hakin9_5_2004_rozpoznawanie_honeypotow_demo.pdf

Wybrane metody

rozpoznawania honeypotów

Paweł Przybyłek

Przygotowanie wiarygodnej

pułapki na intruzów jest

zajęciem żmudnym

i pracochłonnym – tym bardziej,

im większą interaktywnością ma

się ona wykazywać. Lenistwo

administratorów to często

powód udanych ataków.

tencjalnych intruzów poprzez udostęp-

nianie pewnej ograniczonej funkcjonal-

ności. Istnieją dwa główne typy takich przynęt:

kretnych usług. Umożliwiają one dostęp do wy-

branych aplikacji za pośrednictwem znanych

protokołów: FTP, HTTP, SMTP i POP3. Przy-

kładem takiej pułapki jest system DTK ( The De-

ception Toolkit ) oraz Tiny Honeypot . Oba sys-

temy pozwalają symulować działanie serwe-

rów podstawowych usług – są jednak bardzo

proste, a ich rozpoznanie jest niewielkim pro-

blemem.

Trzeba pamiętać, że domyślna koni guracja

większości tego typu pułapek ma za zadanie

przedstawić jak największy wachlarz możliwo-

ści. Oczywiście niekoniecznie idzie to w parze

z wiarygodnością przynęty. Inaczej jest w przy-

padku prawdziwych usług, gdzie standardowe

ustawienia zazwyczaj oferują niewielką funk-

cjonalność, ale są najbezpieczniejsze – przykła-

dem niech będzie serwer SMTP umożliwiający

wysyłanie e-maili jedynie z lokalnej maszyny.

• honeypoty o niskiej interaktywności – pro-

ste demony, udające działanie zestawu po-

pularnych usług (np. FTP czy HTTP),

• honeypoty o wysokiej interaktywności

– prawdziwe lub zagnieżdżone (w postaci

maszyny wirtualnej) systemy operacyjne.

Metody rozpoznawania pułapek są pochod-

ną oferowanych usług – inaczej bada się wia-

rygodność maszyny, której zasoby są dostęp-

ne jedynie przez serwer WWW, inaczej zaś te,

na których uzyskaliśmy dostęp do konta shello-

wego . Im więcej intruz będzie wiedzieć o me-

todach kamul owania honeypotów, tym lepiej

poradzi sobie ze zdemaskowaniem przynęty.

Przyjrzyjmy się zatem najsłabszym stronom

popularnych pułapek.

Z artykułu nauczysz się...

Przynęty o małej

interaktywności

Honeypoty o małej interaktywności to takie,

których zadaniem jest symulowanie pracy kon-

• jak zidentyi kować najpopularniejsze honeypoty.

Powinieneś wiedzieć...

• jak działa podsystem plików /proc .

www.hakin9.org

Hakin9 Nr 5/2004

Z adaniem honeypotów jest wabienie po-

Rozpoznawanie honeypotów

Listing 1. Wykrycie obecności Tiny Honeypot za pomocą FTP

Listing 2. Fałszywy plik /etc/

ftpusers zdobyty przez intruza

Przy pierwszej próbie:

$ telnet localhost 21

Trying 127.0.0.1...

Connected to localhost.

Escape character is '^]'.

220 localhost.localdomain.localdomain FTP server (Version wu-2.6.1(2)) ready.

# /etc/ftpusers:

# list of users

# disallowed ftp access.

# See ftpusers(5).

root

ftp

anonymous

Przy następnej:

$ telnet localhost 21

Trying 127.0.0.1...

Connected to localhost.

Escape character is '^]'.

220 localhost.localdomain.localdomain NcFTPd Server ready.

Listing 3. Prosty skrypt

monitorujący obciążenie

procesora

Leniwy administrator łatwo mo-

że więc zostać zdemaskowany.

Weźmy Tiny Honeypot , gdzie przy

domyślnej koni guracji serwer FTP

przedstawia się jako losowy spo-

śród: wu-ftpd , pftpd , Ncftpd lub

często są to prawdziwe lub zagnież-

dżone systemy operacyjne. Zwykle

oferują szeroki zestaw usług oraz,

co za tym idzie, dają intruzowi więk-

sze pole do popisu. Ich identyi -

kacja jest trudniejsza niż w przy-

padku wspomnianych DTK i Tiny

Honeypot .

