1、蜜罐与蜜网技术 Introduction to Honeypot and Honeynet,诸葛建伟 狩猎女神项目组 The Artemis Project,内容概要,狩猎女神项目组 蜜罐技术简介 提出、发展历程、概念、Honeyd、发展趋势 Gen 3蜜网技术 蜜网基本原理、发展历程、框架、技术细节、部署实例 蜜罐与蜜网技术的应用举例 僵尸网络(Botnet)、网络钓鱼(Phishing),狩猎女神项目组,The Artemis Project,项目组简介,蜜罐和蜜网技术研究组 北京大学计算机研究所信息安全工程研究中心 Honeynet Research Alliance中国唯一团队- Ch
2、inese Honeynet Project 项目组网站: Status report, 学术论文, 杂志文章, 技术报告, 技术讲座 Know Your Enemy White Papers中文版 项目组邮件列表: HoneynetCN邮件组: 结合第三代蜜网技术、honeyd虚拟蜜罐工具、mwcollect / nepenthes 恶意软件自动捕获工具 “利用蜜网技术深入剖析互联网安全威胁”-2005年全国计算机大会 Gen 2/Gen 3虚拟蜜网部署与测试技术报告 “最新蜜罐与蜜网技术及应用”-电脑安全专家2005年7月刊非常话题专栏4篇文章 恶意软件的捕获与分析 重点针对僵尸网络
3、“僵尸网络的发现与跟踪”NetSec 2005 蜜网数据分析与可视化研究 网络环境感知工具N-Eye (Open Source) 攻击数据统计分析与可视化工具 基于数据融合框架的网络攻击关联分析技术研究,演讲者介绍,诸葛建伟 北京大学计算机科学技术研究所博士研究生 狩猎女神项目组发起人及技术负责人 研究方向:蜜罐与蜜网技术,入侵检测/关联分析,网络攻防知识建模,恶意软件分析及防范技术 博士论文方向:基于数据融合框架的网络攻击关联分析技术研究 2004年微软学者,2005年IBM Ph.D. Fellowship Email: ,提问规则,讲座共分为三节 每节中间休息10分钟 仅限对讲解内容相关
4、的问题 对问题不感兴趣的可自由活动 讲座结束后留充分时间问答 欢迎任何问题 欢迎加入HoneynetCN邮件组讨论,蜜罐技术概述,蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具Honeyd 蜜罐技术发展历程,当前研究热点,互联网安全状况,安全基础薄弱 操作系统/软件存在大量漏洞 安全意识弱、缺乏安全技术能力 任何主机都是攻击目标! DDoS、跳板攻击需要大量僵尸主机 蠕虫、病毒的泛滥 并不再仅仅为了炫耀:Spamming, Phishing 攻击者不需要太多技术 攻击工具的不断完善 Metasploit: 40+ Exploits 攻击脚本和工具可以很容易得到和使用 0-day e
5、xploits: packetstorm,网络攻防的非对称博弈,工作量不对称 攻击方:夜深人静, 攻其弱点 防守方:24*7, 全面防护 信息不对称 攻击方:通过网络扫描、探测、踩点对攻击目标全面了解 防守方:对攻击方一无所知 后果不对称 攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损,蜜罐技术的提出,试图改变攻防博弈的非对称性 对攻击者的欺骗技术增加攻击代价、减少对实际系统的安全威胁 了解攻击者所使用的攻击工具和攻击方法 追踪攻击源、攻击行为审计取证 Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoos Egg”(1990) Fred Cohe
6、n DTK: Deception Tool Kit (1997) A Framework for Deception (2001),蜜罐技术概述,蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具Honeyd 蜜罐技术发展历程,当前研究热点,蜜罐技术的概念,“A security resource whos value lies in being probed, attacked or compromised” 对攻击者的欺骗技术 没有业务上的用途,不存在区分正常流量和攻击的问题 所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷 用以监视、检测和分析攻击,蜜罐的分类,交互性:攻击者在蜜
