|
|
文章作者:log04 p1 E! C% q6 e
原始出处:http://onhacks.org/0 M4 ]# T( Y2 O |1 G X
信息来源:邪恶八进制信息安全团队(www.eviloctal.com); M$ D" |; h1 F, I
===& K9 r4 b6 D Y7 V* E" W
谁在入侵我的系统?9 w% `8 U6 B4 D" s8 }) ~
1. 谁入侵我! M2 ^0 D6 F; P4 h
2. 何谓蜜罐
' k$ @0 r9 D3 |! u3. 设置陷阱
+ C$ N. h9 k% N. y( ~4 {. g4. 开始反击2 j$ a& M$ K G/ x& S! K
5. 分析罪证, L; z; U; t# v6 v
6. 改善蜜罐: h8 V2 }$ n; R4 P* x. R9 D
7. 文章总结
2 P: I- N" h3 D7 k: z. O===
: {7 |$ ]1 y/ ?4 ]. Z1 _3 j2 H1. 谁入侵我( X6 L( I+ L( O [* J
我们的电脑无时无刻都受到攻击,怎麽找出是谁呢?& P3 n1 [9 d, N
这篇文章不会为你马上带来答案,但将会引导你去发现这个问题的可能解法。若果你以前没有接触过蜜罐,这将会是一个很有趣的概念。+ H2 C% ^5 l9 V
2. 何谓蜜罐! B/ R [2 ]$ q6 J
蜜 罐 (honeypot) 的唯一用途是给黑客控制,它和普通的电脑看上去无异,并且有平常的系统上的程式,可能是一台 Windows 也可以是一台 Linux。透过这部被控制的电脑,这些不知情的黑客还以为轻鬆得到肉鸡,在他们为所欲为之时,我们可以静观黑客的所作所为,使我们能学会及掌握他们的技术和动机等等。利用他们不小心留下的证据,加上一些网路地址 ( IP address )等资料,我们可以掌握黑客的真正身份。根据蜜罐的定义,它没有其他正常的用途,而且也不应该有,所以它是不应该有外界接触到,因此所有的访问都当是恶意的,这除去了我们要分办正常和恶意的连接。
. p7 f, B' w& U6 Y, N蜜罐主要分几种类,又可以是多种类组合而成,但具体的分为以下两种: n! V: X/ f" U& B' m3 W, @
1. 高互动性蜜罐 ( high interaction honeypot )+ P+ z _% n* T* U3 M6 A
2. 低互动性蜜罐 ( low interaction honeypot )
% S* C+ N' r! G高 互动性蜜罐 – 这种蜜罐和普通的电脑无异,他们是可以完完全全给控制并和普通电脑无异,唯一不同是所有行为都给纪录下来。由于其像真度极高,黑客可以在内为所欲为,但这也意味着电脑可以用来攻击其他无辜的人,所以我们要加入侵检测系统及防牆去降低伤害性,并且要设置一个很重要的蜜牆 (Honeywall),用以把恶意的入侵隔离。所以,高互动性也有一定的危险性。这种搭建需要一正台电脑或虚拟电脑,所以相对也要更多资源。这篇文章将不会解说这个安装方法。
1 a# R5 V$ q0 ~, T, z% R低互动性蜜罐 – 这种蜜罐的特色是它只是模彷一些已知漏洞 (Vulnerability) 的行为来欺骗一些自动化或简单的攻击方法,因为不会模彷程式的所有功能,亦因为我们只是接收数据而不执行,在收到攻击数据 (Attack vector) 之后,我们就会把连线断掉,此时我们已把想要的资料记录下来了,所以这个有效的降低了危险性。和高互动性蜜罐不同,这不用到真正可被攻击控制掉的程式。, w( J( ^4 X2 x& j, U
这篇文章将会谈级如何在 Linux (Ubuntu 9.04) 上搭建一台低互动性蜜罐。作者选用 Ubuntu (或Debian) 是因为这比较用容搭建这个蜜罐起来。
U& o1 t, c& b3. 设置陷阱
5 W, W. g& V3 C; Q8 J b, {今 次我们用的是 Nepenthes 低互动性蜜罐。它的概念主要是模彷已知漏洞的程式,模彷的程度是足以暪骗一些程式和低水准的黑客,而且因为攻击只是被记录而无被执行,所以比较安全。再者,它的模彷功能都主要为 Windows 的漏洞,即使被攻击了,Windows 的攻击也不会影响 Linux 。它亦有一个很重要的功能,就是能够把病毒样本下载并储起来,让你可以以后慢慢研究剖析黑客的行为或最新在野的病毒。1 P6 N- ^0 C+ w4 R* F
Ubuntu/Debian 的用户可以这样安装 :
3 ]5 j* k- r2 T- I& y2 }; i! B6 R8 I. d1 A$apt-get install nepenthes
5 k8 w4 b" V' I S7 A9 t或者是去官方网站下载# I. L" G! z- ]1 U* _6 \
http://nepenthes.carnivore.it/
: M: m4 v9 O) }- p2 ?* d' V( f4. 开始反击
$ o5 M" u1 P8 x% V# A& u, V$nepenthes
! S4 s6 T# W, m* q) I就可以开始了!1 W- o6 J2 H: H& h+ b( p8 Y e# y
若果要有更多的资讯,应去修改 /etc/nepenthes/nepenthes.conf ,找出这数行。) _8 z5 V+ t$ \. B' w
// logging) q( M4 l/ g0 ~' Q" u2 B7 o
41 “logattack.so”, “log-attack.conf”, “”3 l& }+ j9 _3 \( `6 Y
