|
|
文章作者:log0
9 x3 b& H7 b. w) D) h$ T) r1 h; G4 q原始出处:http://onhacks.org/# o3 d& n" I9 n& G9 V) m# T1 G6 v
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
+ R4 S& U4 y4 z+ I* R===0 \, e$ Z+ ]% G ]$ s6 W% \* S# C
谁在入侵我的系统?
1 o* E* o+ b' ]3 T: h; v9 r1. 谁入侵我9 V z3 l" f: J! r! C1 r1 V0 T
2. 何谓蜜罐: X: G% D) d% v X& P+ Y
3. 设置陷阱8 @2 q6 n' \2 H: w- f9 x
4. 开始反击
4 D3 \$ c6 ?% l! ^: X7 }% O5. 分析罪证% n; ?8 g7 \5 z0 s. Y
6. 改善蜜罐+ D# z1 T: S3 a2 ^0 Z* @; f
7. 文章总结
6 b/ W( m6 o- [$ i* c8 j9 B===$ w& b4 g2 _5 P9 \% _% c# _
1. 谁入侵我% z4 E" C$ d5 w6 J- H. W
我们的电脑无时无刻都受到攻击,怎麽找出是谁呢?- W- u1 A2 a. N9 {& ~* R. y5 e( E
这篇文章不会为你马上带来答案,但将会引导你去发现这个问题的可能解法。若果你以前没有接触过蜜罐,这将会是一个很有趣的概念。
+ Z$ m$ d* b5 {% y0 w" T2. 何谓蜜罐
: A3 k4 S4 s0 ]4 s8 l* V% l4 R蜜 罐 (honeypot) 的唯一用途是给黑客控制,它和普通的电脑看上去无异,并且有平常的系统上的程式,可能是一台 Windows 也可以是一台 Linux。透过这部被控制的电脑,这些不知情的黑客还以为轻鬆得到肉鸡,在他们为所欲为之时,我们可以静观黑客的所作所为,使我们能学会及掌握他们的技术和动机等等。利用他们不小心留下的证据,加上一些网路地址 ( IP address )等资料,我们可以掌握黑客的真正身份。根据蜜罐的定义,它没有其他正常的用途,而且也不应该有,所以它是不应该有外界接触到,因此所有的访问都当是恶意的,这除去了我们要分办正常和恶意的连接。/ @6 N% Z; l8 [! H/ {
蜜罐主要分几种类,又可以是多种类组合而成,但具体的分为以下两种:
& P8 c! s5 h) a" R/ a: `0 ]1. 高互动性蜜罐 ( high interaction honeypot )
* Z# O& [; i! {2. 低互动性蜜罐 ( low interaction honeypot )
; n7 I: B, u1 R% s* t高 互动性蜜罐 – 这种蜜罐和普通的电脑无异,他们是可以完完全全给控制并和普通电脑无异,唯一不同是所有行为都给纪录下来。由于其像真度极高,黑客可以在内为所欲为,但这也意味着电脑可以用来攻击其他无辜的人,所以我们要加入侵检测系统及防牆去降低伤害性,并且要设置一个很重要的蜜牆 (Honeywall),用以把恶意的入侵隔离。所以,高互动性也有一定的危险性。这种搭建需要一正台电脑或虚拟电脑,所以相对也要更多资源。这篇文章将不会解说这个安装方法。
8 ^! N @. |( z: d" u3 J* _8 m低互动性蜜罐 – 这种蜜罐的特色是它只是模彷一些已知漏洞 (Vulnerability) 的行为来欺骗一些自动化或简单的攻击方法,因为不会模彷程式的所有功能,亦因为我们只是接收数据而不执行,在收到攻击数据 (Attack vector) 之后,我们就会把连线断掉,此时我们已把想要的资料记录下来了,所以这个有效的降低了危险性。和高互动性蜜罐不同,这不用到真正可被攻击控制掉的程式。! j+ {# Z4 p) N2 p2 s: b! H
这篇文章将会谈级如何在 Linux (Ubuntu 9.04) 上搭建一台低互动性蜜罐。作者选用 Ubuntu (或Debian) 是因为这比较用容搭建这个蜜罐起来。8 H& y+ ~& |: F/ i7 J
3. 设置陷阱
& c" e3 h8 ?: ]( P3 G4 `2 v今 次我们用的是 Nepenthes 低互动性蜜罐。它的概念主要是模彷已知漏洞的程式,模彷的程度是足以暪骗一些程式和低水准的黑客,而且因为攻击只是被记录而无被执行,所以比较安全。再者,它的模彷功能都主要为 Windows 的漏洞,即使被攻击了,Windows 的攻击也不会影响 Linux 。它亦有一个很重要的功能,就是能够把病毒样本下载并储起来,让你可以以后慢慢研究剖析黑客的行为或最新在野的病毒。1 B+ Q7 f; E( h+ x" T: i
Ubuntu/Debian 的用户可以这样安装 :' Y4 \9 {# d4 K' a% j
$apt-get install nepenthes* |, b0 D" z @: O# Q
或者是去官方网站下载
+ j) v, b2 `7 Y3 P4 {/ M# F3 t3 ahttp://nepenthes.carnivore.it/9 @3 C! l) C3 q" U
4. 开始反击
0 a) ?9 { i5 F$nepenthes# F4 L6 f% g5 J8 m4 `
就可以开始了!