7、罐中活动的交互性级别 低交互型虚拟蜜罐 模拟服务和操作系统 只能捕获少量信息 / 容易部署,减少风险 例: Honeyd 高交互型物理蜜罐 提供真实的操作系统和服务,而不是模拟 可以捕获更丰富的信息 / 部署复杂,高安全风险 例: 蜜网 虚拟机蜜罐虚拟硬件、真实操作系统/网络服务,蜜罐技术优势,高度保真的小数据集 低误报率 低漏报率 能够捕获新的攻击方法及技术 并不是资源密集型 原理简单,贴近实际,蜜罐技术概述,蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具Honeyd 蜜罐技术发展历程,当前研究热点,Honeyd,A virtual honeypot framework Hone
8、yd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc. 支持同时模拟多个IP地址主机 经过测试,最多同时支持65535个IP地址 支持模拟任意的网络拓扑结构 通过服务模拟脚本可以模拟任意TCP/UDP网络服务 IIS, Telnet, pop3 支持ICMP 对ping和traceroutes做出响应 通过代理机制支持对真实主机、网络服务的整合 add windows tcp port 23 proxy “162.105.204.159 23”,Honeyd监控未使用IP地址,Honeyd设计上的考虑,接收网络流量 模拟蜜罐系统 仅模拟网络协议栈层
9、次,而不涉及操作系统各个层面 可以模拟任意的网络拓扑 Honeyd宿主主机的安全性 限制只能在网络层面与蜜罐进行交互 捕获网络连接和攻击企图 日志功能,接收网络流量,Honeyd模拟的蜜罐系统接收相应网络流量三种方式 为Honeyd模拟的虚拟主机建立路由 ARP代理 支持网络隧道模式 (GRE),Honeyd体系框架,路由模块 中央数据包分发器 将输入的数据包分发到相应的协议处理器 协议处理器 Service模拟脚本 个性化引擎 配置数据库 存储网络协议栈的个性化特征,路由模块,Honeyd支持创建任意的网络拓扑结构 对路由树的模拟 配置一个路由进入点 可配置链路时延和丢包率 模拟任意的路由路
10、径 扩展 将物理主机融合入模拟的网络拓扑 通过GRE隧道模式支持分布式部署,FTP服务模拟脚本,case $incmd_nocase in QUIT* )echo -e “221 Goodbye.r“exit 0;SYST* )echo -e “215 UNIX Type: L8r“;HELP* )echo -e “214-The following commands are recognized (*=s unimplemented).r“echo -e “ USER PORT STOR MSAM* RNTO NLST MKD CDUPr“echo -e “ PASS PASV APPE M
11、RSQ* ABOR SITE XMKD XCUPr“echo -e “ ACCT* TYPE MLFL* MRCP* DELE SYST RMD STOUr“echo -e “ SMNT* STRU MAIL* ALLO CWD STAT XRMD SIZEr“echo -e “ REIN* MODE MSND* REST XCWD HELP PWD MDTMr“echo -e “ QUIT RETR MSOM* RNFR LIST NOOP XPWDr“echo -e “214 Direct comments to ftp$domain.r“;USER* ),个性化引擎,为什么需要个性化引擎
12、? 不同的操作系统有不同的网络协议栈行为 攻击者通常会运行指纹识别工具,如Xprobe和Nmap获得目标系统的进一步信息 个性化引擎使得虚拟蜜罐看起来像真实的目标 每个由Honeyd产生的包都通过个性化引擎 引入操作系统特定的指纹,让Nmap/Xprobe进行识别 使用Nmap指纹库作为TCP/UDP连接的参考 使用Xprobe指纹库作为ICMP包的参考,日志功能,Honeyd的日志功能 Honeyd对任何协议创建网络连接日志,报告试图发起的、或完整的网络连接 在网络协议模拟实现中可以进行相关信息收集,Feb 12 23:06:33 Connection to closed port: udp
