 {1 \( u& s
http://nepenthes.carnivore.it/: m& o$ u8 B0 a: z; B1 l; I
4. 开始反击# ^8 U, K7 R6 J+ V9 F e: ]+ ]
$nepenthes
% }8 D/ m" D7 }就可以开始了!0 T5 _" t8 B# N( _
若果要有更多的资讯,应去修改 /etc/nepenthes/nepenthes.conf ,找出这数行。1 B0 @. R9 A e& n
// logging0 v4 \2 e, a7 b8 o) t
41 “logattack.so”, “log-attack.conf”, “”
+ t$ |3 B, B) E% H1 ?42 “logdownload.so”, “log-download.conf”, “”
; j+ C( E5 M- K7 r* _% l n! N43 // “logirc.so”, “log-irc.conf”, “” // needs configuration
) d- ^6 @" ~2 F2 P+ E3 P- j0 a8 P44 // “logprelude.so”, “log-prelude.conf”, “”
' b& J( @2 m3 Y1 Q/ T- V45 “loghexdump.so” “” “”
4 k8 y I; W7 N% @1 d把 logattack.so, logdownload.so 的注释码除去。
P2 `6 v. Q, j: N' [5 D$ l& R8 L5. 分析罪证- J+ c& \7 J1 C I8 e
运气好的话,大概过了数小时,再打开 /var/log/nepenthes.log,就会看到有所斩获;若然没有,请耐心等待,并检查一下外界能否连进来蜜罐:0 w9 R1 r8 }: |0 V, K/ k7 K
(为了保护原有电脑的安全,我把网络地址都给修改过。 )
8 F! t4 ^: B) e) U7 ?- ?, F–
( |1 W w3 P2 j- C# f! jSocket|LUID=0×9b6b290|Start=1246711030.266579|Finish=1246711030.638501|Status=CONNECTED|Proto=TCP|Type=INCOMING|Local=192.168.1.4:135|Remote=xxx.96.245.148:61250|RX=2,1520,a87bbacd0cd1c84a5991ccc690492866|TX=3,532,dc9b4e2f264c732eb5b239b2bd3a23bd|Dumpfile=% P0 H! @& O5 h( y- J, v/ Y8 y
Shellcode|LUID=0×9b6afd0|Start=1246711030.453659|Finish=1246711030.462127|Type=UNKNOWN|Emulation=SUCCESS|Handler=execute::createprocess|ISock=0×9b6b290|MD5=52e5dbe8fc84060525e965aa0c030f0c|Trigger=Generic Microsoft Windows DCOM
8 o% E- c: ?; EDownload|LUID=0×9b6bcb8|Result=SUCCEEDED|Start=1246711030.461798|Finish=1246711185.861585|ISock=0×9b6b290|SSock=|MD5=5069160ffe5a229ed2ee1ddd8ca14df6|SHA512=ca50e009cad7f861759f85f8db74a684f6eee8f081bcdc255414ca898bbd7ef5c14c8a7bdd875201a51581ea484a49f4cceaf90ecef526c8bdda0d5ae94e24f5|Trigger=Download Initiated by Shell Command|URL=tftp://xxx.96.245.148/ssms.exe
8 b5 A' y8 R; e3 S: s+ F7 a–
" T! V) G' {+ n…
7 w4 s/ K1 I# U$ C9 V( }. O…: {8 E# V( G& D/ `
这 是由 远端 xxx.96.245.148:61250 发出的一个攻击包,而我的私域网络是 192.168.1.4,被攻击端口是 135,而下载了的程式的 MD5 hash 为 5069160ffe5a229ed2ee1ddd8ca14df6,在 VirusTotal 上搜出来发觉是 Net-Worm.Win32.Kolabc.gwr 。
3 s& B9 i) i7 v q! f G9 G6. 改善蜜罐
: S$ Z! f" v) |9 o4 a# X0 |Nmap 是一个能用作网络扫描的工具,就让我们扫一下这台蜜罐 192.168.1.4 吧。
% ]- k1 F# O5 X+ }1 z. e2 r# Y5 p看看以下 Nmap 的结果 :0 i: g u% C* H: |# M
# Nmap 4.90RC1 scan initiated Sat Jul 11 01:39:09 2009 as: nmap -oN 192.168.1.4.sS.txt -v -sS 192.168.1.4( _( [8 w; i, ?
Host 192.168.1.4 is up (0.000011s latency).
