谁在入侵我的系统?

系统

文章作者：log0
原始出处：http://onhacks.org/
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

===

谁在入侵我的系统?

1. 谁入侵我
2. 何谓蜜罐
3. 设置陷阱
4. 开始反击
5. 分析罪证
6. 改善蜜罐
7. 文章总结

===

1. 谁入侵我

我们的电脑无时无刻都受到攻击，怎麽找出是谁呢？

这篇文章不会为你马上带来答案，但将会引导你去发现这个问题的可能解法。若果你以前没有接触过蜜罐，这将会是一个很有趣的概念。

2. 何谓蜜罐

蜜罐 (honeypot) 的唯一用途是给黑客控制，它和普通的电脑看上去无异，并且有平常的系统上的程式，可能是一台 Windows 也可以是一台 Linux。透过这部被控制的电脑，这些不知情的黑客还以为轻鬆得到肉鸡，在他们为所欲为之时，我们可以静观黑客的所作所为，使我们能学会及掌握他们的技术和动机等等。利用他们不小心留下的证据，加上一些网路地址 ( IP address )等资料，我们可以掌握黑客的真正身份。根据蜜罐的定义，它没有其他正常的用途，而且也不应该有，所以它是不应该有外界接触到，因此所有的访问都当是恶意的，这除去了我们要分办正常和恶意的连接。

蜜罐主要分几种类，又可以是多种类组合而成，但具体的分为以下两种：
1. 高互动性蜜罐 ( high interaction honeypot )
2. 低互动性蜜罐 ( low interaction honeypot )

高互动性蜜罐 – 这种蜜罐和普通的电脑无异，他们是可以完完全全给控制并和普通电脑无异，唯一不同是所有行为都给纪录下来。由于其像真度极高，黑客可以在内为所欲为，但这也意味着电脑可以用来攻击其他无辜的人，所以我们要加入侵检测系统及防牆去降低伤害性，并且要设置一个很重要的蜜牆 (Honeywall)，用以把恶意的入侵隔离。所以，高互动性也有一定的危险性。这种搭建需要一正台电脑或虚拟电脑，所以相对也要更多资源。这篇文章将不会解说这个安装方法。

低互动性蜜罐 – 这种蜜罐的特色是它只是模彷一些已知漏洞 (Vulnerability) 的行为来欺骗一些自动化或简单的攻击方法，因为不会模彷程式的所有功能，亦因为我们只是接收数据而不执行，在收到攻击数据 (Attack vector) 之后，我们就会把连线断掉，此时我们已把想要的资料记录下来了，所以这个有效的降低了危险性。和高互动性蜜罐不同，这不用到真正可被攻击控制掉的程式。

这篇文章将会谈级如何在 Linux (Ubuntu 9.04) 上搭建一台低互动性蜜罐。作者选用 Ubuntu (或Debian) 是因为这比较用容搭建这个蜜罐起来。

3. 设置陷阱

今次我们用的是 Nepenthes 低互动性蜜罐。它的概念主要是模彷已知漏洞的程式，模彷的程度是足以暪骗一些程式和低水准的黑客，而且因为攻击只是被记录而无被执行，所以比较安全。再者，它的模彷功能都主要为 Windows 的漏洞，即使被攻击了，Windows 的攻击也不会影响 Linux 。它亦有一个很重要的功能，就是能够把病毒样本下载并储起来，让你可以以后慢慢研究剖析黑客的行为或最新在野的病毒。

Ubuntu/Debian 的用户可以这样安装 :

$apt-get install nepenthes

或者是去官方网站下载

http://nepenthes.carnivore.it/

4. 开始反击

$nepenthes

就可以开始了！

若果要有更多的资讯，应去修改 /etc/nepenthes/nepenthes.conf ，找出这数行。

// logging
41    “logattack.so”,                “log-attack.conf”,             “”
42    “logdownload.so”,             “log-download.conf”,          “”
43 //  “logirc.so”,                   “log-irc.conf”,                “”  // needs configuration
44 // “logprelude.so”,             “log-prelude.conf”,          “”
45    “loghexdump.so”                “”                “”

把 logattack.so, logdownload.so 的注释码除去。

5. 分析罪证

运气好的话，大概过了数小时，再打开 /var/log/nepenthes.log，就会看到有所斩获；若然没有，请耐心等待，并检查一下外界能否连进来蜜罐：

(为了保护原有电脑的安全，我把网络地址都给修改过。 )

