|
|
文章作者:log09 F. `! R3 K I, Y
原始出处:http://onhacks.org/2 `- v2 B; f2 P3 k( _
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
, \. Y. E) C' ~1 @3 G===
. H$ K& X! c" S+ J c1 M谁在入侵我的系统?
7 p3 I$ W, d/ Y% ]% ~) Y1. 谁入侵我
% e! D6 P' z' H* d/ J2. 何谓蜜罐" z) K0 m# S X
3. 设置陷阱2 F" V/ s8 R/ J( P6 E
4. 开始反击. e( r6 }$ c& O; i8 u% m
5. 分析罪证
" d3 s! R$ m7 `) n: i$ `! i6. 改善蜜罐6 ^9 t% h2 ^+ f S" u4 i O: H0 x
7. 文章总结! K6 u+ r) H& L! P% ?
===, C( s# D# c+ `1 H1 |7 V
1. 谁入侵我5 w1 O5 h2 j+ s. F4 i% @; _
我们的电脑无时无刻都受到攻击,怎麽找出是谁呢?
5 ~# T; t7 e' s* {这篇文章不会为你马上带来答案,但将会引导你去发现这个问题的可能解法。若果你以前没有接触过蜜罐,这将会是一个很有趣的概念。, B5 L5 d& C% N) z
2. 何谓蜜罐$ U6 s8 R0 m; }7 i: `- d
蜜 罐 (honeypot) 的唯一用途是给黑客控制,它和普通的电脑看上去无异,并且有平常的系统上的程式,可能是一台 Windows 也可以是一台 Linux。透过这部被控制的电脑,这些不知情的黑客还以为轻鬆得到肉鸡,在他们为所欲为之时,我们可以静观黑客的所作所为,使我们能学会及掌握他们的技术和动机等等。利用他们不小心留下的证据,加上一些网路地址 ( IP address )等资料,我们可以掌握黑客的真正身份。根据蜜罐的定义,它没有其他正常的用途,而且也不应该有,所以它是不应该有外界接触到,因此所有的访问都当是恶意的,这除去了我们要分办正常和恶意的连接。6 P! Z% ]. ?: E
蜜罐主要分几种类,又可以是多种类组合而成,但具体的分为以下两种:, I0 M. j8 m0 w e/ V) b! `
1. 高互动性蜜罐 ( high interaction honeypot )- v* l) i! t! C. v: V* g( L2 y
2. 低互动性蜜罐 ( low interaction honeypot )* @8 s- q6 Y+ y" Z A( `
高 互动性蜜罐 – 这种蜜罐和普通的电脑无异,他们是可以完完全全给控制并和普通电脑无异,唯一不同是所有行为都给纪录下来。由于其像真度极高,黑客可以在内为所欲为,但这也意味着电脑可以用来攻击其他无辜的人,所以我们要加入侵检测系统及防牆去降低伤害性,并且要设置一个很重要的蜜牆 (Honeywall),用以把恶意的入侵隔离。所以,高互动性也有一定的危险性。这种搭建需要一正台电脑或虚拟电脑,所以相对也要更多资源。这篇文章将不会解说这个安装方法。, d- R% c# n2 z& F
低互动性蜜罐 – 这种蜜罐的特色是它只是模彷一些已知漏洞 (Vulnerability) 的行为来欺骗一些自动化或简单的攻击方法,因为不会模彷程式的所有功能,亦因为我们只是接收数据而不执行,在收到攻击数据 (Attack vector) 之后,我们就会把连线断掉,此时我们已把想要的资料记录下来了,所以这个有效的降低了危险性。和高互动性蜜罐不同,这不用到真正可被攻击控制掉的程式。
3 C* y& Y% F) Z这篇文章将会谈级如何在 Linux (Ubuntu 9.04) 上搭建一台低互动性蜜罐。作者选用 Ubuntu (或Debian) 是因为这比较用容搭建这个蜜罐起来。& _3 ~ B% W. S6 Z% u, i
3. 设置陷阱) r! J' f+ @/ G% ~' Q! d7 z
今 次我们用的是 Nepenthes 低互动性蜜罐。它的概念主要是模彷已知漏洞的程式,模彷的程度是足以暪骗一些程式和低水准的黑客,而且因为攻击只是被记录而无被执行,所以比较安全。再者,它的模彷功能都主要为 Windows 的漏洞,即使被攻击了,Windows 的攻击也不会影响 Linux 。它亦有一个很重要的功能,就是能够把病毒样本下载并储起来,让你可以以后慢慢研究剖析黑客的行为或最新在野的病毒。
( h. n! v; m# {8 H: {Ubuntu/Debian 的用户可以这样安装 :8 d4 M2 Q8 m) x" y/ L r
$apt-get install nepenthes
4 w( ?. K, m/ w. \. O或者是去官方网站下载% m" J \& V: x" x5 S$ M- [1 x
http://nepenthes.carnivore.it/; i! E. r- ^( L' l) p, w
4. 开始反击
' s$ z) L/ T: a& b' m) S$nepenthes" {" F% ?( _$ e. w
就可以开始了!- r2 z: l8 `2 t! X' m! f
若果要有更多的资讯,应去修改 /etc/nepenthes/nepenthes.conf ,找出这数行。/ p3 @% H: B$ u3 }% l
// logging9 P0 Q( z8 Q Q7 x6 p8 ]5 u0 ?