0 Z. a; q$ K5 H2 A- {若果要有更多的资讯,应去修改 /etc/nepenthes/nepenthes.conf ,找出这数行。
& T5 ^; y# q8 P" R// logging |1 r7 b; R: |
41 “logattack.so”, “log-attack.conf”, “”
: e) G$ b' N9 l' d, ~8 f42 “logdownload.so”, “log-download.conf”, “”
/ R1 v a0 X: C& v3 A43 // “logirc.so”, “log-irc.conf”, “” // needs configuration
" ~1 r& o' e3 D44 // “logprelude.so”, “log-prelude.conf”, “”+ J& a% M5 Q' ~1 v$ O5 H; v
45 “loghexdump.so” “” “”
# S% p% r) ^/ _0 k' l2 h, K9 e* ^把 logattack.so, logdownload.so 的注释码除去。
: d) _ \! L" t+ F0 @) ?$ j% z( ]% t, a5. 分析罪证 }$ H6 ]5 ]% b8 i
运气好的话,大概过了数小时,再打开 /var/log/nepenthes.log,就会看到有所斩获;若然没有,请耐心等待,并检查一下外界能否连进来蜜罐:
$ Q1 i# _0 ], Z- z) g" N1 M(为了保护原有电脑的安全,我把网络地址都给修改过。 )
# o/ }. q+ s9 _$ G6 }/ W3 h–* }5 }: G: I5 v# b
Socket|LUID=0×9b6b290|Start=1246711030.266579|Finish=1246711030.638501|Status=CONNECTED|Proto=TCP|Type=INCOMING|Local=192.168.1.4:135|Remote=xxx.96.245.148:61250|RX=2,1520,a87bbacd0cd1c84a5991ccc690492866|TX=3,532,dc9b4e2f264c732eb5b239b2bd3a23bd|Dumpfile=
5 S6 P& v: ~7 N9 T( U$ QShellcode|LUID=0×9b6afd0|Start=1246711030.453659|Finish=1246711030.462127|Type=UNKNOWN|Emulation=SUCCESS|Handler=execute::createprocess|ISock=0×9b6b290|MD5=52e5dbe8fc84060525e965aa0c030f0c|Trigger=Generic Microsoft Windows DCOM
2 z) W g! l6 wDownload|LUID=0×9b6bcb8|Result=SUCCEEDED|Start=1246711030.461798|Finish=1246711185.861585|ISock=0×9b6b290|SSock=|MD5=5069160ffe5a229ed2ee1ddd8ca14df6|SHA512=ca50e009cad7f861759f85f8db74a684f6eee8f081bcdc255414ca898bbd7ef5c14c8a7bdd875201a51581ea484a49f4cceaf90ecef526c8bdda0d5ae94e24f5|Trigger=Download Initiated by Shell Command|URL=tftp://xxx.96.245.148/ssms.exe0 y3 M- |3 E" l& [
–- {1 ?7 @, }8 o; h9 l
…
, }' q; `: m* q…3 ]) t' V9 U* m; o( B
这 是由 远端 xxx.96.245.148:61250 发出的一个攻击包,而我的私域网络是 192.168.1.4,被攻击端口是 135,而下载了的程式的 MD5 hash 为 5069160ffe5a229ed2ee1ddd8ca14df6,在 VirusTotal 上搜出来发觉是 Net-Worm.Win32.Kolabc.gwr 。+ t5 C- C* j5 c
6. 改善蜜罐% r0 D- k l) R9 K$ I/ U- N2 H
Nmap 是一个能用作网络扫描的工具,就让我们扫一下这台蜜罐 192.168.1.4 吧。6 q8 a" j' o8 w3 G
看看以下 Nmap 的结果 :! x4 Y1 d" u. o6 q
# Nmap 4.90RC1 scan initiated Sat Jul 11 01:39:09 2009 as: nmap -oN 192.168.1.4.sS.txt -v -sS 192.168.1.4) A+ Y3 Q; s7 O/ x. I/ L' \
Host 192.168.1.4 is up (0.000011s latency).5 s& _/ b% j( k: x$ K/ z1 q
Interesting ports on 192.168.1.4:
+ }7 I' C* J& C5 A0 kNot shown: 975 closed ports
+ i) |' j8 N- nPORT STATE SERVICE- p7 `& q3 J4 f5 }$ ~0 A
21/tcp open ftp
! Z7 K' Z) b& c- g5 _) V22/tcp open ssh