–
Socket|LUID=0×9b6b290|Start=1246711030.266579|Finish=1246711030.638501|Status=CONNECTED|Proto=TCP|Type=INCOMING|Local=192.168.1.4:135|Remote=xxx.96.245.148:61250|RX=2,1520,a87bbacd0cd1c84a5991ccc690492866|TX=3,532,dc9b4e2f264c732eb5b239b2bd3a23bd|Dumpfile=
Shellcode|LUID=0×9b6afd0|Start=1246711030.453659|Finish=1246711030.462127|Type=UNKNOWN|Emulation=SUCCESS|Handler=execute::createprocess|ISock=0×9b6b290|MD5=52e5dbe8fc84060525e965aa0c030f0c|Trigger=Generic Microsoft Windows DCOM
Download|LUID=0×9b6bcb8|Result=SUCCEEDED|Start=1246711030.461798|Finish=1246711185.861585|ISock=0×9b6b290|SSock=|MD5=5069160ffe5a229ed2ee1ddd8ca14df6|SHA512=ca50e009cad7f861759f85f8db74a684f6eee8f081bcdc255414ca898bbd7ef5c14c8a7bdd875201a51581ea484a49f4cceaf90ecef526c8bdda0d5ae94e24f5|Trigger=Download Initiated by Shell Command|URL=tftp://xxx.96.245.148/ssms.exe
–
…
…

这是由远端 xxx.96.245.148:61250 发出的一个攻击包，而我的私域网络是 192.168.1.4，被攻击端口是 135，而下载了的程式的 MD5 hash 为 5069160ffe5a229ed2ee1ddd8ca14df6，在 VirusTotal 上搜出来发觉是 Net-Worm.Win32.Kolabc.gwr 。

6. 改善蜜罐

Nmap 是一个能用作网络扫描的工具，就让我们扫一下这台蜜罐 192.168.1.4 吧。

看看以下 Nmap 的结果：

# Nmap 4.90RC1 scan initiated Sat Jul 11 01:39:09 2009 as: nmap -oN 192.168.1.4.sS.txt -v -sS 192.168.1.4
Host 192.168.1.4 is up (0.000011s latency).
Interesting ports on 192.168.1.4:
Not shown: 975 closed ports
PORT    STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh
25/tcp open  smtp
42/tcp open  nameserver
80/tcp open  http
110/tcp open  pop3
135/tcp open  msrpc
139/tcp open  netbios-ssn
143/tcp open  imap
443/tcp open  https
445/tcp open  microsoft-ds
465/tcp open  smtps
993/tcp open  imaps
995/tcp open  pop3s
1023/tcp  open  netvenuechat
1025/tcp  open  NFS-or-IIS
2103/tcp  open  zephyr-clt
2105/tcp  open  eklogin
2107/tcp  open  unknown
3372/tcp  open  msdtc
5000/tcp  open  upnp
5901/tcp  open  vnc-1
6129/tcp  open  unknown
10000/tcp open  snet-sensor-mgmt
10012/tcp open  unknown

Read data files from: /usr/local/share/nmap
# Nmap done at Sat Jul 11 01:39:09 2009 — 1 IP address (1 host up) scanned in 0.17 seconds

对于一位有少许经验的黑客来说，除了这可能是一台防守很差的电脑，这也是很可疑的一台电脑，就像张扬着自己是一个陷阱。为了增加可信性，可以把一些端口关掉。可以打开 /etc/nepenthes/nepenthes.conf，把部份漏洞模块注释掉：

57 // vulnerability modules
…
62    “vulniis.so”,                “vuln-iis.conf”,             “”
63 // “vulnkuang2.so”,             “vuln-kuang2.conf”,          “”
64    “vulnlsass.so”,                “vuln-lsass.conf”,             “”
…

有兴趣的人可以加一个 -sV 上去（测试服务的版本及身份），看看有甚麽有趣的结果？

7. 文章总结

我们的电脑无时无刻都受到攻击，但我们不知道是甚麽人要攻击我们，通过蜜罐，你也可以暸解黑客的行动，对「谁入侵我的电脑」这个问题作出初步解答。本篇文章介绍的 Nepenthes 是一个低互动性蜜罐，亦只是很多蜜罐中的其中一种，而通过高互动性蜜罐，更可以暸解更多关于黑客的日常运作。现在可以由不知所措变成有所行动了，并见识一下全世界的黑客没公开的技术了。

作者

“Log0″ 是一位电脑安全研究人员，我是针对蜜罐、网页安全及网络犯罪这方面的研究，并在 http://onhacks.org 裡以 log0 的笔名撰写关于电脑安全的文章。

===

參考 :

Nepenthes – http://nepenthes.carnivore.it/
Niels Provos, Thorsten Holz – “Virtual Honeypots: From Botnet Tracking to Intrusion Detection”

1 评分人数