Generyczne metody rozpozna-

wania honeypotów to takie, które

pokazują, że serwer nie należy do

tych najbardziej zapracowanych.

Po uzyskaniu dostępu do shella na

badanej maszynie najważniejsze

jest monitorowanie zestawu ofero-

wanych przez nią usług. Urucho-

miony na atakowanej maszynie de-

mon telnet – podczas gdy dostęp do

#!/bin/sh

while [ 1=1 ]

ps -e -opcpu \

| awk '{P+= $1 } END {print P}'

sleep 1m

done

Ncftpd

Microsoft FTP Service . Kilkukrot-

ne testowanie portu 21, czyli usługi

FTP, zapewne zdemaskuje pułapkę

(patrz Listing 1).

Większe możliwości daje pa-

kiet Deception Toolkit (DTK), któ-

ry udostępnia intruzowi (np. przez

celowo nieprawidłowo skonfiguro-

wany serwer FTP) fałszywy plik

/etc/passwd czy

ne zachowanie emulowanych przez

niego usług. Dla serwera pocztowe-

go, na którym intruz ma zamiar po-

ćwiczyć najnowsze eksploity zna-

lezione w sieci, będzie to analiza

spoolera, w szczególności dat mo-

dyi kacji i dostępu do plików z pocztą

użytkowników. Słowem – specyi cz-

ne dla tej usługi działania.

Załóżmy, że agresor uzyskał do-

stęp do serwera pocztowego. Szcze-

gólnie powinien go zainteresować

katalog /var/spool/mail , wykorzysty-

/etc/passwd /etc/ftpusers . Jed-

nak kiedy taki plik dostanie się

w ręce agresora, może on w pro-

sty sposób sprawdzić niezgod-

ność pomiędzy zawartością pliku

/etc/passwd a rzeczywistą sytu-

telnet

innych serwerów w tej samej sieci

jest szyfrowany (np. SSH) – od razu

powinien wzbudzić podejrzenia ata-

kującego. Warto także sprawdzić li-

stę działających na serwerze pro-

cesów, obciążenie CPU, użycie pa-

mięci oraz śledzić zmiany tych pa-

rametrów w czasie. Oczywista jest

konieczność analizy logów, któ-

ra w sprzyjających okolicznościach

szybko udowodni, że atakowanemu

hostowi daleko do ciągle zajętego

serwera produkcyjnego .

Polecenie ps -e -opcpu wyświe-

tla informację o obciążeniu gene-

rowanym przez wszystkie procesy

pracujące w systemie (w procen-

tach). Użycie CPU można spraw-

dzić, sumując te wartości (patrz

Listing 3).

Identyi kację honeypota moż-

na także oprzeć o charakterystycz-

/var/spool/mail

wany do składowania poczty przez

wiele programów MTA ( Mail Trans-

port Agent ). Przesłanką do stwier-

dzenia, że znajduje się w honeypo-

cie będzie dla niego podejrzana za-

wartość katalogu. Na przykład ze

zdumieniem stwierdzi, że jest on pu-

sty. Nawet jeśli administrator pułap-

ki spreparował pliki poczty, będą one

zapewne mocno nieświeże. Intruz

może się o tym przekonać wykonu-

jąc polecenie:

/etc/passwd

acją (patrz Listing 2).

Jeśli intruz dostał się na fałszywy

serwer przez konto FTP użytkowni-

ka anonimowego, wpis anonymous

w pliku /etc/ftpusers upewni go, że

/etc/ftpusers

znajduje się w maszynie-pułapce

(w tym pliku umieszczane są nazwy

użytkowników niemających dostępu

do usługi FTP). Administrator mu-

si zatem dołożyć więcej starań, by

stworzyć plik wyglądający na praw-

dziwy. W przeciwnym wypadku roz-

poznanie zagrożenia zajmie intruzo-

wi kilka sekund.

$ ls -alt /var/spool/mail/

Posortuje ono pliki według dat mo-

dyi kacji.

Honeypoty o dużej

interaktywności

O wiele bardziej złożone są przynę-

ty o dużej interaktywności. Bardzo

UML – szczególny

przypadek pułapki

Jednym z najbardziej znanych inte-

raktywnych honeypotów jest User

Hakin9 Nr 5/2004

www.hakin9.org

/var/spool/mail , wykorzysty-

/etc/passwd a rzeczywistą sytu-

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: