Honeypot Detection in Advanced Botnet Attacks

1. Honeypot Detection in Advanced BotnetAttacks • International Journal of Information and Computer Security • 2010 - Vol. 4, No.1  pp. 30 – 51 • Ping Wang, Lei Wu, Ryan Cunningham,Cliff C. Zou Speaker:Hom-Jay Hom Date:2010/05/13

2. Outline • Introduction • Honeypot Detection in Hierarchical Botnets • Experiment Evaluation • Honeypot Detection in P2P-Structured Botnets • Defense Against Honeypot-Aware Attacks • Related Work • Conclusion

3. Introduction(1) • 在過去的10年，網際網路用戶不斷遭受四面八方而來的攻擊，如:電子郵件病毒和蠕蟲等…。 • 攻擊者已經轉向影響和控制受害者的電腦，這一有利可圖的攻擊主題，使大量的殭屍電腦出現在網路上。 • 殭屍網路，是網路上受害電腦被安裝惡意程式進而被 攻擊者所控制。稱為bot，透過網路接受命令從 botnet的擁有者，或稱“botmaster”。 • Botmaster可利用botnet，進行如：DDoS、SPAM-mail、鍵盤側錄，等…攻擊。

4. Introduction(2) • Honeypot 是一種特殊構造的電腦或網路陷阱，用來吸引攻擊者，以便在背後收集檢測惡意攻擊。 • 隨著越來越多的人開始使用honeypot監測 和防禦系統，botmasters將設法避免botnet掉入陷阱中。 • 本文我們提出了botmasters如何試圖掉入蜜罐陷阱，與他們的殭屍網路建設和維護。 • 這種知識對安全人員是有用的，以便準備迎接，更先進的殭屍網路攻擊。

5. Introduction(3) • honeypot檢測方法一般是根據硬體或和軟體：安全人員建立honeypot有責任不能使攻擊造成他人的損害，而botmasters不需要遵循這一限制。 • 基於這個原則，我們提出了一個新的honeypot檢測技術，其簡單且有效。 • 並以實驗表明，且對於honeypot和honeynet目前的標準提出一些建議與相關事項。

6. Introduction(4) • 在階層式的殭屍網路如果要檢測一controller是否正常 ，botmasters可執行命令到botnet，再透過sensor檢視就可得知controller是否正確執行。 • 目前比較流行的是 P2P殭屍網路，由於分散式並不集中所以，更難以監測和消滅。 • 本文提出一個簡單而有效的P2P殭屍網路技術“Two-stage reconnaissance worm”的蠕蟲攻擊，也是有能力檢測honeypot。

7. Hierarchical botnets introduction • 階層式botnet之架構圖：

8. Detection of honeypot bots (1) • 原則上要有一受感染的電腦或冒牌的惡意流量到連結到遠端botmaster實際控制的電腦上。 • 這些遠端電腦既是botmaster的sensor。 • 如果sensor從受害者的電腦收到完整及正確的資訊，則此電腦被視為正常的bot，而不是honeypot。 • 由於honeypot管理者不知道哪個電腦是botmaster的sensor哪些是無辜的電腦，他們無法抵禦這檢測技術，而不危害到那些無辜的電腦。

9. Detection of honeypot bots (2) • 檢測bot是否為honeypot的步驟：

10. Detection through infection • 一些honeypot計畫會使受感染的電腦不斷在網路上攻擊其他電腦，因此在種種情況下honeypot必須修改或限制，如：GenII honeynets。 • GenII honeynets是加入了NIPS來限制流量出入。 • 所以botmaster須利用其他方式，如：MD5特徵碼來驗證。 • 因此如果沒有詳細的binary code分析，將無法判定哪些IP屬於 botmaster的sensor。

11. Detection through other illicit activities • 基於一般偵測honeypot的方法： • Low rate port scanning : 透過隱藏的sensor IP在port-scanIP list的方式來判別是否在honeypot環境。 • 例如GenII honeynets 有對外流量及人數的限制。 • Email spamming： botmaster還擁有spambot將對外寄出一個或多個目標這些email用來做為honeypot的sensor。 • 如同網路釣魚的email，使honeypot負責人員有真正的財物損失。

12. Detection of hijacked bot controllers • Bot controller DNS query check • 當botmaster想檢查某DNS server是否被劫持，IP是否被從新導向其他地方時： • botmaster可透過某bot不斷去查詢此DNS的IP • 再對照其他DNSIPlist • 既可得知此server是否已經被劫持。

13. Bot controller command channel check • 上述DNS查詢檢查是一種有效的方法來檢測 DNS的定向，但如果偵測人員隱身監測，實際捕捉和監控在這種情況下，DNS查詢檢查將為無效。 • 要偵測此類型的方法可利用先前所介紹的方式來測試，既是用指令去測試此botcontroller是否被監控。 • 例如發動1000台bot做DDoS攻擊(但目標是錯誤的)此時受監控的controller必定不敢妄動發送命令給bot。 • 或進行極少用到的指令(既使指令為無害的)

