Module 9 ：誘捕系統實習

Module 9：誘捕系統實習

學習目的 • 利用誘捕系統，找出網路中潛在的威脅 • 本模組共有四個小節包括 (1)誘捕系統簡介 (2)誘捕系統工具介紹 (3)誘捕系統的實務 (4)誘捕系統的專案實作共需三個鐘點

Module 9：誘捕系統實習 • Module 9-1：誘捕系統簡介(*) • Module 9-2：誘捕系統工具介紹(*) • Module 9-3：誘捕系統的實務(**) • Module 9-4：誘捕系統的專案實作(*) * 初級(basic)：基礎性教材內容 **中級(moderate)：教師依據學生的吸收情況，選擇性介紹本節的內容 ***高級(advanced)：適用於深入研究的內容

Module 9-1：誘捕系統簡介(*)

誘捕系統(Honeypot)的介紹 • 誘捕系統(Honeypot)：受到嚴密監控的網路誘騙系統，具有以下特點 • 迷惑敵人，誘使駭客攻擊Honeypot而無暇去攻擊一些系統中比較重要的機器 • 對新攻擊發出預警 • 引誘駭客攻擊 • 對攻擊的行為和過程進行深入的分析研究 • 使用入侵偵測系統與防火牆等結合使用，以提升系統安全性

誘捕系統(Honeypot)的重要性 • 建構網路防護系統，對未經授權或非法的存取動作進行偵測，進而引誘攻擊者入侵組織資訊系統的陷阱 • 作為對系統弱點預警及先進的監視工具 • 減低資訊科技系統及網路遭攻擊的風險 • 蒐集入侵方法並加以分析，為系統的潛在漏洞提供寶貴資訊 • 程序為偵測誘捕反制

誘捕系統(Honeypot)的重要性 (續) • IDS 跟Honeypot： • 傳統的入侵偵側系統(IDS) • 它記錄了網路上的流量且尋找攻擊和入侵的線索。並針對已知的入侵手法對外來的attacker作出警告(alert) • Honeypot • 了解入侵者的攻擊方式，並從Honeynet 所收集來的資訊分析、監視未來可能被攻擊的趨勢 • 學習駭客入侵的工具，這些資訊也可被用教作教育訓練。並藉以找出作業系統的弱點

誘捕系統(Honeypot)的功能 • 誘捕系統模擬成有缺陷的系統，等待攻擊者來攻擊，藉以蒐集攻擊的手法與方式 • Honeypot解決IDS或防火牆記錄等資訊過量問題 • 為一個模擬或真實的網路系統 • 隱藏在防火牆後面，所有進出的資料皆受到監視 • 使用不同的作業系統及設備，如Solaris、Linux、Windows NT及Cisco Switch

誘捕系統(Honeypot)的功能 (續) • 不同的系統平台上面運行著不同的服務 • 例：Linux的DNS server、Windows NT的webserver或Solaris的FTP Server • 入侵者會將目標定於幾個特定的系統漏洞上 • 不同的服務有不同的攻擊手法 • 分析記錄使我們了解服務的弱點

誘捕系統(Honeypot)的分類-真實與虛擬

誘捕系統(Honeypot)的分類 • 低互動性誘捕系統(Low-Interaction Honeypot) • 提供有限的服務，藉由模擬服務與作業系統來運作 • 風險也較小，因攻擊者絕不會進到一個真實的作業系統 • 高互動性誘捕系統(High-Interaction Honeypot) • 以真實的作業系統與真實的應用程式來運作，而非模擬 • 風險相對較高，因攻擊者可能攻陷一個真實的作業系統，並威脅真實的網路

低互動性誘捕系統(Low-Interaction Honeypot) • 模擬現有作業系統上的服務 • 監控沒有使用的 IP 位址空間 • 記錄攻擊 • 主要優勢 • 較容易部署與維護 • 風險亦較小，因攻擊者絕不會進到一個真實的作業系統 • 例：Honeyd、Nepenthes及Honeytrap

