(扩充)蜜罐与蜜网技术.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 通过端口重定向钓鱼 端口重定向器 透明地将连入的TCP连接转发到一个远程的目标主机 redir --lport=80 --laddr=IP address of honeypot --cport=80 --caddr=221.4.XXX.XXX （中国的IP） 透明地将受害者重定向到主钓鱼网站 36小时的时间段内，721个受害IP地址 通过僵尸网络进行钓鱼 僵尸网络用于发送垃圾邮件 启动SOCKS代理服务 僵尸工具中支持垃圾邮件发送的功能 harvest.emails – 使得僵尸工具获得一个Email地址列表 harvest.emailshttp – 使得僵尸工具通过HTTP获得一个Email地址列表 spam.setlist – 下载一个Email地址列表 spam.settemplate – 下载一个Email模板 spam.start – 开始发送垃圾邮件 spam.stop – 停止发送垃圾邮件 利用蜜网技术剖析网络钓鱼攻击 对整个网络钓鱼攻击案例的全程跟踪 之前，对钓鱼攻击的幕后一无所知 通过蜜网技术展示了一个完整的网络钓鱼攻击的全过程 观察到的一些网络钓鱼攻击特征 较高的技术水平，良好的组织性 分布式、并行攻击 僵尸网络、垃圾邮件和网络钓鱼攻击的融合 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 攻击分析实例－Walleye网络流视图 p0f操作系统辨识 Snort报警 攻击案例分析－Exploit网络流相关进程树视图 攻击案例分析－Exploit网络流详细视图 攻击案例分析－Exploit数据包解码视图 攻击案例分析－Exploit网络流检测结果 攻击案例分析－Exploit网络流数据包 攻击案例分析－Shell进程树视图 攻击案例分析－Shell进程详细视图 攻击案例分析－Shell进程read detail视图 攻击案例分析－Shell网络流详细视图 攻击案例分析－Shell网络流数据包解码视图 狩猎女神项目组部署的蜜网 狩猎女神项目组的虚拟蜜网 蜜罐与蜜网技术的应用 僵尸网络(Botnet)的发现和跟踪 深入剖析网络钓鱼攻击(Phishing) 互联网安全威胁分析案例 黑客攻击 通过Samba服务漏洞获得root权限、安装后门 蠕虫传播 高波蠕虫: 攻击445端口LSASS漏洞、使用TFTP传送副本，感染后继续扫描 僵尸网络 僵尸网络的发现与跟踪 – NetSec 2005 网络钓鱼攻击 诸葛建伟译, 了解你的敌人: 网络钓鱼攻击的幕后 如何发现僵尸网络？ IDS方法 必须充分了解僵尸程序，提取指纹信息作为IDS检测的特征 行为监测法 僵尸程序行为模式：快速连接控制信道、长时间在线发呆、… 蜜罐捕获法 通过部署蜜罐对僵尸程序进行捕获－样本 通过对网络行为进行监视和分析－僵尸网络控制信道信息 恶意软件捕获器mwcollect 针对主动攻击漏洞传播的恶意软件(包括僵尸程序) 模拟RPC DCOM、LSASS等知名漏洞 对主动攻击漏洞恶意软件注入的shellcode进行分析，获取恶意软件传播使用的URL 通过URL获取恶意软件样本 其他的僵尸程序来源 International mwcollect Alliance 共享捕获的恶意软件样本资源 与反病毒厂商的样本交换 Panda Software 公开的恶意软件分析报告资源 Sandbox.norman.no 僵尸程序样本分析 任务－获取僵尸网络控制信道信息 控制服务器host/port 连接口令 加入的频道名/频道口令 用户名和昵称的结构 – CHN|xxxxx? 方法 沙箱: sandbox.norman.no 蜜网在线攻击分析技术 HoneyBot 僵尸网络跟踪工具 HoneyClient－客户端蜜罐技术 能够根据给定的控制信道信息连入僵尸网络，并隐蔽地对僵尸网络活动进行跟踪和审计 Honeybot原型系统：python + irc client lib 同时跟踪多个僵尸网络 存活情况、规模、控制指令 观测Bot样本及僵尸网络数 僵尸网络控制服务器分布 僵尸网络规模分布 9月份活跃僵尸网络持续跟踪结果 一个典型的僵尸网络规模变化情况 使用mIRC进一步跟踪僵尸网络 跟踪僵尸网络的一些经验 相当大比例的僵尸网络生命周期较短 首先使用自动化跟踪工具确定其存活情况、规模等信息，再进行选择跟踪 伪装性 昵称和用户名必须与其他僵尸程序一致 Disable IRC协议的CTCP