13、 (210.35.128.1:1978 - 172.16.85.101:1978) Feb 12 23:23:40 Connection request: tcp (66.136.92.78:3269 - 172.16.85.102:25) Feb 12 23:23:40 Connection established: tcp (66.136.92.78:3269 - 172.16.85.102:25) sh scripts/smtp.sh Feb 12 23:24:14 Connection dropped with reset: tcp (66.136.92.78:3269 - 172.1
14、6.85.102:25) Feb 12 23:34:53 Killing attempted connection: tcp (216.237.78.227:3297 - 172.16.85.102:80)Wed Feb 12 23:23:40 UTC 2003: SMTP started from Port EHLO ,Honeyd的应用,反蠕虫 Snipe Blaster: add default tcp port 4444 “/bin/sh scripts/strikeback.sh $ipsrc“ Honeycomb SIGCOMM paper 自动生成NIDS检测特征 巴西蜜罐联盟安
15、全监测,蜜罐技术概述,蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具Honeyd 蜜罐技术发展历程,当前研究热点,蜜罐技术的发展历程,蜜罐 (Honeypot) 物理蜜罐 虚拟蜜罐工具: DTK, Honeyd 专用蜜罐工具: mwcollect, nepenthes 蜜网 (Honeynet) The Honeynet Project Gen 1 / Gen 2 / Gen 3 Honeynet Research Purpose 蜜场 (Honeyfarm) 蜜罐技术如何有效地对一个大型网络提供防护功能? 外/内部安全威胁的发现、重定向、跟踪,蜜场,蜜罐技术研究热点,虚拟蜜罐工具
16、 A Honeypot framework - Honeyd 针对不同互联网安全威胁 恶意软件: mwcollect, nepenthes 蜜网体系框架 数据分析与可视化关联分析 维护过程: 过程规范、工具/脚本支持 蜜场 重定向机制:网关重定向(Bait-n-Switch), 接入网重定向 蜜罐的伪装性问题: 主动式蜜罐技术 客户端蜜罐捕获并分析针对客户端的安全威胁 僵尸网络: Drone, HoneyBot 针对浏览器的安全威胁(恶意网站, spyware): Honeyclient, HoneyMonkey,休息、提问时间,10分钟,Gen 3 蜜网技术,蜜网技术的基本原理和发展历程 G
17、en 3 蜜网技术框架及核心需求 Gen 3 蜜网技术细节 数据控制机制 数据捕获机制 数据分析机制 Gen 3 蜜网部署实例讲解,什么是蜜网技术?,实质上是一种研究型、高交互型的蜜罐技术 一个体系框架 包括一个或多个蜜罐 多层次的数据控制机制高度可控 全面的数据捕获机制 辅助研究人员对攻击数据进行深入分析,虚拟蜜网,在一台机器上部署蜜网的解决方案 VMware & User Mode Linux 优势 减少部署成本 更容易管理 劣势 虚拟机的指纹虚拟硬件的配置信息,蜜网项目组,非赢利性研究机构 目标 To learn the tools, tactics, and motives of th
18、e blackhat community and share these lessons learned 历史 1999 非正式的邮件列表 June 2000 演变为蜜网项目组 Jan. 2002 发起蜜网研究联盟 Dec. 2002 10个活跃的联盟成员 创始人及主席 Lance Spitzner (Sun Microsystems),蜜网技术的发展历程,Phase I: 1999-2001 Gen I 蜜网技术: 概念验证 Phase II: 2001-2003 Gen II 蜜网技术: 初步成熟的蜜网技术方案 Phase III: 2003-2004 HoneyWall Eeyore :
