|
文章作者:log07 M- y9 F% i5 j5 V
原始出处:http://onhacks.org/8 k3 ^! z I8 v4 u
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)/ h2 Q8 e( K/ Z2 V& g+ A
===
' ^ }8 ?$ q# n7 \8 B0 p+ J F! a谁在入侵我的系统?; b# Y' W% r) a
1. 谁入侵我
# k) a6 ]2 i! O9 l/ S; x: |2. 何谓蜜罐
3 E+ `" B9 u9 C {( T3. 设置陷阱' e' d; }( C: T* c7 R/ I
4. 开始反击
: _# b2 i1 ?! ~- C1 W0 S5. 分析罪证* I/ t* R$ K9 ~
6. 改善蜜罐( W: `* ^ U3 \/ \4 J" {( N9 t$ Z
7. 文章总结 N8 V( T/ h! _
===. C8 o5 Y/ O! p# F0 c+ R# r- u
1. 谁入侵我5 |. e# U# r& m. D2 e0 B& N/ ]
我们的电脑无时无刻都受到攻击,怎麽找出是谁呢?
1 \* B6 n/ z" o这篇文章不会为你马上带来答案,但将会引导你去发现这个问题的可能解法。若果你以前没有接触过蜜罐,这将会是一个很有趣的概念。& @0 Q0 j6 I6 O8 j3 A- R7 l
2. 何谓蜜罐
8 e3 K, i* l7 L) Z蜜 罐 (honeypot) 的唯一用途是给黑客控制,它和普通的电脑看上去无异,并且有平常的系统上的程式,可能是一台 Windows 也可以是一台 Linux。透过这部被控制的电脑,这些不知情的黑客还以为轻鬆得到肉鸡,在他们为所欲为之时,我们可以静观黑客的所作所为,使我们能学会及掌握他们的技术和动机等等。利用他们不小心留下的证据,加上一些网路地址 ( IP address )等资料,我们可以掌握黑客的真正身份。根据蜜罐的定义,它没有其他正常的用途,而且也不应该有,所以它是不应该有外界接触到,因此所有的访问都当是恶意的,这除去了我们要分办正常和恶意的连接。
6 n3 O8 p, N8 c* p) c蜜罐主要分几种类,又可以是多种类组合而成,但具体的分为以下两种:
& x Q b" h: Y }1. 高互动性蜜罐 ( high interaction honeypot )3 M j' i& R# x/ q0 W' N
2. 低互动性蜜罐 ( low interaction honeypot )
5 M* V# }- R- U& @高 互动性蜜罐 – 这种蜜罐和普通的电脑无异,他们是可以完完全全给控制并和普通电脑无异,唯一不同是所有行为都给纪录下来。由于其像真度极高,黑客可以在内为所欲为,但这也意味着电脑可以用来攻击其他无辜的人,所以我们要加入侵检测系统及防牆去降低伤害性,并且要设置一个很重要的蜜牆 (Honeywall),用以把恶意的入侵隔离。所以,高互动性也有一定的危险性。这种搭建需要一正台电脑或虚拟电脑,所以相对也要更多资源。这篇文章将不会解说这个安装方法。
5 F, Q6 `: _& g0 T低互动性蜜罐 – 这种蜜罐的特色是它只是模彷一些已知漏洞 (Vulnerability) 的行为来欺骗一些自动化或简单的攻击方法,因为不会模彷程式的所有功能,亦因为我们只是接收数据而不执行,在收到攻击数据 (Attack vector) 之后,我们就会把连线断掉,此时我们已把想要的资料记录下来了,所以这个有效的降低了危险性。和高互动性蜜罐不同,这不用到真正可被攻击控制掉的程式。, c0 H* H9 h* `+ @, @6 q
这篇文章将会谈级如何在 Linux (Ubuntu 9.04) 上搭建一台低互动性蜜罐。作者选用 Ubuntu (或Debian) 是因为这比较用容搭建这个蜜罐起来。
$ w" J2 Z# Q' X; U( A, d; V3. 设置陷阱
/ g) E: W9 ~0 `# i/ K今 次我们用的是 Nepenthes 低互动性蜜罐。它的概念主要是模彷已知漏洞的程式,模彷的程度是足以暪骗一些程式和低水准的黑客,而且因为攻击只是被记录而无被执行,所以比较安全。再者,它的模彷功能都主要为 Windows 的漏洞,即使被攻击了,Windows 的攻击也不会影响 Linux 。它亦有一个很重要的功能,就是能够把病毒样本下载并储起来,让你可以以后慢慢研究剖析黑客的行为或最新在野的病毒。5 V4 I# G+ `, ]5 s0 f& ~
Ubuntu/Debian 的用户可以这样安装 :
5 }1 G: M1 ]+ U. H$apt-get install nepenthes$ V' m" E4 n l$ }1 ~0 u8 f; f4 i
或者是去官方网站下载7 g( x8 h* O |+ o+ U
http://nepenthes.carnivore.it/
{: Q0 Y+ d% H2 h, j4. 开始反击
/ |8 x* D! L' u$ X/ `3 c. _" m0 X, Y$nepenthes. g& w+ d* Q- o
就可以开始了!