# j5 S5 Y* w' E9 YInteresting ports on 192.168.1.4:
9 F7 S# L1 o: f, ZNot shown: 975 closed ports- E0 [4 W( X) M* N
PORT STATE SERVICE
% J( c& O; Q- Y, w9 m5 m/ @! X- Q- r21/tcp open ftp
8 U3 c; ]" I' A1 W; O! Q22/tcp open ssh
5 x* g$ ` P6 Z25/tcp open smtp
) ^& I& c9 y( R7 O; F; l0 c9 R42/tcp open nameserver
! P, ~# |: ~; ^% H8 N1 {1 D- I. c80/tcp open http- C: T! [+ L: F9 U
110/tcp open pop3
( h) e; Q0 M4 a* p5 f135/tcp open msrpc/ T- V2 k6 U8 V- w' X
139/tcp open netbios-ssn
: A8 {' R6 N: R5 v4 x% p7 o143/tcp open imap
: p+ d' c& X6 r8 P' h443/tcp open https3 a. _+ o; W+ }" y" F% K
445/tcp open microsoft-ds2 B$ ~; B& M- |2 I( R5 J. m* U
465/tcp open smtps
9 w; Y0 w& ^) q993/tcp open imaps: a ]# R& S9 l+ ]5 J* I" U
995/tcp open pop3s* c7 Q7 R' ?8 h! x1 n
1023/tcp open netvenuechat
" ~4 f( A- I# A- X& b( `2 [# j; @1025/tcp open NFS-or-IIS
0 u( Z5 S& ~( [" e6 P$ o2103/tcp open zephyr-clt
/ Y, @5 f* ]2 u; Q2105/tcp open eklogin' f: |& E& s1 P$ L1 { s
2107/tcp open unknown
7 T5 r6 A1 J N- m& D g, N" g3372/tcp open msdtc
* x1 E! E) F% U; d* K5000/tcp open upnp9 e( s( |* Y' [) @
5901/tcp open vnc-1- K' k9 V) ^9 x. D: j
6129/tcp open unknown
: T, ^3 i; e/ G2 j2 a' F10000/tcp open snet-sensor-mgmt
7 O/ _1 X n/ h# h* W4 Q- B10012/tcp open unknown3 e2 r- w. v# q% j0 X
Read data files from: /usr/local/share/nmap0 L8 H1 U6 M8 [1 u. W+ L
# Nmap done at Sat Jul 11 01:39:09 2009 — 1 IP address (1 host up) scanned in 0.17 seconds* j+ W$ `- h" t9 S" j4 o
对于一位有少许经验的黑客来说,除了这可能是一台防守很差的电脑,这也是很可疑的一台电脑,就像张扬着自己是一个陷阱。为了增加可信性,可以把一些端口关掉。可以打开 /etc/nepenthes/nepenthes.conf,把部份漏洞模块注释掉:
$ ^# m# d$ s* m& F' M6 j- H57 // vulnerability modules; G, L% s% F: m( B" Z
…
& ` R1 H; i( o/ t6 A62 “vulniis.so”, “vuln-iis.conf”, “”
, i1 q- X; G- _. ~$ o& ]$ n' f63 // “vulnkuang2.so”, “vuln-kuang2.conf”, “”/ P7 S# L4 j7 X1 p2 ^" x$ u& M# D4 \
64 “vulnlsass.so”, “vuln-lsass.conf”, “”, |, f' b" g7 j! `0 Z8 S0 d
…6 v3 ~0 {- z: v4 g' @: B1 q
有兴趣的人可以加一个 -sV 上去(测试服务的版本及身份),看看有甚麽有趣的结果?! T3 X/ A8 h5 I
7. 文章总结
" x7 U% @# a. \7 Q' W9 U6 i5 i% L, {+ R我们的电脑无时无刻都受到攻击,但我们不知道是甚麽人要攻击我们,通过蜜罐,你也可以暸解黑客的行动,对「谁入侵我的电脑」这个问题作出初步解答。本篇文章介绍的 Nepenthes 是一个低互动性蜜罐,亦只是很多蜜罐中的其中一种,而通过高互动性蜜罐,更可以暸解更多关于黑客的日常运作。现在可以由不知所措变成有所行动了,并见识一下全世界的黑客没公开的技术了。/ f0 A# d: [0 z
作者# k. K+ ]$ p# b0 t& [) d
“Log0″ 是一位电脑安全研究人员,我是针对蜜罐、网页安全及网络犯罪这方面的研究,并在 http://onhacks.org 裡以 log0 的笔名撰写关于电脑安全的文章。$ a. f1 |, k1 c+ @ h5 ]- z: ?- ~
===3 A L2 W8 ^+ H: A
參考 :
8 X, y7 ]3 N1 s8 D$ @' mNepenthes – http://nepenthes.carnivore.it/
8 d+ u& S% p& K9 R lNiels Provos, Thorsten Holz – “Virtual Honeypots: From Botnet Tracking to Intrusion Detection” |
|
窥视卡
雷达卡
发表于 2009-7-20 22:40:08
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