14. Discussions • 因honeypot的檢測程序使感染的電腦造成延遲但這並不影響botnet本身，因為大多botnet將作為長期的攻擊工具。 • 因此，它不是botmasters重要的考慮問題。 • 當部署一個偵測honeypot的sensorbot時通常只要求發送其一（如垃圾郵件，病毒代碼的副本）到sensor以防止流量被發現或阻塞。 • 當連續使用的DNS查詢，以測試controller是否被劫持，這些 DNS查詢請求可能被判定為異常的DNS查詢行為。所以為防止這類事件： • （1）減慢查詢的次數。（2）使用多個sensor進行查詢。 • （3）發送 DNS查詢到許多網路上的DNSserver。

15. Experiment network systemintroduction • 使用標準的GenII honeynet： • 實驗封閉對外連線，且模仿bot感染途徑，非使用真的bot IPTables + Snort_inline

16. Honeypot detection—IPTables • IPTableson the honeywall log： bot controller 通信狀態 Honeypot被感染 開始 對外連線 TCP>6 已達IPTable門檻

17. Honeypot detection—Snort inline • Snort_inline是用來偵測對外流量，及制定規則 • 使用Code Red II 並將規則修改成為unmalicious • Snort_inline 偵測到Code Red II 的 log

18. Honeypot Detection in P2P-Structured Botnets(1) • Cooke et al. 2005 討論三種Botnet架構： • 隨機式：因會延遲，且不易管理，所以不討論。 • 階層式：因需購買大量網域名稱，且容易被偵測發現。 • 點對點：分散式不易被察覺，近年來以有許多此類型的拓撲，在未來也勢必會有更多的發現。

19. Honeypot Detection in P2P-Structured Botnets (2) • 在 P2P-botnet，每個bot都有一組 IP地址列表，包含其他bot，可以連接，這是所謂”peerlist”。 • 因沒有集中的管理方式來提供身份驗證，所以每個bot必須獨立判斷，它的宿主是否為honeypots。 • Botmaster因此需要新穎的技術來偵測P2P-Botnet的honeypots技術。 • 在本文，我們提出一個簡單而有效且先進的蠕蟲病毒”two-stage reconnaissance worm”。

20. Two-stage reconnaissance worm • A two-stage reconnaissance worm is designed to have two parts: • first part: 判斷新感染的電腦是否為honeypot • spearhead • the second part : 決定是否讓新bot加入 P2Pbotnet. • main-force P2Pbotnet

21. Advanced two-stage reconnaissance worm in response to “double honeypot”defense • Tang and Chen, 2005 提出一個“double honeypot”系統，如果將此系統當作遠端的受害主機則可以欺騙過”Two-stage reconnaissance worm” • 因double honeypot系統可以模擬外部任何ip double honeypot

22. Honeypot detection time delay modeling and analysis • 因受感染的主機並不是馬上加入botnet （由於honeypot檢測程序）這時候因時間延遲影響botnet的成長或升級及進攻的力量。 • 所以Botmaster可能有興趣知道的時間延遲。 • 而以防衛的角度當然也有興趣知道有多少時間能檢測此類型的殭屍病毒。 • 因此我們提出一個分析模型作為一個殭屍網路分析Two-stage reconnaissance worm的傳播。

23. We use Matlab Simulink (Simulink) to derive the numerical solutions： JoinP2P Botnet Spearhead 階段 main-force 階段

24. Defense Against Honeypot-Aware Attacks • 之前我們介紹了建置或使用Honeypot的規定與相關的道德規範，卻沒有強制去執行。 • 例如：有些國家級或公司的人員在法律上是許可，且無限制的對外發送惡意流量。 • 當然現在網路安全在法律上並不是那麼成熟，因此有些人建置honeypot但卻無限制的對外進行攻擊，這行為是非常粗心且危害網路安全的。 • 在GenII honeynet 中有考慮禁止惡意流量對外發送，卻沒有嚴格執行。所以在本篇paper將提出一些看法： • 1. 應限制對外流量上限。 • 2. 應禁止修改或可以檢測惡意封包的流出。

25. Related Work • Botnet 是目前網路上最主要的威脅，所以有許多專家學者討論，如何使用honeypot來監測botnet，目前有兩種主要的技術： • 第一種技術：是讓honeypot加入botnet來觀察bot間的驗證方式、犯罪類型。 • (B¨acher et al., 2008; Cooke et al., 2005; Freiling et al., 2005). • 第二種技術：是劫持bot controllers’ DNS，用來監聽botmaster的命令與訊息交換方式擊犯罪類型。 • (Dagon et al., 2006)等...。

26. Conclusion • 由於其潛在的非法經濟利益，Botnet已成為網路上最大危害。隨著安全人員建置honeypot的檢測和防禦系統，botmasters將設法避免在他們的Botnet陷阱蜜罐。透過利用各種方式檢測honeypot虛擬環境。 • 安全人員使用honeypot是有責任的限制。 • 例如：應無法製造太多的惡意攻擊或造成網路上的危害。 • 在本文中，我們介紹各種手段，使botmasters可檢測honeypot在基於建置Botnet這個原則。蜜罐的研究和部署仍然有顯著的價值， • 最後希望這篇paper將提醒honeypot研究人員的重要性，如何建立和限制honeypot蜜罐中的安全及防禦部署。