Board logo

标题: 谁在入侵我的系统? [打印本页]
作者: 柔肠寸断    时间: 2009-7-15 14:43     标题: 谁在入侵我的系统?

文章作者:log0
原始出处:http://onhacks.org/
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

===

谁在入侵我的系统?

1. 谁入侵我
2. 何谓蜜罐
3. 设置陷阱
4. 开始反击
5. 分析罪证
6. 改善蜜罐
7. 文章总结

===

1. 谁入侵我

我们的电脑无时无刻都受到攻击,怎麽找出是谁呢?

这篇文章不会为你马上带来答案,但将会引导你去发现这个问题的可能解法。若果你以前没有接触过蜜罐,这将会是一个很有趣的概念。

2. 何谓蜜罐

蜜 罐 (honeypot) 的唯一用途是给黑客控制,它和普通的电脑看上去无异,并且有平常的系统上的程式,可能是一台 Windows 也可以是一台 Linux。透过这部被控制的电脑,这些不知情的黑客还以为轻鬆得到肉鸡,在他们为所欲为之时,我们可以静观黑客的所作所为,使我们能学会及掌握他们的技术和动机等等。利用他们不小心留下的证据,加上一些网路地址 ( IP address )等资料,我们可以掌握黑客的真正身份。根据蜜罐的定义,它没有其他正常的用途,而且也不应该有,所以它是不应该有外界接触到,因此所有的访问都当是恶意的,这除去了我们要分办正常和恶意的连接。

蜜罐主要分几种类,又可以是多种类组合而成,但具体的分为以下两种:
1. 高互动性蜜罐 ( high interaction honeypot )
2. 低互动性蜜罐 ( low interaction honeypot )

高 互动性蜜罐 – 这种蜜罐和普通的电脑无异,他们是可以完完全全给控制并和普通电脑无异,唯一不同是所有行为都给纪录下来。由于其像真度极高,黑客可以在内为所欲为,但这也意味着电脑可以用来攻击其他无辜的人,所以我们要加入侵检测系统及防牆去降低伤害性,并且要设置一个很重要的蜜牆 (Honeywall),用以把恶意的入侵隔离。所以,高互动性也有一定的危险性。这种搭建需要一正台电脑或虚拟电脑,所以相对也要更多资源。这篇文章将不会解说这个安装方法。

低互动性蜜罐 – 这种蜜罐的特色是它只是模彷一些已知漏洞 (Vulnerability) 的行为来欺骗一些自动化或简单的攻击方法,因为不会模彷程式的所有功能,亦因为我们只是接收数据而不执行,在收到攻击数据 (Attack vector) 之后,我们就会把连线断掉,此时我们已把想要的资料记录下来了,所以这个有效的降低了危险性。和高互动性蜜罐不同,这不用到真正可被攻击控制掉的程式。

这篇文章将会谈级如何在 Linux (Ubuntu 9.04) 上搭建一台低互动性蜜罐。作者选用 Ubuntu (或Debian) 是因为这比较用容搭建这个蜜罐起来。

3. 设置陷阱

今 次我们用的是 Nepenthes 低互动性蜜罐。它的概念主要是模彷已知漏洞的程式,模彷的程度是足以暪骗一些程式和低水准的黑客,而且因为攻击只是被记录而无被执行,所以比较安全。再者,它的模彷功能都主要为 Windows 的漏洞,即使被攻击了,Windows 的攻击也不会影响 Linux 。它亦有一个很重要的功能,就是能够把病毒样本下载并储起来,让你可以以后慢慢研究剖析黑客的行为或最新在野的病毒。

Ubuntu/Debian 的用户可以这样安装 :

$apt-get install nepenthes

或者是去官方网站下载

http://nepenthes.carnivore.it/

4. 开始反击

$nepenthes

就可以开始了!

若果要有更多的资讯,应去修改 /etc/nepenthes/nepenthes.conf ,找出这数行。

// logging
41     “logattack.so”,                 “log-attack.conf”,              “”
42     “logdownload.so”,               “log-download.conf”,            “”
43 //  “logirc.so”,                    “log-irc.conf”,                 “”  // needs configuration
44 //    “logprelude.so”,                “log-prelude.conf”,             “”
45     “loghexdump.so”                 “”                  “”

把 logattack.so, logdownload.so 的注释码除去。

5. 分析罪证

运气好的话,大概过了数小时,再打开 /var/log/nepenthes.log,就会看到有所斩获;若然没有,请耐心等待,并检查一下外界能否连进来蜜罐:

(为了保护原有电脑的安全,我把网络地址都给修改过。 )


