蜜罐技術:如何跟蹤攻擊者的活動?
你們中的許多人可能對專業術語“蜜罐(honeypot)”和“蜜網(honeynets)”比較熟悉。雖然從嚴格意義上講,有人可能認為它們是安全研究人員的工具,如果使用得當,它們也可以使企業受益。在本文中,我們所使用的“蜜罐”和“蜜網”表示的是同一個意思,蜜罐一般試圖模擬一個更大更多樣化的網絡,為黑客提供一個更加可信的攻擊環境。
蜜罐是一個孤立的系統集合,其首要目的是:利用真實或模擬的漏洞或利用系統配置中的弱點(如一個容易被猜出的密碼),引誘攻擊者發起攻擊。蜜罐吸引攻擊者,并能記錄攻擊者的活動,從而更好地理解擊者的攻擊。蜜罐一般分為兩種類型:高交互蜜罐和低交互蜜罐。
類型和折中
高交互蜜罐是一部裝有真正操作系統(非模擬),并可完全被攻破的系統。與攻擊者進行交互的是一部包含了完整服務棧(service stack)的真實系統。該系統的設計目的是捕獲攻擊者在系統中詳盡的活動信息。而低交互蜜罐只是模擬出了真正操作系統的一部分(如,網絡堆棧、過程和服務),例如模擬某個版本的FTP(文件傳輸協議)服務,其中的代碼存在漏洞。這可能會吸引蠕蟲查找服務脆弱部分的漏洞,由此可以深入觀察到蠕蟲的行為。
不過,在你使用這兩種蜜罐時,需要做出一些折中。用于網絡安全的高交互蜜罐提供了真實操作系統的服務和應用程序,使其可以獲得關于攻擊者更可靠的信息,這是它的優勢。它還可以捕獲攻擊者在被攻破系統上的大量信息。這一點可能會非常有幫助,比如說,在組織想要收集關于攻擊者是如何找到攻破特定類型系統的詳細真實數據,以便增加適當的防御的時候。另一方面,這些蜜罐系統部署和維護起來十分困難,而且需要承擔很高的副作用風險:例如,被攻破的系統可能會被用來攻擊互聯網上其他的系統。
雖然低交互蜜罐容易建立和維護,且一般對攻擊者產生了免疫,但模擬可能不足以吸引攻擊者,還可能導致攻擊者繞過系統發起攻擊,從而使蜜罐在這種情況下失效。到底部署哪種蜜罐取決于你最終的目標是什么:如果目標是捕獲攻擊者與系統的詳細交互情況,那么高交互蜜罐是一個更好的選擇;如果目標是捕獲針對某個有漏洞的服務版本的惡意軟件樣本,使用低交互蜜罐就足夠了。
在你決定使用哪種蜜罐部署時,另一個需要考慮的重要因素是:蜜罐是安裝在物理系統上,還是安裝在物理系統的幾臺虛擬機上。這將直接影響到系統維護的工作量。雖然虛擬系統自身的確有一系列安全問題,但虛擬系統允許快速回復,并能顯著縮短部署和重新部署的時間。
蜜罐部署
無論是高交互蜜罐還是低交互蜜罐,都被設計成在互聯網上不進行傳統目的活動。換句話說,除操作系統要求的以外,蜜罐系統不運行其他的進程、服務和后臺程序。這種思想實際上把所有與蜜罐有關的交互作用都當作具有惡意活動嫌疑的對象,這樣一來反而有利于檢測攻擊活動。在探討蜜罐部署的最佳做法之前,先讓我們來看一下常用的高交互和低交互蜜罐。
通常情況下,高交互蜜罐不需要專用軟件就可以進行底層操作系統的安裝。一般來說,安裝一個VMware工作站或者用一個類似QEMU的虛擬機,就足以滿足蜜罐對操作系統的要求了(典型情況是,主機上的客戶操作系統運行虛擬軟件)。底層操作系統安裝好后,下一步的重點就是進行設置,以對蜜罐(客戶操作系統)進行合理的監測。這一設置要分為兩部分:監測主機操作系統和監測客戶操作系統。主機操作系統應該重點對進出蜜罐的流量進行抓包,這一過程可以利用像tcpdump 或Wireshark之類的程序來完成。同時,如果客戶操作系統被感染,惡意帶外連接會造成潛在的附加危害,對這一情況用戶希望提前被警告,這也被叫做擠壓檢測(extrusion detection)。這一點可以利用類似iptables(或者基于主機的防火墻)的本地訪問控制列表來完成。執行帶內過濾實質上是對蜜罐所受攻擊的類型實施部分控制。用戶可以把主機操作系統流量過濾和入侵檢測系統(例如Snort)結合起來,從而獲得針對已知攻擊媒介的附加報警能力(也就是基于簽名的報警)。