高互動性誘捕系統(High-Interaction Honeypot) • 以真實的作業系統來構建，提供真實的系統和服務給駭客攻擊 • 不預設一個攻擊者會有什麼樣的行為，而提供可以追蹤所有活動的環境 • 缺點： • 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器 • 部署較為複雜，技術層面較高 • 例：Honeywall-ROO、HIHAT及Honeybow

誘捕系統(Honeypot)的分類-攻擊端 • Server Honeypot • 傳統的Honeypot類型屬於server Honeypot，主要目標是讓駭客找到並進行攻擊 • 是被動式的等待攻擊行為發生，因為是被動式的，若沒有攻擊則無法見到誘捕效果 • Client Honeypot • 以主動方式對目標網站進行偵測 • 分析是否有可疑行為，快速判斷並提供警告的訊息 • 包含請求、回應、攻擊三個程序

誘捕系統(Honeypot)的分類-攻擊端

Module 9-2：誘捕系統工具介紹(*)

誘捕系統(Honeypot)工具比較 • 商業軟體 • 優：效果佳 • 缺：成本高 • 例：Symantec Decoy Server與KFSensor • 免費軟體 • 優：成本低 • 缺：缺少某些商業軟體所提供的效果 • 例：Honeyd與Nepenthes

誘捕系統(Honeypot)工具比較 9-18

誘捕系統(Honeypot)工具- Symantec Decoy Server • 由賽門鐵克公司所發展商用之誘捕系統 • 會警示由內/外部所發出之未經授權的入侵意圖 • 可自動地偵測與回應新型態的攻擊 • 過程可重播 • 改善在使用者間建立模擬的電子郵件流量的能力，以強化誘捕的環境 • 改善回應機制，包括以頻率為基礎的政策，以及以攻擊活動為根據的關機系統 • 提供早期的威脅偵測以及重要資訊，以維持營運的網路基礎架構

誘捕系統(Honeypot)工具- Symantec Decoy Server • 可在一台主機電腦上建立四個誘捕系統，單個誘捕系統可以獨立運作，也可以與其他誘捕系統協同運作 • 會建立一個核心封套（Kernel Wrapper），用來控制誘捕系統與主機核心之間的互動 • 會使用現有作業系統來建立一個可信賴的作業環境

誘捕系統(Honeypot)工具- KFSensor • 可針對Windows作業系統所提供的各項服務以及弱點進行模擬 • 可模擬Windows的網路，如NetBIOS、SMB、CIFS • 可偵測到針對Windows檔案分享的攻擊 • 模擬常見的通訊協定如：FTP、SMB、POP3、HTTP、Telnet、SMTP與SOCKS等以蒐集攻擊者的資訊資料來源：http://www.keyfocus.net/kfsensor/

誘捕系統(Honeypot)工具 - Honeyd • 輕型Open-source的虛擬Honeypot • 模擬多個作業系統和網路服務 • 諸多外掛模組，用於模擬常見的服務 • 模擬微軟 IIS 網頁伺服器的Scripts • 模擬SMTP • 模擬HTTP • 模擬Telnet • 支援IP協定架構 • 模擬任意拓撲架構的虛擬網路與網路通道

誘捕系統(Honeypot)工具 - Honeyd (續) • 處理目的IP位址屬於虛擬Honeypot之一的網路封包的方法 • 對指向Honeyd主機的虛擬IP位址創建特定路由 • 使用ARP-Proxy • 使用網路通道

誘捕系統(Honeypot)工具 - Honeyd (續) • 利用Blackholing或ARP Spoofing偵測是否有IP被要求連線，模擬成一個擁有此IP跟服務的系統進行交談並記錄下來，交談完畢後Honeyd會將此IP及對應的服務給卸載下來。運作是很有效率的。 • Honeyd是使用NMAP的OS Fingerprint資料庫，所以可以模擬超過490種的作業系統發佈版本，所以當駭客使用NMAP來對Honeyd做OS的fingerprint，Honeyd就可以輕易的騙過駭客資料來源:http://www.ringline.com.tw/epaper/Forum980801.htm(瑞麟科技)

