IRCAR201010075
پيش از اين در چهار مقاله «Honeypot چيست؟»، «انواع Honeypot»، «كاربردهاي Honeypot ها» و «مكانيزمهاي جمع آوري اطلاعات در Honeypot ها» به معرفي اجمالي Honeypot ها، كاربردهاي اين سيستمها و روشهاي جمع آوري اطلاعات در اين سيستمها پرداختيم. در اين مقاله مكانيزمهاي مختلف تحليل اطلاعات در Honeypot ها را مورد بررسي قرار خواهيم داد.
Honeypot ها در كشف فعاليتهاي هكرهاي كلاه سياه بسيار موثر عمل ميكنند. پتانسيل حقيقي يك Honeypot فقط زماني كاملا به كار گرفته ميشود كه داده هاي مربوط به اين فعاليتها به اطلاعات ارزشمندي تبديل شوند. براي اين منظور، بايد يك روال براي جمع آوري اين داده ها و ايجاد ارتباط بين آنها و ابزارها، تاكتيكها و انگيزه هاي هكرهاي كلاه سياه وجود داشته باشد. چنين روالي تحليل داده ها ناميده ميشود. اين روال يكي از پر چالش ترين و زمانبرترين بخشهاي كار است. در ادامه اين مطلب، برخي از روشها و تكنيكهاي موفق مورد استفاده براي اين كار توضيح داده خواهند شد.
1- لاگ هاي فايروال
فايروالها ميتوانند در تحليل ارتباطات ورودي و خروجي Honeypot مفيد باشند. ميدانيم كه هر ترافيك شبكه اي كه از Honeypot خارج شده و يا به آن وارد ميشود، بايد تحت عنوان ترافيك مشكوك يا خرابكار برچسب بخورد. تجزيه ترافيك ثبت شده از طريق فايروال و استخراج اطلاعات سودمند از آن، ميتواند كاري خسته كننده باشد. بسته به نوع فايروالي كه براي پروژه هانينت مورد استفاده قرار ميدهيد، برخي فايروالها امكان ارسال پيغام هشدار از طريق ايميل را در موارد ارتباطات مشكوك فراهم مي آورند، كه اين كار ميتواند حجم دادههايي را كه بايد تجزيه كنيد كاهش دهد. براي مثال، شما ميتوانيد فايروال خود را طوري پيكربندي كنيد كه پيغام هشداري را در زمان ايجاد يك ارتباط FTP از راه دور صادر نمايد. چرا كه اين نوع ارتباطات معمولا نشان دهنده اين هستند كه Honeypot شما مورد سوء استفاده قرار گرفته و فرد مهاجم در حال تلاش براي ايجاد ارتباط FTP است.
2- IDS
سيستمهاي تشخيص نفوذ مانند Snort، يك سري اطلاعات اصلي در اختيار كاربران خود قرار داده و نيز بسته به كنسول مورد استفاده كاربر، قابليت گروه بندي هشدارهاي مشابه، گروه بندي انواع ترافيك شبكه، و گروه بندي وقايع به ترتيب زماني و يا حتي شناسايي يك گروه از وقايع به عنوان يك هشدار واحد را دارا هستند.
سه دسته اطلاعات اصلي كه يك IDS به كاربر خود ارائه ميدهد به اين شرح هستند: يك IDS زماني كه فعاليت مشكوكي توسط يك امضاء شناسايي شده باشد پيغام هشدار صادر ميكند، بستههاي فعاليت مشكوك ذخيره شده را جمع آوري ميكند، و در نهايت نشستهاي ASCII يا دادههاي ASCII كشف شده در payload بسته را ثبت ميكند.
يك نكته مهم كه بايد در هنگام تحليل اطلاعات به دست آمده از لاگهاي Snort به آن توجه كرد اين است كه بايد لاگهاي Snort را با لاگهاي فايروال مقايسه كرد تا به اين وسيله، لايه اي از اطمينان به نتايج كار افزوده گردد. معمولا زماني كه يك فرد مهاجم Honeypot ما را هدف قرار ميدهد، سعي در ايجاد يك ارتباط از راه دور ميكند كه به سادگي قابل شناسايي است.
يك ابزار مفيد كه ميتواند براي جمع آوري ترافيك IRC مورد استفاده قرار گيرد، ابزاري به نام privmsg.pl است. اين ابزار كه اطلاعات حساس را به سرعت و به طور موثر از نشستهاي چت IRC استخراج ميكند، توسط Max Vision توسعه داده شده است. IRC يا Internet Relay Chat اغلب براي ارتباط بين هكرها در زمان نفوذ مورد استفاده قرار ميگيرد، بنابراين شما بايد به طور جدي هر ترافيك IRC را كه به Honeypot شما وارد شده يا از آن خارج ميشود، ثبت كنيد.