41 “logattack.so”, “log-attack.conf”, “”, B/ Z$ X3 L9 V% v8 r1 P
42 “logdownload.so”, “log-download.conf”, “”
: |# ?, P4 }) D( t43 // “logirc.so”, “log-irc.conf”, “” // needs configuration
$ ]6 j! V% [, _' a& [ q7 W. i44 // “logprelude.so”, “log-prelude.conf”, “”0 t Q$ L- Z+ F) A% f# |3 n) C
45 “loghexdump.so” “” “”
+ e' Z* d* v2 s$ p7 s6 h, q! C# |4 H4 B把 logattack.so, logdownload.so 的注释码除去。
8 o- f; N2 ~* F6 z5. 分析罪证
8 w* y& {0 j7 G8 W: s运气好的话,大概过了数小时,再打开 /var/log/nepenthes.log,就会看到有所斩获;若然没有,请耐心等待,并检查一下外界能否连进来蜜罐:; Q% Y& l2 c+ Y% V/ o/ c3 t
(为了保护原有电脑的安全,我把网络地址都给修改过。 )7 p* S2 m; x+ V& I3 e6 Q& R! I
–1 b$ k6 z+ i* g7 C
Socket|LUID=0×9b6b290|Start=1246711030.266579|Finish=1246711030.638501|Status=CONNECTED|Proto=TCP|Type=INCOMING|Local=192.168.1.4:135|Remote=xxx.96.245.148:61250|RX=2,1520,a87bbacd0cd1c84a5991ccc690492866|TX=3,532,dc9b4e2f264c732eb5b239b2bd3a23bd|Dumpfile=
9 a# X; G7 R' p7 j* F! fShellcode|LUID=0×9b6afd0|Start=1246711030.453659|Finish=1246711030.462127|Type=UNKNOWN|Emulation=SUCCESS|Handler=execute::createprocess|ISock=0×9b6b290|MD5=52e5dbe8fc84060525e965aa0c030f0c|Trigger=Generic Microsoft Windows DCOM0 Z& c7 b( T ^' ]4 m4 a; M% j
Download|LUID=0×9b6bcb8|Result=SUCCEEDED|Start=1246711030.461798|Finish=1246711185.861585|ISock=0×9b6b290|SSock=|MD5=5069160ffe5a229ed2ee1ddd8ca14df6|SHA512=ca50e009cad7f861759f85f8db74a684f6eee8f081bcdc255414ca898bbd7ef5c14c8a7bdd875201a51581ea484a49f4cceaf90ecef526c8bdda0d5ae94e24f5|Trigger=Download Initiated by Shell Command|URL=tftp://xxx.96.245.148/ssms.exe6 J( ?# _+ ]6 x! l5 p; u
–
, a& @6 u( E0 r…
$ V0 l. R9 m. |: R4 v+ o…+ d y! ]4 X( C- A2 o1 v. [! \
这 是由 远端 xxx.96.245.148:61250 发出的一个攻击包,而我的私域网络是 192.168.1.4,被攻击端口是 135,而下载了的程式的 MD5 hash 为 5069160ffe5a229ed2ee1ddd8ca14df6,在 VirusTotal 上搜出来发觉是 Net-Worm.Win32.Kolabc.gwr 。
9 p6 ~4 c! N, t& S6. 改善蜜罐
. X5 G/ Q0 ^' s% W3 P, x, ]Nmap 是一个能用作网络扫描的工具,就让我们扫一下这台蜜罐 192.168.1.4 吧。
' ^5 j, S6 h- V: b看看以下 Nmap 的结果 :
' B! R; T2 w' C8 r' G' m# Nmap 4.90RC1 scan initiated Sat Jul 11 01:39:09 2009 as: nmap -oN 192.168.1.4.sS.txt -v -sS 192.168.1.4
! m- B* @7 j1 G; lHost 192.168.1.4 is up (0.000011s latency).. F7 s2 R6 _# y. ~( q0 w- F
Interesting ports on 192.168.1.4:
0 z" o! {% s* e r% ~, `; kNot shown: 975 closed ports) s0 T+ q8 c# L
PORT STATE SERVICE
3 f# R( g# k2 `/ z$ P; m21/tcp open ftp
9 a. N$ P3 E3 f7 S ~. s) D; n22/tcp open ssh
