Module 9 ：誘捕系統實習

Module 9：誘捕系統實習

學習目的 • 利用誘捕系統，找出網路中潛在的威脅 • 本模組共有四個小節包括 (1)誘捕系統簡介 (2)誘捕系統工具介紹 (3)誘捕系統的實務 (4)誘捕系統的專案實作

Module 9：誘捕系統實習 • Module 9-1：誘捕系統簡介(*) • Module 9-2：誘捕系統工具介紹(*) • Module 9-3：誘捕系統的實務(**) • Module 9-4：誘捕系統的專案實作(*) * 初級(basic)：基礎性教材內容 **中級(moderate)：教師依據學生的吸收情況，選擇性介紹本節的內容 ***高級(advanced)：適用於深入研究的內容

Module 9-1：誘捕系統簡介(*)

誘捕系統(Honeypot)的介紹 • 誘捕系統(Honeypot)：受到嚴密監控的網路誘騙系統，具有以下特點 • 迷惑敵人，誘使駭客攻擊Honeypot而無暇去攻擊一些系統中比較重要的機器 • 對新攻擊發出預警 • 引誘駭客攻擊 • 可使用入侵偵測系統與防火牆等結合使用，以提升安全性

誘捕系統(Honeypot)的重要性 • 引誘攻擊者入侵組織資訊系統的陷阱 • 作為對系統弱點預警的監視工具 • 減低資訊科技系統及網路遭攻擊的風險 • 蒐集入侵方法並加以分析，為系統的潛在漏洞提供寶貴資訊

誘捕系統(Honeypot)的重要性 (續) • 傳統的IDS 針對已知的入侵手法對外來的attacker作出警告 • Honeypot 學習駭客入侵的工具，以找出作業系統的弱點 增加對惡意程式的蒐證

誘捕系統(Honeypot)的功能 • 誘捕系統模擬成有缺陷的系統，等待攻擊者來攻擊，藉以蒐集攻擊的手法與方式 • Honeypot解決IDS或防火牆記錄等資訊過量問題 • 為一個模擬或真實的網路系統 • 隱藏在防火牆後面，所有進出的資料皆受到監視 • 使用不同的作業系統及設備，如Solaris、Linux、Windows NT及Cisco Switch

誘捕系統(Honeypot)的功能 (續) • 不同的系統平台上面運行著不同的服務 • 例：Linux的DNS server、Windows NT的webserver或Solaris的FTP Server • 入侵者會將目標定於幾個特定的系統漏洞上 • 不同的服務有不同的攻擊手法 • 分析記錄使我們了解服務的弱點

誘捕系統(Honeypot)的分類 • 低互動性誘捕系統(Low-Interaction Honeypot) • 提供有限的服務，藉由模擬服務與作業系統來運作 • 風險也較小，因攻擊者絕不會進到一個真實的作業系統 • 高互動性誘捕系統(High-Interaction Honeypot) • 以真實的作業系統與真實的應用程式來運作，而非模擬 • 風險相對較高，因攻擊者可能攻陷一個真實的作業系統，並威脅真實的網路

低互動性誘捕系統(Low-Interaction Honeypot) • 模擬現有作業系統上的服務 • 監控沒有使用的 IP 位址空間 • 記錄攻擊 • 主要優勢 • 較容易部署與維護 • 風險亦較小，因攻擊者絕不會進到一個真實的作業系統 • 例：Honeyd、Nepenthes及Honeytrap

高互動性誘捕系統(High-Interaction Honeypot) • 以真實的作業系統來構建，提供真實的系統和服務給駭客攻擊 • 不預設一個攻擊者會有什麼樣的行為，而提供可以追蹤所有活動的環境 • 缺點： • 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器 • 部署較為複雜，技術層面較高 • 例：Honeywall-ROO、HIHAT及Honeybow

Low-Interaction v.s. High-Interaction Honeypot

Module 9-2：誘捕系統工具介紹(*)

誘捕系統(Honeypot)工具比較 • 商業軟體 • 優：效果佳 • 缺：成本高 • 例：Symantec Decoy Server與KFSensor • 免費軟體 • 優：成本低 • 缺：缺少某些商業軟體所提供的效果 • 例：Honeyd與Nepenthes

誘捕系統(Honeypot)工具比較 9-16

誘捕系統(Honeypot)工具- Symantec Decoy Server • 由賽門鐵克公司所發展商用之誘捕系統 • 會警示由內/外部所發出之未經授權的入侵意圖 • 可自動地偵測與回應新型態的攻擊 • 在與對手互動時產生模擬的流量 • 過程可重播

誘捕系統(Honeypot)工具- KFSensor • 可針對Windows作業系統所提供的各項服務以及弱點進行模擬 • 可模擬Windows的網路，如NetBIOS、SMB、CIFS • 可偵測到針對Windows檔案分享的攻擊 • 模擬常見的通訊協定如：FTP、SMB、POP3、HTTP、Telnet、SMTP與SOCKS等以蒐集攻擊者的資訊資料來源：http://www.keyfocus.net/kfsensor/

誘捕系統(Honeypot)工具 - Honeyd • 輕型Open-source的虛擬Honeypot • 模擬多個作業系統和網路服務 • 諸多外掛模組，用於模擬常見的服務 • 模擬微軟 IIS 網頁伺服器的Scripts • 模擬SMTP • 模擬HTTP • 模擬Telnet • 支援IP協定架構 • 模擬任意拓撲架構的虛擬網路與網路通道