使用ARP - Proxy 封包的Destination=Honeypot Windows NT 4.0 9-25

使用ARP - Proxy (續) 路由器查詢它的路由表由找到10.0.0.13的轉送位址 9-26

使用ARP - Proxy (續) 沒有配置專用的路由 9-27

使用ARP - Proxy (續) 路由器透過ARP請求確定10.0.0.13 的MAC位址 9-28

使用ARP - Proxy (續) 路由器把發送Honeypot Windows NT 4.0的封包轉到Honeyd主機的MAC位址 9-29

Honeyd原理說明 在port 80等待連線

Honeyd原理說明 (續) 有人連進來，由subsystem接受連線 9-31

Honeyd原理說明 (續) 由internal service決定如何回應 9-32

Honeyd配置 • 透過配置模板(Template)來配置虛擬的Honeypot • 配置語言是一種Context-free文法(上下文順序無關)，可以設定虛擬網路、作業系統及服務

配置模板 創建一作業系統模板 • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 9-34

配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 設定該模板的Nmap 指紋 9-35

配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 設定預設的TCP和UDP和ICMP 動作 9-36

配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 設定系統監聽埠號，並且呼叫腳本iisemul8.pl和cmdexe.pl 9-37

配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 打開TCP 139與137 Port 打開UDP 137與135 Port 9-38

誘捕系統(Honeypot)工具 - Nepenthes • Nepenthes為惡意程式誘捕系統，藉由模擬系統弱點，誘使惡意程式對誘捕系統進行攻擊，進而捕捉到惡意程式，是屬於Low-Interaction Honeypot

誘捕系統(Honeypot)工具 - Nepenthes (續) Vulnerability Modules：模擬網路服務的弱點

誘捕系統(Honeypot)工具 - Nepenthes (續) Shellcode parsing Modules：分析與反解Exploit Payload，找出Mal-URL

誘捕系統(Honeypot)工具 - Nepenthes (續) Fetch Modules：利用HTTP、FTP、TFTP…從遠端抓取惡意程式Binary

誘捕系統(Honeypot)工具 - Nepenthes (續) Submission Modules：將抓下來的惡意程式存到Disk，或其他伺服器

Nepenthes … 誘捕系統(Honeypot)工具 - Nepenthes (續) • 於Linux環境下執行，透過模組模擬不同的系統弱點，並可將蒐集的惡意程式儲存在分散式的資料庫中 • Developer：Paul Baecher, Markus Koetter • Nepenthes網址： • http://nepenthes.carnivore.it • http://nepenthes.mwcollect.org

誘捕系統(Honeypot)工具 – Nepenthes (續) • Nepenthes可以模擬的弱點

漏洞掃描工具 - X-Scan • 掃瞄內容包括：遠端系統服務類型、操作系統類型及版本，各種弱點漏洞、後門、應用服務漏洞 • 原創作者：XFOCUS Team • X-Scan網址：http://www.xfocus.org/programs/200507/18 9-46

誘捕系統(Honeypot)工具 - Kippo • 一種中互動式的開源SSH honeypot • 用來紀錄暴力攻擊的模式，並可以提供攻擊者操作的shell • 主要是在Kojoney的基礎上進一步提供更真實的shell互動環境 • 安全的偽裝一個建全的文件系統，允許攻擊者能夠自行操作增添或是刪除文件的動作 • 以UML(user model linux)相容格式紀錄shell log檔，提供輔助工具幫助還原攻擊過程

誘捕系統(Honeypot)工具 - Kippo (續) 攻擊者透過SSH進行連線將連線導入kippo shell中導入 Kippo Shell 記錄透過Kippo Shell擬真的互動環境，引誘攻擊者進行動作，透過UML相容格式記錄下攻擊者的動作 LOG

結論 • Honeyd可以應用在網路安全的許多領域 • 例︰病毒探測、反蠕蟲、阻止垃圾郵件及轉移攻擊目標等 • Honeypot系統都是正在發展中的技術，還需要不斷地擴充和完善功能，提升迷惑性和自身的安全性 • 誘捕系統為安全研究使用較多，部署於企業內部需考量其風險及安全性，並配合適當的監控及分析技術，否則仍不適用於一般的企業作為安全機制的一環

Module 9-3：誘捕系統的實務(**)

Module 9 ：誘捕系統實習