42 “logdownload.so”, “log-download.conf”, “”
3 n: A/ N) P) f: h) b43 // “logirc.so”, “log-irc.conf”, “” // needs configuration
% s# {5 T* ]1 c) Q" I44 // “logprelude.so”, “log-prelude.conf”, “”
3 B" U( f4 D3 a1 |2 M2 Y( v45 “loghexdump.so” “” “”
% \0 T0 x' }8 H* X3 p, w& Z把 logattack.so, logdownload.so 的注释码除去。
' h, x0 z0 F7 C& F; q6 j7 ^3 ~" X5. 分析罪证
0 f+ c. `/ b: U运气好的话,大概过了数小时,再打开 /var/log/nepenthes.log,就会看到有所斩获;若然没有,请耐心等待,并检查一下外界能否连进来蜜罐:3 F% V) }, [' a; ]4 a+ t2 \
(为了保护原有电脑的安全,我把网络地址都给修改过。 )
/ n" L0 a0 R& ^6 ^( f. m–% `3 {0 l& T4 y j- G8 ]. Y
Socket|LUID=0×9b6b290|Start=1246711030.266579|Finish=1246711030.638501|Status=CONNECTED|Proto=TCP|Type=INCOMING|Local=192.168.1.4:135|Remote=xxx.96.245.148:61250|RX=2,1520,a87bbacd0cd1c84a5991ccc690492866|TX=3,532,dc9b4e2f264c732eb5b239b2bd3a23bd|Dumpfile=) ?0 ?6 [& q* r5 T- X0 c& B6 n
Shellcode|LUID=0×9b6afd0|Start=1246711030.453659|Finish=1246711030.462127|Type=UNKNOWN|Emulation=SUCCESS|Handler=execute::createprocess|ISock=0×9b6b290|MD5=52e5dbe8fc84060525e965aa0c030f0c|Trigger=Generic Microsoft Windows DCOM7 i7 ~( C+ u4 e" U9 {- X
Download|LUID=0×9b6bcb8|Result=SUCCEEDED|Start=1246711030.461798|Finish=1246711185.861585|ISock=0×9b6b290|SSock=|MD5=5069160ffe5a229ed2ee1ddd8ca14df6|SHA512=ca50e009cad7f861759f85f8db74a684f6eee8f081bcdc255414ca898bbd7ef5c14c8a7bdd875201a51581ea484a49f4cceaf90ecef526c8bdda0d5ae94e24f5|Trigger=Download Initiated by Shell Command|URL=tftp://xxx.96.245.148/ssms.exe
3 m+ R. R* v. g$ j7 \–% p6 p6 ~3 k3 f9 m/ N4 a5 D
…3 V) u3 d' [9 T F
…7 E u; k, ]$ F2 u
这 是由 远端 xxx.96.245.148:61250 发出的一个攻击包,而我的私域网络是 192.168.1.4,被攻击端口是 135,而下载了的程式的 MD5 hash 为 5069160ffe5a229ed2ee1ddd8ca14df6,在 VirusTotal 上搜出来发觉是 Net-Worm.Win32.Kolabc.gwr 。
0 c, X' q) R2 |6. 改善蜜罐
( R" Q, c& b b; i1 E8 N: ^$ XNmap 是一个能用作网络扫描的工具,就让我们扫一下这台蜜罐 192.168.1.4 吧。3 n* S- j8 C4 g. p; v
看看以下 Nmap 的结果 :- C/ k0 p- f' q$ [ k) t
# Nmap 4.90RC1 scan initiated Sat Jul 11 01:39:09 2009 as: nmap -oN 192.168.1.4.sS.txt -v -sS 192.168.1.47 n7 x; Y! ^3 J0 _# E5 s- p
Host 192.168.1.4 is up (0.000011s latency).$ s. L# e6 X3 M, `
Interesting ports on 192.168.1.4:- ?7 e- y: I, ~$ D* V2 w
Not shown: 975 closed ports
3 E5 A+ m" K2 M1 A+ ~# b, ^$ j" yPORT STATE SERVICE
/ N4 q' w$ g- O6 _21/tcp open ftp" \, a2 l$ a8 J( {( X, B) W$ _+ J4 @
22/tcp open ssh
5 |" U; H' ~& }' f. T25/tcp open smtp, a, j7 }) {9 h% l
42/tcp open nameserver
