Wybrane metody
rozpoznawania honeypotów
Paweł Przybyłek
Przygotowanie wiarygodnej
pułapki na intruzów jest
zajęciem żmudnym
i pracochłonnym  tym bardziej,
im większą interaktywnością ma
się ona wykazywać. Lenistwo
administratorów to często
powód udanych ataków.
adaniem honeypotów jest wabienie po- kretnych usług. Umożliwiają one dostęp do wy-
tencjalnych intruzów poprzez udostęp- branych aplikacji za pośrednictwem znanych
Znianie pewnej ograniczonej funkcjonal- protokołów: FTP, HTTP, SMTP i POP3. Przy-
ności. Istnieją dwa główne typy takich przynęt: kładem takiej pułapki jest system DTK (The De-
ception Toolkit) oraz Tiny Honeypot. Oba sys-
" honeypoty o niskiej interaktywności  pro- temy pozwalają symulować działanie serwe-
ste demony, udające działanie zestawu po- rów podstawowych usług  są jednak bardzo
pularnych usług (np. FTP czy HTTP), proste, a ich rozpoznanie jest niewielkim pro-
" honeypoty o wysokiej interaktywności blemem.
 prawdziwe lub zagnieżdżone (w postaci Trzeba pamiętać, że domyślna konfiguracja
maszyny wirtualnej) systemy operacyjne. większości tego typu pułapek ma za zadanie
przedstawić jak największy wachlarz możliwo-
Metody rozpoznawania pułapek są pochod- ści. Oczywiście niekoniecznie idzie to w parze
ną oferowanych usług  inaczej bada się wia- z wiarygodnością przynęty. Inaczej jest w przy-
rygodność maszyny, której zasoby są dostęp- padku prawdziwych usług, gdzie standardowe
ne jedynie przez serwer WWW, inaczej zaś te, ustawienia zazwyczaj oferują niewielką funk-
na których uzyskaliśmy dostęp do konta shello- cjonalność, ale są najbezpieczniejsze  przykła-
wego. Im więcej intruz będzie wiedzieć o me- dem niech będzie serwer SMTP umożliwiający
todach kamufl owania honeypotów, tym lepiej wysyłanie e-maili jedynie z lokalnej maszyny.
poradzi sobie ze zdemaskowaniem przynęty.
Przyjrzyjmy się zatem najsłabszym stronom
Z artykułu nauczysz się...
popularnych pułapek.
" jak zidentyfikować najpopularniejsze honeypoty.
Przynęty o małej
Powinieneś wiedzieć...
interaktywności
" jak działa podsystem plików /proc.
Honeypoty o małej interaktywności to takie,
których zadaniem jest symulowanie pracy kon-
32 www.hakin9.org Hakin9 Nr 5/2004
Atak
Rozpoznawanie honeypotów
Listing 1. Wykrycie obecności Tiny Honeypot za pomocą FTP Listing 2. Fałszywy plik /etc/
ftpusers zdobyty przez intruza
Przy pierwszej próbie:
# /etc/ftpusers:
$ telnet localhost 21
# list of users
Trying 127.0.0.1...
# disallowed ftp access.
Connected to localhost.
# See ftpusers(5).
Escape character is '^]'.
root
220 localhost.localdomain.localdomain FTP server (Version wu-2.6.1(2)) ready.
ftp
anonymous
Przy następnej:
$ telnet localhost 21
Listing 3. Prosty skrypt
Trying 127.0.0.1...
Connected to localhost. monitorujący obciążenie
Escape character is '^]'.
procesora
220 localhost.localdomain.localdomain NcFTPd Server ready.