6 G! e4 L9 g/ m* Z7 l' ]若果要有更多的资讯,应去修改 /etc/nepenthes/nepenthes.conf ,找出这数行。4 A4 A! L) y3 {& Q
// logging
6 k) z' [# w0 {. p41 “logattack.so”, “log-attack.conf”, “”) G0 n! _/ Y2 \" P( D0 d" Y5 g; N o
42 “logdownload.so”, “log-download.conf”, “”' |9 r! `/ h( c( z/ j& @
43 // “logirc.so”, “log-irc.conf”, “” // needs configuration
7 S0 `1 k) [6 v7 P' n* Z! @4 t44 // “logprelude.so”, “log-prelude.conf”, “”
. c. I, v* u8 P) W* U1 T* x8 a6 x* N45 “loghexdump.so” “” “”
+ ?( k2 u2 I' q+ T! {) E把 logattack.so, logdownload.so 的注释码除去。
9 _3 R) b4 U, h7 v( {6 z& w5. 分析罪证
* M6 _* ^" S6 H! k- `+ j: h运气好的话,大概过了数小时,再打开 /var/log/nepenthes.log,就会看到有所斩获;若然没有,请耐心等待,并检查一下外界能否连进来蜜罐:- }0 H2 Y+ p0 J+ t& Y1 X
(为了保护原有电脑的安全,我把网络地址都给修改过。 )
+ ?* ~! l7 O6 R- x4 Y! C–
% R# h6 b6 e* N9 G/ @8 ]$ ?Socket|LUID=0×9b6b290|Start=1246711030.266579|Finish=1246711030.638501|Status=CONNECTED|Proto=TCP|Type=INCOMING|Local=192.168.1.4:135|Remote=xxx.96.245.148:61250|RX=2,1520,a87bbacd0cd1c84a5991ccc690492866|TX=3,532,dc9b4e2f264c732eb5b239b2bd3a23bd|Dumpfile=
0 |- ~6 b; x" v3 [9 ^8 M2 GShellcode|LUID=0×9b6afd0|Start=1246711030.453659|Finish=1246711030.462127|Type=UNKNOWN|Emulation=SUCCESS|Handler=execute::createprocess|ISock=0×9b6b290|MD5=52e5dbe8fc84060525e965aa0c030f0c|Trigger=Generic Microsoft Windows DCOM, H! W! E) u3 ^3 f4 L
Download|LUID=0×9b6bcb8|Result=SUCCEEDED|Start=1246711030.461798|Finish=1246711185.861585|ISock=0×9b6b290|SSock=|MD5=5069160ffe5a229ed2ee1ddd8ca14df6|SHA512=ca50e009cad7f861759f85f8db74a684f6eee8f081bcdc255414ca898bbd7ef5c14c8a7bdd875201a51581ea484a49f4cceaf90ecef526c8bdda0d5ae94e24f5|Trigger=Download Initiated by Shell Command|URL=tftp://xxx.96.245.148/ssms.exe
4 c( A- `. x- z3 _–7 v$ U2 t2 E9 b3 k
…
# u9 C" y, T" J7 {5 U( \9 {…
8 O5 t. V) b# }/ V这 是由 远端 xxx.96.245.148:61250 发出的一个攻击包,而我的私域网络是 192.168.1.4,被攻击端口是 135,而下载了的程式的 MD5 hash 为 5069160ffe5a229ed2ee1ddd8ca14df6,在 VirusTotal 上搜出来发觉是 Net-Worm.Win32.Kolabc.gwr 。9 Y& b6 m$ X; K1 U! Y+ }4 D; K
6. 改善蜜罐
* \% M9 C2 w& h1 o) D: FNmap 是一个能用作网络扫描的工具,就让我们扫一下这台蜜罐 192.168.1.4 吧。8 o( X! f: g- ^- n! i s/ c, ?
看看以下 Nmap 的结果 :
. H R4 p( G, d% n. R: j# Nmap 4.90RC1 scan initiated Sat Jul 11 01:39:09 2009 as: nmap -oN 192.168.1.4.sS.txt -v -sS 192.168.1.4$ F: x# K* ]* g: |( C1 B
Host 192.168.1.4 is up (0.000011s latency).