對客戶操作系統,或者是攻擊的實際目標進行監測,需要捕捉到攻擊者的所有活動,比如跟蹤鍵盤記錄活動、記錄攻擊者所用的工具和記載權限擴大嘗試。Sebek就是一款能夠完成上述大規模數據搜集活動的工具。另外一些值得關注的虛擬化高交互蜜罐還有用戶模式的Linux和Argos系統。
與高交互蜜罐不同,低交互蜜罐需要在主機操作系統上安裝特殊的軟件,另外還要進一步配置,以便有效地模擬有缺陷的服務。較受歡迎的低交互蜜罐技術有Nepenthes,以及后續產品Dionaea和mwcollectd。
低交互蜜罐創造性地配置了多種檢測功能,包括廣泛記錄功能、惡意軟件捕捉功能、實時安全事件通知,以及提交惡意軟件活動進行遠程分析。它們的功能還可以進一步提高,方法是使用Nepenthes中的log-IRC附加模塊,通過Dionaea和p0f模塊一同使用還可以獲得被動識別遠程操作系統的能力。Dionaea同樣支持XMPP(可擴展消息現場協議)模塊,該模塊可以在企業之間和安全社區中實現惡意軟件二進制共享,從而提高用戶的安全意識。
筆者接觸過一些與高交互蜜罐監測有關的部署最佳實踐,這些實踐中執行了帶內和帶外的過濾,以及網絡入侵檢測。這些功能有待于增強,還需要強化蜜罐和正常網絡之間的隔離。理想的情況是,蜜罐環境應該部署在自己專用的互聯網入口上,而主機的操作系統管理則放在另一個獨立的網絡上。另一方面,低交互蜜罐無法被攻擊者全部攻破,因此它們的保護工作要簡單一些。利用chroot之類的程序,可以把低交互蜜罐系統隔離到一個較小的文件系統中。另外,低交互蜜罐系統也要與正常網絡徹底隔離,否則低交互蜜罐仍舊會暴露在與高交互蜜罐相同的威脅下。
典型應用
蜜罐的主要用途之一是收集惡意軟件樣本。這些樣本可能利用零日漏洞(zero-day vulnerabilities),或已知的攻擊向量。蜜罐可以讓研究者對上述攻擊有更好的了解。例如,通過監測IRC控制通道,蜜罐就可以提供實時攻擊流量。它們還具備被動識別攻擊者操作系統類型,或存儲/重演攻擊活動的能力。另外,它們允許研究者共享威脅信息(例如XMPP),或者把樣本提交給在線沙盒和多反病毒掃描工具(如VirusTotal、Jotti、ThreatExpert和CWSandbox)進行進一步分析。
蜜罐收集惡意軟件活動的領域可以擴展到僵尸系統(bot)和僵尸網絡(botnet)。僵尸網絡擁有分布式的特點,依賴于遠程命令通道的使用(一般是通過IRC和 HTTP),利用的往往是零日攻擊或已知攻擊向量,這種體系結構使得蜜罐可以很好的對其進行跟蹤和分析。
對企業而言,蜜罐的實用性遠大于上述情況。然而,蜜罐的有效性很大程度上取決于能否有一個好的設計。任何設計缺陷(比如,不充分的隔離、缺乏監測和實時報警能力)都可能把蜜罐變為嚴重的負債,而不是可以對危險進行管理的資產。使用蜜罐時,適當的小心和謹慎很必要。如果你沒有充足的經驗卻希望使用蜜罐,那你就需要時常向訓練過的專業人士咨詢。
作者:Anand Sastry
【編輯推薦】