#!/bin/sh
while [ 1=1 ]
do
Leniwy administrator łatwo mo- często są to prawdziwe lub zagnież-
ps -e -opcpu \
że więc zostać zdemaskowany. dżone systemy operacyjne. Zwykle
| awk '{P+=$1} END {print P}'
Wez
my Tiny Honeypot, gdzie przy oferują szeroki zestaw usług oraz, sleep 1m
done
domyślnej konfi guracji serwer FTP co za tym idzie, dają intruzowi więk-
przedstawia się jako losowy spo- sze pole do popisu. Ich identyfi -
śród: wu-ftpd, pftpd, Ncftpd lub kacja jest trudniejsza niż w przy- ne zachowanie emulowanych przez
Ncftpd
Ncftpd
Microsoft FTP Service. Kilkukrot- padku wspomnianych DTK i Tiny niego usług. Dla serwera pocztowe-
ne testowanie portu 21, czyli usługi Honeypot. go, na którym intruz ma zamiar po-
FTP, zapewne zdemaskuje pułapkę Generyczne metody rozpozna- ćwiczyć najnowsze eksploity zna-
(patrz Listing 1). wania honeypotów to takie, które lezione w sieci, będzie to analiza
Większe możliwości daje pa- pokazują, że serwer nie należy do spoolera, w szczególności dat mo-
kiet Deception Toolkit (DTK), któ- tych najbardziej zapracowanych. dyfi kacji i dostępu do plików z pocztą
ry udostępnia intruzowi (np. przez Po uzyskaniu dostępu do shella na użytkowników. Słowem  specyfi cz-
celowo nieprawidłowo skonfiguro- badanej maszynie najważniejsze ne dla tej usługi działania.
wany serwer FTP) fałszywy plik jest monitorowanie zestawu ofero- Załóżmy, że agresor uzyskał do-
/etc/passwd czy /etc/ftpusers. Jed- wanych przez nią usług. Urucho- stęp do serwera pocztowego. Szcze-
/etc/passwd
/etc/passwd
nak kiedy taki plik dostanie się miony na atakowanej maszynie de- gólnie powinien go zainteresować
w ręce agresora, może on w pro- mon telnet /var/spool/mail
telnet  podczas gdy dostęp do katalog /var/spool/mail, wykorzysty-
telnet /var/spool/mail
sty sposób sprawdzić niezgod- innych serwerów w tej samej sieci wany do składowania poczty przez
ność pomiędzy zawartością pliku jest szyfrowany (np. SSH)  od razu wiele programów MTA (Mail Trans-
/etc/passwd
/etc/passwd
/etc/passwd a rzeczywistą sytu- powinien wzbudzić podejrzenia ata- port Agent). Przesłanką do stwier-
acją (patrz Listing 2). kującego. Warto także sprawdzić li- dzenia, że znajduje się w honeypo-
Jeśli intruz dostał się na fałszywy stę działających na serwerze pro- cie będzie dla niego podejrzana za-
serwer przez konto FTP użytkowni- cesów, obciążenie CPU, użycie pa- wartość katalogu. Na przykład ze
ka anonimowego, wpis anonymous mięci oraz śledzić zmiany tych pa- zdumieniem stwierdzi, że jest on pu-
w pliku /etc/ftpusers upewni go, że rametrów w czasie. Oczywista jest sty. Nawet jeśli administrator pułap-
/etc/ftpusers
/etc/ftpusers
znajduje się w maszynie-pułapce konieczność analizy logów, któ- ki spreparował pliki poczty, będą one
(w tym pliku umieszczane są nazwy ra w sprzyjających okolicznościach zapewne mocno nieświeże. Intruz
użytkowników niemających dostępu szybko udowodni, że atakowanemu może się o tym przekonać wykonu-
do usługi FTP). Administrator mu- hostowi daleko do ciągle zajętego jąc polecenie:
si zatem dołożyć więcej starań, by serwera produkcyjnego.
stworzyć plik wyglądający na praw- Polecenie ps -e -opcpu wyświe- $ ls -alt /var/spool/mail/
dziwy. W przeciwnym wypadku roz- tla informację o obciążeniu gene-
poznanie zagrożenia zajmie intruzo- rowanym przez wszystkie procesy Posortuje ono pliki według dat mo-
wi kilka sekund. pracujące w systemie (w procen- dyfi kacji.
tach). Użycie CPU można spraw-
Honeypoty o dużej UML  szczególny
dzić, sumując te wartości (patrz
interaktywności Listing 3). przypadek pułapki
O wiele bardziej złożone są przynę- Identyfi kację honeypota moż- Jednym z najbardziej znanych inte-
ty o dużej interaktywności. Bardzo na także oprzeć o charakterystycz- raktywnych honeypotów jest User
2004 Hakin9 Nr 5/2004 www.hakin9.org
33