19、 可引导的CDROM,集成数据控制和数据捕获工具 Phase IV: 2004-2005 对分布式的蜜网捕获的数据进行收集和关联的集中式系统 kanga Phase V: 2005- Gen 3 蜜网技术 数据捕获机制的改进argus、sebek 3.0.x Data Analysis Framework Walleye New HoneyWall CDROM Roo Ed Balas, Indiana University,Gen 3 蜜网技术,蜜网技术的基本原理和发展历程 Gen 3 蜜网技术框架及核心需求 Gen 3 蜜网技术细节 数据控制机制 数据捕获机制 数据分析机制 Gen 3 蜜
20、网部署实例讲解,蜜网的体系框架,蜜网技术核心需求,数据控制机制 防止蜜网被黑客/恶意软件利用攻击第三方 数据捕获机制 获取黑客攻击/恶意软件活动的行为数据 网络行为数据网络连接、网络流 系统行为数据进程、命令、打开文件、发起连接 数据分析机制 理解捕获的黑客攻击/恶意软件活动的行为,Gen 3 蜜网技术,蜜网技术的基本原理和发展历程 Gen 3 蜜网技术框架及核心需求 Gen 3 蜜网技术细节 数据控制机制 数据捕获机制 数据分析机制 Gen 3 蜜网部署实例讲解,数据控制,攻击数据包过滤,Snort_inline: NIPS,iptables -A FORWARD -i $LAN_IFACE
21、 -m state -state RELATED,ESTABLISHED -j QUEUE,数据控制机制图示,IPTables,eth0,Snort_inline,IPTables,eth1,Sebek,HoneyWall,蜜罐主机,Sebek,蜜罐主机,Swatch,IPTables日志,Snort报警信息,eth2,管理员,对攻击者隐蔽,Email报警,Gen 3 蜜网技术,蜜网技术的基本原理和发展历程 Gen 3 蜜网技术框架及核心需求 Gen 3 蜜网技术细节 数据控制机制 数据捕获机制 数据分析机制 Gen 3 蜜网部署实例讲解,数据捕获机制,快数据通道 网络行为数据 HoneyWa
22、ll 网络流数据: Argus 入侵检测报警: Snort 操作系统信息: p0f 系统行为数据 SebekHoneypot 进程、文件、命令、键击记录 以rootkit方式监控sys_socket, sys_open, sys_read系统调用 网络行为与系统行为数据之间的关联 sys_socket 慢数据通道 网络原始数据包 tcpdumpHoneyWall,数据捕获机制体系结构图,Gen 3 蜜网数据模型,p0f,Argus: 网络流数据,Snort: 入侵检测报警,数据捕获机制图示,Argus,eth0,eth1,Tcpdump,Sebek,HoneyWall,蜜罐主机,Sebek,蜜
23、罐主机,hflowd,系统行为数据,eth2,管理员,对攻击者隐蔽,Snort,p0f,IPTables,sebekd,hflow DB,网络连接,报警,OS,pcap文件,Walleye,Gen 3 蜜网技术,蜜网技术的基本原理和发展历程 Gen 3 蜜网技术框架及核心需求 Gen 3 蜜网技术细节 数据控制机制 数据捕获机制 数据分析机制 Gen 3 蜜网部署实例讲解,数据分析Walleye,Perl语言编写的Web GUI 通过DBI连接mysql数据库 mysql数据库中的信息由hflowd.pl提交 数据分析视图 Overview视图 网络流视图 进程树视图 进程细节信息(open_
24、file, read_data, command) 网络流信息: 网络流数据包解码,snort检测结果 Pcap数据慢通道 具体细节 测试案例分析,Gen 3 蜜网技术,蜜网技术的基本原理和发展历程 Gen 3 蜜网技术框架及核心需求 Gen 3 蜜网技术细节 数据控制机制 数据捕获机制 数据分析机制 Gen 3 蜜网部署实例讲解,Gen 3 蜜网的部署和测试,在单台主机上部署虚拟Gen 3蜜网 Gen 3蜜网的部署过程 Gen 3蜜网的测试 参考文档: 狩猎女神项目组网站 Roo CDROM User Manual (中文版) Gen 3 虚拟蜜网部署和测试技术报告,虚拟Gen 3蜜网网络拓