1 p( j1 \, T% b7 i25/tcp open smtp& C6 \$ p' T1 T8 v
42/tcp open nameserver
6 q) T$ J" J1 f; A1 s8 o9 t80/tcp open http
2 g1 p0 g% f: i+ E110/tcp open pop3* q b5 z* @1 z" j: ?- E
135/tcp open msrpc
" } k$ v) L# a3 {4 A139/tcp open netbios-ssn9 T: a6 r; P, p' }0 L7 L+ G
143/tcp open imap
) y6 p- R- f/ Q- D: W! {& r443/tcp open https
% j; t1 w9 l8 c9 W445/tcp open microsoft-ds
1 `# ?1 [: v, @# S. ]465/tcp open smtps0 l) y) d% ?, j$ M: V; M9 O
993/tcp open imaps& T) r: w4 I) k
995/tcp open pop3s
" N! e1 C; \2 k; F1023/tcp open netvenuechat# S3 @/ U) s, E& ^( @, C7 }
1025/tcp open NFS-or-IIS. \( }6 I2 f+ P1 V
2103/tcp open zephyr-clt
# i! C. ~' O+ \2105/tcp open eklogin
8 J: H7 n5 @. B$ J2107/tcp open unknown% |: f6 i9 Y# X& W& ?5 Y& x
3372/tcp open msdtc
9 X7 A. C I3 S: n+ j& R5000/tcp open upnp
u2 i, |0 b& y7 G8 v9 G# { D- \5901/tcp open vnc-1% [$ u8 K7 P/ y1 Z1 }! t* [
6129/tcp open unknown6 t7 L5 [- S6 Q! E; N3 j
10000/tcp open snet-sensor-mgmt# Z$ l1 V) Y( y' H: M: h- [
10012/tcp open unknown
, e* Y0 q6 Z8 l3 cRead data files from: /usr/local/share/nmap+ [) v* ?( }/ h# z" C# k$ q0 m
# Nmap done at Sat Jul 11 01:39:09 2009 — 1 IP address (1 host up) scanned in 0.17 seconds: G6 V' {* u2 Q9 t9 q
对于一位有少许经验的黑客来说,除了这可能是一台防守很差的电脑,这也是很可疑的一台电脑,就像张扬着自己是一个陷阱。为了增加可信性,可以把一些端口关掉。可以打开 /etc/nepenthes/nepenthes.conf,把部份漏洞模块注释掉:
! q5 R: E, U0 \3 P7 J, S0 U57 // vulnerability modules
. Q; V/ ]% s* G2 @$ d…
% |5 C* } E) X4 r62 “vulniis.so”, “vuln-iis.conf”, “”$ R4 i" `6 S! C
63 // “vulnkuang2.so”, “vuln-kuang2.conf”, “”$ I: l; T C; J3 W+ x5 [% g
64 “vulnlsass.so”, “vuln-lsass.conf”, “”3 i. K7 X- e& q9 w1 V4 K
…
: f% _7 }! n% L! E& l7 ^有兴趣的人可以加一个 -sV 上去(测试服务的版本及身份),看看有甚麽有趣的结果?
: @$ m& Z k6 V- X* b& K7. 文章总结" m! Z. r+ W& c3 z; c/ s9 w
我们的电脑无时无刻都受到攻击,但我们不知道是甚麽人要攻击我们,通过蜜罐,你也可以暸解黑客的行动,对「谁入侵我的电脑」这个问题作出初步解答。本篇文章介绍的 Nepenthes 是一个低互动性蜜罐,亦只是很多蜜罐中的其中一种,而通过高互动性蜜罐,更可以暸解更多关于黑客的日常运作。现在可以由不知所措变成有所行动了,并见识一下全世界的黑客没公开的技术了。! _& j) j1 k" ^6 D6 C1 I5 J# V
作者% ^( R# c9 {4 [2 p0 G# Z3 j8 s
“Log0″ 是一位电脑安全研究人员,我是针对蜜罐、网页安全及网络犯罪这方面的研究,并在 http://onhacks.org 裡以 log0 的笔名撰写关于电脑安全的文章。
( m( x; m3 _8 h; [- M===
' F: Y2 x1 K6 n3 R( T6 I參考 :
5 q9 n$ B6 X8 b. ?) }Nepenthes – http://nepenthes.carnivore.it/
6 @1 a9 D' X8 I0 ^4 P* JNiels Provos, Thorsten Holz – “Virtual Honeypots: From Botnet Tracking to Intrusion Detection” |
|
窥视卡
雷达卡
发表于 2009-7-20 22:40:08
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