3- لاگ هاي سيستم
بسته به نوع سيستم عامل مورد استفاده در Honeypot، تمامي فعاليتهاي سيستمي بر روي Honeypot شما به صورت محلي در يك فايل syslog (لاگ سيستمي) ثبت ميشود. سيستمهايي مانند يونيكس، نسخه هايي از ويندوز مايكروسافت، و برخي سيستم عاملهاي ديگر، قابليت ثبت تمامي فعاليتهاي سيستمي را كه از طريق سيستم ديگري و از راه دور بر روي سيستم محلي انجام ميشود دارا هستند. اين قابليت براي فهميدن چگونگي دسترسي يك مهاجم به Honeypot، منبع حمله، انواع فعاليت سيستمي كه ميتواند مشكوك باشد مانند reboot ها، سرويسهاي متوقف شده يا آغاز شده، و حسابهاي غيرفعال شده يا ايجاد شده، بسيار مفيد است. همچنين از آنجايي كه اين فعاليت سيستمي از راه دور ثبت ميشود، ما ميتوانيم لاگهاي سيستمي Honeypot را با لاگهاي سرور ديگر مقايسه كنيم تا در صورتي كه فرد مهاجم فايلهاي لاگ سيستمي موجود بر روي سيستم Honeypot محلي را حذف يا دستكاري كرده باشد، متوجه اين موضوع شويم. همچنين اين اطلاعات ميتواند با اطلاعات ثبت شده در فايروال يا IDS نيز مقايسه گردد.
4- جرم شناسي سيستم قرباني
جرم شناسي (Forensics) تكنيك ديگري است كه به ما اجازه ميدهد تحليل دقيقتري بر روي يك سيستم Honeypot انجام دهيم. ما ميتوانيم روالها، فايلها يا حتي ابزارهايي را كه هكرهاي كلاه سياه ممكن است براي سوء استفاده از يك سيستم مورد استفاده قرار داده باشند، بازيابي كنيم. اين كار به ما اجازه ميدهد فعاليت مهاجم را بازسازي كرده يا حتي فعاليت خرابكارانه اي را كه ساير روشهاي تحليلي نتوانسته اند كشف كنند، كشف كرده و معرفي نماييم. براي انجام جرم شناسي بر روي يك سيستم Honeypot، بايد كپيهايي از تصوير سيستم عامل را به عنوان ابزار مقايسه در آغاز روال بازيابي در اختيار داشته باشيم. يك راه معمول براي ساختن كپيهاي بايت به بايتاز سيستم عامل Honeypot ، استفاده از يك ابزار خط دستور معمولي به نام NetCat است. كپي كردن تصوير Honeypot ابتدا به وسيله ايجاد يك نمونه از NetCat كه بر روي يك سيستم مورد اعتماد گوش نشسته است انجام ميشود. براي مثال، دستور nc –l –p 5000 > Honeypot.hda1.dd، پورت شماره 5000 را براي گوش دادن بر روي سيستم مورد اعتماد باز ميكند. سپس هر چيزي كه به اين پورت ارسال ميشود در فايل Honeypot.hda1.dd ثبت ميگردد. زماني كه سيستم مورد اعتماد در حال گوش دادن است، شما ميتوانيد با دستور /partition/nc trusted_system 5000 –w 3 يك پارتيشن را از سيستمي كه مورد سوء استفاده قرار گرفته كپي كنيد و آن را به سيستم مورد اعتماد ارسال نماييد.
5- جرم شناسي پيشرفته سيستم قرباني
همانطور كه قبلا هم اشاره شد، بازيابي دادهها يك بخش حساس و بسيار مهم از تحليل فعاليت يك Honeypot است. اگر اين Honeypot توسط يك مهاجم مورد سوء استفاده قرار گرفته باشد، آنگاه احتمال زيادي وجود دارد كه وي برخي اطلاعات حساس را كه در صورت بازيابي مهم باشند، پاك كرده باشد. هكرها اغلب سعي ميكنند با حذف فايلهايي كه براي دسترسي ايجاد شده اند يا فايلهايي كه نشان دهنده مجرم بودن آنهاست، ردپاي خود را بعد از سوء استفاده از يك سيستم پاك نمايند. بنابراين داشتن يك روش براي بازيابي فايلهاي حذف شده بسيار مهم است. ابزاري به نام icat اين قابليت را دارد كه اين فايلهاي حذف شده را بازيابي كند. همچنين يك گزينه پيشرفته به نام unrm، يك پارتيشن خاص را دريافت كرده و تمامي فضاي حذف شده از آن پارتيشن را براي تحليلهاي بعدي باز ميگرداند.
مقالات مرتبط:
Honeypot چيست؟
انواع Honeypot
كاربردهاي Honeypot ها
- 13