! B! ^+ R! n6 M' I% J! P, T80/tcp open http
( Z; [3 U' q6 }9 Q110/tcp open pop3. Y# X g% n# L6 A
135/tcp open msrpc
! w$ y: K4 W- ?9 V! F/ ^9 K: i$ T/ r139/tcp open netbios-ssn9 u& \3 P! Y- C8 G8 p) U
143/tcp open imap
+ f# S% d; F+ i# Q* W0 o443/tcp open https5 z1 t' O5 S0 R' O. u1 Q
445/tcp open microsoft-ds
, `6 S% L! w$ Y; m' d% u* \4 ?465/tcp open smtps
, _5 w+ e9 S) e8 v5 ]% b. A6 V4 E993/tcp open imaps1 J0 f* m" Y* ?. j0 h8 b+ F& V& u
995/tcp open pop3s
/ y' L- ]+ L Q; `1023/tcp open netvenuechat
3 Q; G p) X) D+ k! w7 j9 N1025/tcp open NFS-or-IIS
! H- ?+ }5 c/ E2 m2103/tcp open zephyr-clt( ?* O4 T+ A! E) d/ L
2105/tcp open eklogin" A& a1 a; c0 ^; f) p3 o( }
2107/tcp open unknown" G4 Q& B3 O4 n" E$ O& m( x
3372/tcp open msdtc
6 u3 D" S8 z- s$ u# f/ B Z5000/tcp open upnp O9 e" D8 m" O9 O+ I! V. M
5901/tcp open vnc-1
. ^; p. m- {) C9 P6129/tcp open unknown$ M8 N$ ~( L* b5 | q2 k
10000/tcp open snet-sensor-mgmt+ h9 K b2 o- t% }7 `9 f
10012/tcp open unknown# n: ^1 T- R5 U% ]* N
Read data files from: /usr/local/share/nmap- R" ~4 Z- [2 O
# Nmap done at Sat Jul 11 01:39:09 2009 — 1 IP address (1 host up) scanned in 0.17 seconds
' w* }+ W& x) R8 m" B6 F" S对于一位有少许经验的黑客来说,除了这可能是一台防守很差的电脑,这也是很可疑的一台电脑,就像张扬着自己是一个陷阱。为了增加可信性,可以把一些端口关掉。可以打开 /etc/nepenthes/nepenthes.conf,把部份漏洞模块注释掉:
! J4 {; ]4 U$ @, k3 V57 // vulnerability modules! M+ R- ^# D k1 ?+ B
…7 L3 p" ?8 u1 H: _
62 “vulniis.so”, “vuln-iis.conf”, “”; I- V4 }" [2 N3 M- M" P0 S/ D
63 // “vulnkuang2.so”, “vuln-kuang2.conf”, “”; O& H H# [9 g* P2 m/ J
64 “vulnlsass.so”, “vuln-lsass.conf”, “”
7 A; o( o# G9 }, ?- r: v…
. \; g; U J( ]/ Z/ I$ L有兴趣的人可以加一个 -sV 上去(测试服务的版本及身份),看看有甚麽有趣的结果?
4 }7 M" f' Z% l( }% p3 _0 j5 m7 ~7. 文章总结! y" Z& H9 F: Z! g% P
我们的电脑无时无刻都受到攻击,但我们不知道是甚麽人要攻击我们,通过蜜罐,你也可以暸解黑客的行动,对「谁入侵我的电脑」这个问题作出初步解答。本篇文章介绍的 Nepenthes 是一个低互动性蜜罐,亦只是很多蜜罐中的其中一种,而通过高互动性蜜罐,更可以暸解更多关于黑客的日常运作。现在可以由不知所措变成有所行动了,并见识一下全世界的黑客没公开的技术了。
6 @6 A8 `! K+ v+ f作者
4 Z) E2 t" m! L$ P/ g! j! S( w“Log0″ 是一位电脑安全研究人员,我是针对蜜罐、网页安全及网络犯罪这方面的研究,并在 http://onhacks.org 裡以 log0 的笔名撰写关于电脑安全的文章。
" U& Y/ C" s) T& F" z& z! w+ M===
& A# p7 W$ N% R4 G6 E" }0 c參考 :" @( ~% K* _/ K: h) R; A
Nepenthes – http://nepenthes.carnivore.it/
6 F9 l+ Z8 `# u1 F- j; t$ F& SNiels Provos, Thorsten Holz – “Virtual Honeypots: From Botnet Tracking to Intrusion Detection” |
|
窥视卡
雷达卡
发表于 2009-7-20 22:40:08
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