|
Jedan kratak opis lova na vestice
=======================
Dva pojma za koje ste mozda culi, a koji su meni ovih dana jako zanimljivi su Honeypot i Honeyclient.
Pod pojmom Honeypot se podrazumeva 'mamac za botove, trojance i slicnu gamad'.
Honeypot emulira ranjiv sistem, i prosto mami nekog da pokusa da vam 'hackne' komp.
Honeypot ustvari simulira odziv kakav bi imao ranjivi sistem, a u medjuvremenu snima sva desavanja i hvata fajlove koje neko pokusava da vam uvali u sistem.
Na sledecoj slici mozete videti na kojim portovima 'slusa' moj sistem (levo), a desno se vidi prozor Honeypota koji odgovara na pakete na vecini portova koje ste videli da su otvoreni:
https://www.mycity.rs/must-login.png
Kada hacker pomisli da je upao (sto ce Honeypot da mu simulira), obicno pokusa da na sistem ubaci trojanca koriscenjem konzolnog FTP klijenta koji postoji na svakoj instalaciji Windowsa. Odradi download i startuje klijenta i onda smatra da je 'odradio posao'. Fora je u tome sto sve to sto on vidi na ekranu, to njemu ne odgovara moj sistem, vec moj honeypot, a sve fajlove koje pokusa da uvali - honeypot ce lepo da arhivira.
Postoje i automatizovani napadi koriscenjem botova. Botovi sa nekog zarazenog kompa pokusavaju da se prosire dalje, pa napadaju kompove na mrezi koriscenjem nekog exploita. Nakon uspesnog upada inficiraju i komp na koji su upali, pa i od njega naprave bota koji pokusava da zarazi ostale okolo. Sam bot moze da sadrzi i rutine za instalaciju i drugih programa na inficirani sistem, tako da se prica sa botom moze nastaviti do jutra. Honeypot ne moze da simulira instaliranog bota jer ne vrsi analizu fajlova koje je uhvatio. Time je objasnjena uloga Honeypota.
Dok je Honeypot program u kome nije potrebna interakcija (moze se nazvati i pasivnim), Honeyclient sam 'trazi nevolju'. Honeyclient posecuje sajtove i dozvoljava sve one aktivne komponente na sajtovima da vam instaliraju sta god sajt to od vas zatrazi. Naravno da je i ovo simulirano, tako da vi ustvari samo skupljate gamad sa sajtova i od toga pravite lepu arhivu.
Symantec odavno ima ovakav program, ali iskljucivo za Solaris operativni sistem. Microsoft trenutno razvija svoj HoneyMonkey koji ce krstariti netom i skupljati malware i exploite. MS se nada da ce ovom tehnologijom brze moci da skupe uzorke i da reaguju na 0-day exploite.
Trenutno nemam ni jedan HoneyClient cijim koriscenjem zasigurno komp ostaje cist, ali cu ovih dana poraditi na konstrukciji jednog ovakvog sistema.
Pogledajte moje prethodne clanke, a ja cu vam dati asocijacije:
HoneyClient, SandBox, hosts file
Citamo se posle sledeceg lova na vestice
Dopuna: 30 Jan 2006 23:12
Zaboravih da kazem: moj Honeypot sakupi od 3 do 10 novih malwarea dnevno, a dozivljava i po 1500 napada sa oko 500 downloada (ali vecinom isti bot ili crv). Ovo je bilo za informaciju o tome sta se sve desava na netu, ali ste toga postedjeni posto koristite FW-ove.
|