25、扑,虚拟Gen 3蜜网资源需求,硬件资源 单台主机P4以上/512M以上/40G以上/2块网卡 软件资源 Vmware Workstation 4.2.5-8848 for Linux / vmware-any-any-update93.tar.gz (bridge mode patch) Honeywall Roo CDROM Linux/Windows操作系统安装盘 Sebek client 3.0.x,Vmware的配置,HoneyWall虚拟主机硬件设置,Honeypot虚拟主机硬件设置,安装HoneyWall,配置HoneyWall,登录 不允许root直接登录 roo/honey
26、su - (root/honey) 修改缺省口令 配置方式 配置文件: /etc/honeywall.conf Command line: hwctl Interview: menu Web GUI: walleye,Walleye的管理界面,配置过程,蜜网的相关信息 蜜罐的IP地址 蜜网IP范围 管理接口 管理接口IP地址 管理接口访问控制策略 数据控制参数配置 外出连接限制数 snort_inline控制策略 DNS访问配置 自动报警功能及Sebek选项 报警Email地址 Sebek数据包目的IP地址管理接口,安装Honeypot操作系统,不同的patch策略 未打任何补丁捕获所有攻击
27、完全补丁zero-day exploits 未打补丁的操作系统版本 Linux 8.0/9.0缺省安装 WindowXP SP0 开放尽量多的网络服务 WWW: Apache/IIS FTP: wuftpd, / SMTP: sendmail/exchange SQL: mysql/mssql RPC smb,安装Sebek 3.0.x,解压tar包 修改sbk_install.sh DESTINATION_IP=“192.168.1.3“ (MANAGEMENT_IP) DESTINATION_MAC=“00:0C:29:12:86:6D“ (MANAGEMENT_MAC) MAGIC_VA
28、LUE: 各个Sebek一致 KEYSTOKE_ONLY SOCKET_TRACKING TESTING 安装Sebek ./configure, make, ./sbk_install.sh,测试,网络连通性 外网主机 ping 蜜罐主机 管理接口 ssh远程连接: 确认连接主机IP在Honeywall上设置的管理网段内 访问Walleye: https:/mgmt_ip 数据控制机制 连接数限制(ICMP/TCP/UDP): nmap 已知攻击数据包限制: metasploit向测试主机攻击 数据捕获机制 查看Walleye是否捕获网络连接、Snort报警、pcap数据及Sebek系统行为
29、数据,攻击分析实例渗透测试工具,攻击分析实例发起攻击,执行指令:uname a; whoami; cd /etc; cat shadow; exit;,攻击分析实例Email报警,攻击分析实例-Walleye Overview视图,内/外 连接数,内/外 IDS报警,流量及IDS报警统计,攻击分析实例Walleye网络流视图,p0f操作系统辨识,Snort报警,攻击案例分析Exploit网络流相关进程树视图,攻击案例分析Exploit网络流详细视图,攻击案例分析Exploit数据包解码视图,攻击案例分析Exploit网络流检测结果,攻击案例分析Exploit网络流数据包,攻击案例分析Shell
30、进程树视图,攻击案例分析Shell进程详细视图,攻击案例分析Shell进程read detail视图,攻击案例分析Shell网络流详细视图,攻击案例分析Shell网络流数据包解码视图,狩猎女神项目组部署的蜜网,狩猎女神项目组的虚拟蜜网,休息、提问时间,10分钟,蜜罐与蜜网技术的应用,僵尸网络(Botnet)的发现和跟踪 深入剖析网络钓鱼攻击(Phishing),互联网安全威胁分析案例,黑客攻击 通过Samba服务漏洞获得root权限、安装后门 蠕虫传播 高波蠕虫: 攻击445端口LSASS漏洞、使用TFTP传送副本,感染后继续扫描 僵尸网络 僵尸网络的发现与跟踪 NetSec 2005 网络钓