" A1 D7 ?9 B6 hInteresting ports on 192.168.1.4:
* W, ^$ E) W6 x& B! e8 RNot shown: 975 closed ports. b# p0 x( W; v+ {3 C! G' r; g( |
PORT STATE SERVICE
1 E# T) J8 l1 X) t* T21/tcp open ftp7 t' l1 u- p: Z5 x8 L
22/tcp open ssh
4 ~ o; _: i+ T: S# }% U B/ o" `4 o25/tcp open smtp
0 H" j% J3 z1 U' P- |6 Z) G: z42/tcp open nameserver
5 ]9 S8 z) _/ N) c0 c5 N5 x G80/tcp open http0 M. d4 J u* m! G
110/tcp open pop3: B7 A- z) d0 V, r7 |& i
135/tcp open msrpc
% E, ?: V2 N# ?4 m% R3 ]139/tcp open netbios-ssn
9 E% G" {* K! }# B7 Q8 C: e" V143/tcp open imap f- u; F% R- b& A! f; Z
443/tcp open https4 G1 Y/ T* Q& v* c
445/tcp open microsoft-ds6 y$ Q5 W* E9 r) @* Q, W4 F$ e
465/tcp open smtps
5 m9 }9 ~' d9 u993/tcp open imaps
c0 }& X8 L$ e% E \# [995/tcp open pop3s
' u6 G1 ^6 s- N+ I0 z1023/tcp open netvenuechat
0 {$ i* ~1 @. Q/ D1025/tcp open NFS-or-IIS3 a' E+ c g1 v8 l# F7 c
2103/tcp open zephyr-clt! y; `5 a5 ~+ B, q W& Y
2105/tcp open eklogin
6 x) Z' I# K) h. U/ ~. T2107/tcp open unknown
( j! h* Z/ _6 h8 n/ P3372/tcp open msdtc
# m& p+ Q, r( }" m3 N' X( ^5000/tcp open upnp
" k, h1 J) z* N' y$ x) F5901/tcp open vnc-1
; A1 l7 @0 B3 O- `6 \9 d6129/tcp open unknown
* s: y! b% e$ y10000/tcp open snet-sensor-mgmt( U- ]- I: t8 r b) l
10012/tcp open unknown
1 u) s8 S2 H5 l, L [Read data files from: /usr/local/share/nmap
7 T5 t8 Q" P$ M2 w) _# ?7 C {# Nmap done at Sat Jul 11 01:39:09 2009 — 1 IP address (1 host up) scanned in 0.17 seconds. o" z/ j$ v& W# }5 H+ ?
对于一位有少许经验的黑客来说,除了这可能是一台防守很差的电脑,这也是很可疑的一台电脑,就像张扬着自己是一个陷阱。为了增加可信性,可以把一些端口关掉。可以打开 /etc/nepenthes/nepenthes.conf,把部份漏洞模块注释掉:- O" r9 r3 U/ c( |) A- @
57 // vulnerability modules9 ?3 _. t+ a% J) {- j
…
5 q9 S `: |& Q0 S2 @, W8 f62 “vulniis.so”, “vuln-iis.conf”, “”
9 V$ U) Y( ]* x# W" B3 ^. |63 // “vulnkuang2.so”, “vuln-kuang2.conf”, “”
: g) Q3 ]3 S" v7 v" g! j) Z- a9 G64 “vulnlsass.so”, “vuln-lsass.conf”, “”
$ L6 e* z5 ]$ Q; a! ]…
, s3 t4 V; Q4 w) O1 N9 u7 K有兴趣的人可以加一个 -sV 上去(测试服务的版本及身份),看看有甚麽有趣的结果? n: Q# ^% b9 T8 ~2 q. H
7. 文章总结
1 X" l, c& B0 _6 T" ~$ |我们的电脑无时无刻都受到攻击,但我们不知道是甚麽人要攻击我们,通过蜜罐,你也可以暸解黑客的行动,对「谁入侵我的电脑」这个问题作出初步解答。本篇文章介绍的 Nepenthes 是一个低互动性蜜罐,亦只是很多蜜罐中的其中一种,而通过高互动性蜜罐,更可以暸解更多关于黑客的日常运作。现在可以由不知所措变成有所行动了,并见识一下全世界的黑客没公开的技术了。
# l- i! q) ~8 @( o" G7 }6 C+ j作者) }" M$ }4 K% J2 M( |4 r$ g
“Log0″ 是一位电脑安全研究人员,我是针对蜜罐、网页安全及网络犯罪这方面的研究,并在 http://onhacks.org 裡以 log0 的笔名撰写关于电脑安全的文章。, k( ]3 v/ g S( e8 F' K8 G
===$ ?; L4 E3 A; }, F$ ]; L
參考 :
3 _- Q9 l) Y8 U7 ~0 HNepenthes – http://nepenthes.carnivore.it/$ F. i, m- K; F, {; q! r
Niels Provos, Thorsten Holz – “Virtual Honeypots: From Botnet Tracking to Intrusion Detection” |
|