誘捕系統(Honeypot)工具 - Honeyd (續) • 處理目的IP位址屬於虛擬Honeypot之一的網路封包的方法 • 對指向Honeyd主機的虛擬IP位址創建特定路由 • 使用ARP-Proxy • 使用網路通道

使用ARP - Proxy 封包的Destination=Honeypot Windows NT 4.0 9-21

使用ARP - Proxy (續) 路由器查詢它的路由表由找到10.0.0.13的轉送位址 9-22

使用ARP - Proxy (續) 沒有配置專用的路由 9-23

使用ARP - Proxy (續) 路由器透過ARP請求確定10.0.0.13 的MAC位址 9-24

使用ARP - Proxy (續) 路由器把發送Honeypot Windows NT 4.0的封包轉到Honeyd主機的MAC位址 9-25

Honeyd原理說明 在port 80等待連線

Honeyd原理說明 (續) 有人連進來，由subsystem接受連線 9-27

Honeyd原理說明 (續) 由internal service決定如何回應 9-28

Honeyd配置 • 透過配置模板(Template)來配置虛擬的Honeypot • 配置語言是一種Context-free文法(上下文順序無關)，可以設定虛擬網路、作業系統及服務

配置模板 創建一作業系統模板 • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 9-30

配置模板 (續) 設定該模板的Nmap 指紋 • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 9-31

配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 設定預設的TCP和UDP和ICMP 動作 9-32

配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 設定系統監聽埠號，並且呼叫腳本iisemul8.pl和cmdexe.pl 9-33

配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 打開TCP 139與137 Port 打開UDP 137與135 Port 9-34

誘捕系統(Honeypot)工具 - Nepenthes • Nepenthes為惡意程式誘捕系統，藉由模擬系統弱點，誘使惡意程式對誘捕系統進行攻擊，進而捕捉到惡意程式，是屬於Low-Interaction Honeypot

誘捕系統(Honeypot)工具 - Nepenthes (續) Vulnerability Modules：模擬網路服務的弱點

誘捕系統(Honeypot)工具 - Nepenthes (續) Shellcode parsing Modules：分析與反解Exploit Payload，找出Mal-URL

誘捕系統(Honeypot)工具 - Nepenthes (續) Fetch Modules：利用HTTP、FTP、TFTP…從遠端抓取惡意程式Binary

誘捕系統(Honeypot)工具 - Nepenthes (續) Submission Modules：將抓下來的惡意程式存到Disk，或其他伺服器

Nepenthes … 誘捕系統(Honeypot)工具 - Nepenthes (續) • 於Linux環境下執行，透過模組模擬不同的系統弱點，並可將蒐集的惡意程式儲存在分散式的資料庫中 • Developer：Paul Baecher, Markus Koetter • Nepenthes網址： • http://nepenthes.carnivore.it • http://nepenthes.mwcollect.org

誘捕系統(Honeypot)工具 - Nepenthes (續) • Nepenthes可以模擬的弱點

漏洞掃描工具 - X-Scan • 掃瞄內容包括：遠端系統服務類型、操作系統類型及版本，各種弱點漏洞、後門、應用服務漏洞 • 原創作者：XFOCUS Team • X-Scan網址：http://www.xfocus.org/programs/200507/18 9-42

結論 • Honeyd可以應用在網路安全的許多領域 • 例︰病毒探測、反蠕蟲、阻止垃圾郵件及轉移攻擊目標等 • Honeypot系統都是正在發展中的技術，還需要不斷地擴充和完善功能，提升迷惑性和自身的安全性 • 誘捕系統為安全研究使用較多，部署於企業內部需考量其風險及安全性，並配合適當的監控及分析技術，否則仍不適用於一般的企業作為安全機制的一環

Module 9-3：誘捕系統的實務(**)

說明 • 架設實作(一)，請使用HoneyD軟體配置Honeypot誘捕系統。依實驗拓樸，請使用HoneyD主機做安裝及測試 • 架設實作(二)，請使用Nepenthes軟體配置Nepenthes誘捕系統，並利用X-Scan做掃描。依實驗拓樸，請使用Nepenthes主機做Nepenthes軟體安裝及測試，attacker主機做7z軟體及X-Scan軟體安裝及測試

架設實作(一) Honeypot架設實作實習

實作環境介紹 attacker OS：WINXP-SP2 IP：10.1.2.2 HoneyD OS：FC6-yum-STD IP：10.1.1.2 安裝軟體：Honeyd IP2 IP1 router OS：FC6-STD IP1：10.1.1.3 IP2：10.1.2.3

實驗拓樸on Testbed@TWISC - 建立完成的實驗拓樸

誘捕系統(Honeypot)工具 - Honeyd • 版本 • honeyd-1.5c • 支援作業平台 • Linux及OpenBSD • 其他需求工具 • libpcap、libdnet、 libevent、libedit、 termcap、pcre 、及arpd • 下載位址 • http://www.honeyd.org/uploads/honeyd-1.5c.tar.gz

誘捕系統(Honeypot)工具 - Honeyd • Libpcap:是Linux系統中用以擷取封包的工具之ㄧ • Libdnet:提供了修改封包IP的功能 • Libevent:透過libevent使我們可以設定當某些事件發生時就會執行的某些函示，也就是我們可以透過libevent來呼叫特定的script來模擬某些作業系統的網路特徵 • Libedit:提供讀取封包的功能 • Termcap:提供傳送控制訊息的功能 • Pcre:處理PCRE - Perl Compatible Regular Expressions正規表示式的一個函式庫 • Arpd:如果駭客的ARP requests是指向一個虛擬IP ，arpd會回應駭客使駭客以為這個虛擬IP指向honeyd

Module 9 ：誘捕系統實習