31、鱼攻击 诸葛建伟译, 了解你的敌人: 网络钓鱼攻击的幕后,如何发现僵尸网络?,IDS方法 必须充分了解僵尸程序,提取指纹信息作为IDS检测的特征 行为监测法 僵尸程序行为模式:快速连接控制信道、长时间在线发呆、 蜜罐捕获法 通过部署蜜罐对僵尸程序进行捕获样本 通过对网络行为进行监视和分析僵尸网络控制信道信息,恶意软件捕获器mwcollect,针对主动攻击漏洞传播的恶意软件(包括僵尸程序) 模拟RPC DCOM、LSASS等知名漏洞 对主动攻击漏洞恶意软件注入的shellcode进行分析,获取恶意软件传播使用的URL 通过URL获取恶意软件样本,其他的僵尸程序来源,International m
32、wcollect Alliance 共享捕获的恶意软件样本资源 与反病毒厂商的样本交换 Panda Software 公开的恶意软件分析报告资源 Sandbox.norman.no,僵尸程序样本分析,任务获取僵尸网络控制信道信息 控制服务器host/port 连接口令 加入的频道名/频道口令 用户名和昵称的结构 CHN|xxxxx? 方法 沙箱: sandbox.norman.no 蜜网在线攻击分析技术,HoneyBot,僵尸网络跟踪工具 HoneyClient客户端蜜罐技术 能够根据给定的控制信道信息连入僵尸网络,并隐蔽地对僵尸网络活动进行跟踪和审计 Honeybot原型系统:python
33、+ irc client lib 同时跟踪多个僵尸网络 存活情况、规模、控制指令,观测Bot样本及僵尸网络数,僵尸网络控制服务器分布,僵尸网络规模分布,9月份活跃僵尸网络持续跟踪结果,一个典型的僵尸网络规模变化情况,使用mIRC进一步跟踪僵尸网络,跟踪僵尸网络的一些经验,相当大比例的僵尸网络生命周期较短 首先使用自动化跟踪工具确定其存活情况、规模等信息,再进行选择跟踪 伪装性 昵称和用户名必须与其他僵尸程序一致 Disable IRC协议的CTCP (Client to Client Protocol)功能 使用SOCKS代理保证跟踪源的隐蔽性 如果被僵尸网络控制者识破:DDoS,互联网安全威
34、胁分析案例,黑客攻击 通过Samba服务漏洞获得root权限、安装后门 蠕虫传播 高波蠕虫: 攻击445端口LSASS漏洞、使用TFTP传送副本,感染后继续扫描 僵尸网络 僵尸网络的发现与跟踪 NetSec 2005 网络钓鱼攻击 诸葛建伟译, 了解你的敌人: 网络钓鱼攻击的幕后,什么是网络钓鱼攻击?,目标:获取个人敏感信息 用户名、口令、帐号ID、ATM PIN码或信用卡信息 手段:钓鱼 攻陷主机 架设钓鱼网站目标:知名金融机构及商务网站 发送大量欺骗性垃圾邮件 滥用个人敏感信息 资金转账经济利益 冒用身份犯罪目的,通过攻陷的网站服务器钓鱼,攻击者扫描网段,寻找有漏洞的服务器 服务器被攻陷,
35、并安装一个rootkit或口令保护的后门工具 钓鱼者从加密的后门工具获得对服务器的访问权 下载已构建完毕的钓鱼网站内容 内容配置和网站测试工作 第一次访问钓鱼网站的IP地址可能是钓鱼者的真实IP地址 群发电子邮件工具被下载,并用以大规模散发包含假冒钓鱼网站信息的欺骗性垃圾邮件 潜在的受害者开始访问恶意的网页内容,德国/英国蜜网研究组捕获案例,构建钓鱼网络,通过端口重定向钓鱼,端口重定向器 透明地将连入的TCP连接转发到一个远程的目标主机 redir -lport=80 -laddr= -cport=80 -caddr=221.4.XXX.XXX (中国的IP) 透明地将受害者重定向到主钓鱼网站
36、 36小时的时间段内,721个受害IP地址,通过僵尸网络进行钓鱼,僵尸网络用于发送垃圾邮件 启动SOCKS代理服务 僵尸工具中支持垃圾邮件发送的功能 harvest.emails 使得僵尸工具获得一个Email地址列表 harvest.emailshttp 使得僵尸工具通过HTTP获得一个Email地址列表 spam.setlist 下载一个Email地址列表 spam.settemplate 下载一个Email模板 spam.start 开始发送垃圾邮件 spam.stop 停止发送垃圾邮件,利用蜜网技术剖析网络钓鱼攻击,对整个网络钓鱼攻击案例的全程跟踪之前,对钓鱼攻击的幕后一无所知 通过蜜网技术展示了一个完整的网络钓鱼攻击的全过程 观察到的一些网络钓鱼攻击特征 较高的技术水平,良好的组织性 分布式、并行攻击 僵尸网络、垃圾邮件和网络钓鱼攻击的融合,谢谢!,狩猎女神项目组/The Artemis Project 项目网站: HoneynetCN讨论组: 诸葛建伟,,提问时间,狩猎女神项目组/The Artemis Project 项目网站: HoneynetCN讨论组: 诸葛建伟,,