Socket|LUID=0×9b6b290|Start=1246711030.266579|Finish=1246711030.638501|Status=CONNECTED|Proto=TCP|Type=INCOMING|Local=192.168.1.4:135|Remote=xxx.96.245.148:61250|RX=2,1520,a87bbacd0cd1c84a5991ccc690492866|TX=3,532,dc9b4e2f264c732eb5b239b2bd3a23bd|Dumpfile=
Shellcode|LUID=0×9b6afd0|Start=1246711030.453659|Finish=1246711030.462127|Type=UNKNOWN|Emulation=SUCCESS|Handler=execute::createprocess|ISock=0×9b6b290|MD5=52e5dbe8fc84060525e965aa0c030f0c|Trigger=Generic Microsoft Windows DCOM
Download|LUID=0×9b6bcb8|Result=SUCCEEDED|Start=1246711030.461798|Finish=1246711185.861585|ISock=0×9b6b290|SSock=|MD5=5069160ffe5a229ed2ee1ddd8ca14df6|SHA512=ca50e009cad7f861759f85f8db74a684f6eee8f081bcdc255414ca898bbd7ef5c14c8a7bdd875201a51581ea484a49f4cceaf90ecef526c8bdda0d5ae94e24f5|Trigger=Download Initiated by Shell Command|URL=tftp://xxx.96.245.148/ssms.exe




这 是由 远端 xxx.96.245.148:61250 发出的一个攻击包,而我的私域网络是 192.168.1.4,被攻击端口是 135,而下载了的程式的 MD5 hash 为 5069160ffe5a229ed2ee1ddd8ca14df6,在 VirusTotal 上搜出来发觉是 Net-Worm.Win32.Kolabc.gwr 。

6. 改善蜜罐

Nmap 是一个能用作网络扫描的工具,就让我们扫一下这台蜜罐 192.168.1.4 吧。

看看以下 Nmap 的结果 :

# Nmap 4.90RC1 scan initiated Sat Jul 11 01:39:09 2009 as: nmap -oN 192.168.1.4.sS.txt -v -sS 192.168.1.4
Host 192.168.1.4 is up (0.000011s latency).
Interesting ports on 192.168.1.4:
Not shown: 975 closed ports
PORT      STATE SERVICE
21/tcp    open  ftp
22/tcp    open  ssh
25/tcp    open  smtp
42/tcp    open  nameserver
80/tcp    open  http
110/tcp   open  pop3
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
143/tcp   open  imap
443/tcp   open  https
445/tcp   open  microsoft-ds
465/tcp   open  smtps
993/tcp   open  imaps
995/tcp   open  pop3s
1023/tcp  open  netvenuechat
1025/tcp  open  NFS-or-IIS
2103/tcp  open  zephyr-clt
2105/tcp  open  eklogin
2107/tcp  open  unknown
3372/tcp  open  msdtc
5000/tcp  open  upnp
5901/tcp  open  vnc-1
6129/tcp  open  unknown
10000/tcp open  snet-sensor-mgmt
10012/tcp open  unknown

Read data files from: /usr/local/share/nmap
# Nmap done at Sat Jul 11 01:39:09 2009 — 1 IP address (1 host up) scanned in 0.17 seconds

对于一位有少许经验的黑客来说,除了这可能是一台防守很差的电脑,这也是很可疑的一台电脑,就像张扬着自己是一个陷阱。为了增加可信性,可以把一些端口关掉。可以打开 /etc/nepenthes/nepenthes.conf,把部份漏洞模块注释掉:

57 // vulnerability modules

62     “vulniis.so”,                   “vuln-iis.conf”,                “”
63 //    “vulnkuang2.so”,                “vuln-kuang2.conf”,             “”
64     “vulnlsass.so”,                 “vuln-lsass.conf”,              “”


有兴趣的人可以加一个 -sV 上去(测试服务的版本及身份),看看有甚麽有趣的结果?

7. 文章总结

我们的电脑无时无刻都受到攻击,但我们不知道是甚麽人要攻击我们,通过蜜罐,你也可以暸解黑客的行动,对「谁入侵我的电脑」这个问题作出初步解答。本篇文章介绍的 Nepenthes 是一个低互动性蜜罐,亦只是很多蜜罐中的其中一种,而通过高互动性蜜罐,更可以暸解更多关于黑客的日常运作。现在可以由不知所措变成有所行动了,并见识一下全世界的黑客没公开的技术了。

作者

“Log0″ 是一位电脑安全研究人员,我是针对蜜罐、网页安全及网络犯罪这方面的研究,并在 http://onhacks.org 裡以 log0 的笔名撰写关于电脑安全的文章。

===

參考 :

Nepenthes – http://nepenthes.carnivore.it/
Niels Provos, Thorsten Holz – “Virtual Honeypots: From Botnet Tracking to Intrusion Detection”
作者: 猪猪    时间: 2009-7-15 17:46

内幕啊 。!!!!!!!
作者: cccchhhh11    时间: 2012-4-13 02:03

学习了!!!!!!!!!!!!!!!!!!!!



欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2