+ H8 X) z% o- A6 D5 I25/tcp open smtp, L; D- I6 y5 H# m8 s( F: a
42/tcp open nameserver
3 z& ~0 O* p6 ]; j c, a80/tcp open http
' t' G" V( i, Z110/tcp open pop3, D, S# K- J: Y- U
135/tcp open msrpc
9 z/ c* P5 j: K: N7 I/ p139/tcp open netbios-ssn
* U H9 k/ X* @& ~143/tcp open imap
% ]. I& i) ^, S! I g443/tcp open https
2 G% c" P2 `2 X \7 ~; G1 e6 ]445/tcp open microsoft-ds
& ]0 w( U: e o( G8 D+ L, U: P465/tcp open smtps
9 p+ N6 d: C4 L% C& P6 F993/tcp open imaps
7 D/ d9 h$ P& h1 K4 }; x8 X995/tcp open pop3s2 N3 Z" w" T3 Y+ D
1023/tcp open netvenuechat
5 o& e' X: A7 q$ i4 ]$ k1025/tcp open NFS-or-IIS# D! c9 o! F' s' u
2103/tcp open zephyr-clt
' N0 o$ C1 \4 ]2105/tcp open eklogin
' ^, ]7 t+ T& V' A: E2107/tcp open unknown3 p4 Y; @' b; I0 r6 X' j9 v
3372/tcp open msdtc$ ^+ A8 {8 s& E8 u" R
5000/tcp open upnp# o4 o& `' T; @' D# [
5901/tcp open vnc-1" j8 x# r0 ^% g5 c/ _
6129/tcp open unknown! z) m; t3 g! H9 f- X
10000/tcp open snet-sensor-mgmt
" |9 |! }/ R! J$ E' W+ a! q10012/tcp open unknown7 V9 ] U3 ]* @' H
Read data files from: /usr/local/share/nmap
5 p9 f/ R1 F C: c3 k' |. l# Nmap done at Sat Jul 11 01:39:09 2009 — 1 IP address (1 host up) scanned in 0.17 seconds: O9 M: @3 E) G- p8 `# H
对于一位有少许经验的黑客来说,除了这可能是一台防守很差的电脑,这也是很可疑的一台电脑,就像张扬着自己是一个陷阱。为了增加可信性,可以把一些端口关掉。可以打开 /etc/nepenthes/nepenthes.conf,把部份漏洞模块注释掉:) |$ O$ g- S: v4 Y9 ?
57 // vulnerability modules
+ M r4 z8 C# N# |4 Z…
5 {# e i4 b8 F; p2 o62 “vulniis.so”, “vuln-iis.conf”, “”
* o; R3 k& s3 D4 p* ?* X" \) H1 s63 // “vulnkuang2.so”, “vuln-kuang2.conf”, “”
6 m) T# o8 V3 G# G* h- Q0 z64 “vulnlsass.so”, “vuln-lsass.conf”, “”
2 [1 ~) X$ o& ~. m+ T" c% j* e9 } n…
^! f X. S# b0 g E: n有兴趣的人可以加一个 -sV 上去(测试服务的版本及身份),看看有甚麽有趣的结果?
1 k3 _7 y' @* |# [0 j7. 文章总结
0 \" b$ Z4 Q- [% L- M, w我们的电脑无时无刻都受到攻击,但我们不知道是甚麽人要攻击我们,通过蜜罐,你也可以暸解黑客的行动,对「谁入侵我的电脑」这个问题作出初步解答。本篇文章介绍的 Nepenthes 是一个低互动性蜜罐,亦只是很多蜜罐中的其中一种,而通过高互动性蜜罐,更可以暸解更多关于黑客的日常运作。现在可以由不知所措变成有所行动了,并见识一下全世界的黑客没公开的技术了。
% T( l2 `: l! g& s1 }; Z作者
8 G+ X4 h; P3 k' Z* T& [ W“Log0″ 是一位电脑安全研究人员,我是针对蜜罐、网页安全及网络犯罪这方面的研究,并在 http://onhacks.org 裡以 log0 的笔名撰写关于电脑安全的文章。
1 W1 [* b) ^/ ]/ u' ?& j6 x3 `===$ x2 Z A# r+ m% d2 E
參考 :, C" S. ^$ l2 p; r& w6 ~
Nepenthes – http://nepenthes.carnivore.it/
5 o+ ?/ a1 K6 S) V( F/ LNiels Provos, Thorsten Holz – “Virtual Honeypots: From Botnet Tracking to Intrusion Detection” |
|
窥视卡
雷达卡
发表于 2009-7-20 22:40:08
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