Klientský honeypot - Client honeypot

Honeypots jsou bezpečnostní zařízení, jejichž hodnota spočívá ve zkoumání a ohrožení. Tradiční honeypoty jsou servery (nebo zařízení vystavující služby serveru), které pasivně čekají na útok. Klientské honeypoty jsou aktivní bezpečnostní zařízení při hledání škodlivých serverů, které útočí na klienty. Klientský honeypot vystupuje jako klient a komunikuje se serverem, aby zjistil, zda došlo k útoku. Klientské honeypoty se často zaměřují na webové prohlížeče, ale každý klient, který komunikuje se servery, může být součástí klientského honeypotu (například ftp, ssh, e-mail atd.).

Existuje několik termínů, které se používají k popisu honeypotů klienta. Kromě klientského honeypotu, což je obecná klasifikace, je honeyclient další termín, který se obecně používá a přijímá. Zde však existuje jemnost, protože „honeyclient“ je ve skutečnosti homograf který by také mohl odkazovat na první známou implementaci honeypotu klienta s otevřeným zdrojovým kódem (viz níže), i když by to mělo být zřejmé z kontextu.

Architektura

Klientský honeypot se skládá ze tří složek. První komponenta, queuer, je zodpovědná za vytvoření seznamu serverů, které má klient navštívit. Tento seznam lze vytvořit například procházením. Druhou součástí je samotný klient, který je schopen provádět požadavky na servery identifikované frontou. Po interakci se serverem je třetí komponenta, analytický stroj, odpovědná za určení, zda došlo k útoku na honeypot klienta.

Kromě těchto komponent jsou klientské honeypoty obvykle vybaveny nějakou strategií zadržování, aby se zabránilo šíření úspěšných útoků za klientský honeypot. Toho je obvykle dosaženo použitím bran firewall a karanténních serverů virtuálních strojů.

Analogicky k tradičním serverovým honeypotům se klientské honeypoty klasifikují hlavně podle úrovně jejich interakce: vysoká nebo nízká; což označuje úroveň funkční interakce, kterou může server využívat na honeypotu klienta. Kromě toho existují také nově hybridní přístupy, které označují použití technik detekce vysoké i nízké interakce.

Vysoká interakce

Honeypoty klienta s vysokou interakcí jsou plně funkční systémy srovnatelné se skutečnými systémy se skutečnými klienty. Jako takové neexistují žádná funkční omezení (kromě strategie zadržování) na honeypotech s vysokou interakcí klienta. Útoky na honeypoty klienta s vysokou interakcí jsou detekovány prostřednictvím kontroly stavu systému po interakci se serverem. Zjištění změn klientského honeypotu může naznačovat výskyt útoku, který zneužil zranitelnost klienta. Příkladem takové změny je přítomnost nového nebo změněného souboru.

Honeypoty klienta s vysokou interakcí jsou velmi účinné při detekci neznámých útoků na klienty. Kompromisem pro tuto přesnost je však zásah výkonu z množství stavu systému, který je třeba monitorovat, aby bylo možné provést posouzení útoku. Tento detekční mechanismus je také náchylný k různým formám úniku zneužitím. Například útok by mohl zpozdit exploit z okamžitého spuštění (časované bomby) nebo by se mohl spustit na konkrétní sadu podmínek nebo akcí (logické bomby ). Protože nedošlo k žádné okamžité detekovatelné změně stavu, je pravděpodobné, že klientský honeypot nesprávně klasifikuje server jako bezpečný, i když úspěšně provedl útok na klienta. Nakonec, pokud klientské honeypoty běží ve virtuálních strojích, může se exploit pokusit detekovat přítomnost virtuálního prostředí a přestat spouštět nebo se chovat jinak.

Capture-HPC

Zachyťte ^[1] je vysoce interakční klientský honeypot vyvinutý vědci z Victoria University of Wellington, NZ. Capture se liší od stávajících honeypotů klienta různými způsoby. Nejprve je navržen tak, aby byl rychlý. Změny stavu jsou detekovány pomocí modelu založeného na událostech, který umožňuje reagovat na změny stavu, jak k nim dojde. Za druhé, Capture je navržen tak, aby byl škálovatelný. Centrální server Capture je schopen ovládat mnoho klientů v síti. Za třetí, Capture má být rámec, který umožňuje využívat různé klienty. Počáteční verze aplikace Capture podporuje Internet Explorer, ale aktuální verze podporuje všechny hlavní prohlížeče (Internet Explorer, Firefox, Opera, Safari) a další klientské aplikace podporující protokol HTTP, jako jsou kancelářské aplikace a přehrávače médií.

HoneyClient

HoneyClient ^[2] je webový prohlížeč (IE / FireFox), vysoce interakční klientský honeypot navržený Kathy Wang v roce 2004 a následně vyvinutý na MITER. Byl to první open source klientský honeypot a je to kombinace Perl, C ++ a Ruby. HoneyClient je založen na stavu a detekuje útoky na klienty Windows sledováním souborů, zpracováním událostí a položkami registru. Pro provedení této detekce má integrovanou kontrolu integrity v reálném čase Capture-HPC. HoneyClient také obsahuje prohledávač, takže jej lze naočkovat seznamem počátečních adres URL, ze kterých se má začít, a poté může pokračovat v procházení webových stránek při hledání malwaru na straně klienta.

HoneyMonkey (mrtvý od roku 2010)

HoneyMonkey ^[3] je webový prohlížeč (IE) s vysokou interakcí s klientským honeypotem implementovaný společností Microsoft v roce 2005. Není k dispozici ke stažení. HoneyMonkey je založen na stavu a detekuje útoky na klienty sledováním souborů, registru a procesů. Jedinečnou charakteristikou HoneyMonkey je jeho vrstvený přístup k interakci se servery za účelem identifikace zneužití nulového dne. HoneyMonkey zpočátku prochází web se zranitelnou konfigurací. Jakmile je útok identifikován, je server znovu přezkoumán s plně opravenou konfigurací. Pokud je útok stále detekován, lze usoudit, že útok využívá exploit, pro který ještě nebyl veřejně vydán žádný patch, a proto je docela nebezpečný.

SHELIA (mrtvý od roku 2009)

Shelia ^[4] je klientský honeypot s vysokou interakcí vyvinutý Joan Robert Rocaspana ve Vrije Universiteit Amsterdam. Integruje se s čtečkou e-mailů a zpracovává každý přijatý e-mail (adresy URL a přílohy). V závislosti na typu přijaté adresy URL nebo přílohy otevře jinou klientskou aplikaci (např. Prohlížeč, kancelářská aplikace atd.) Sleduje, zda jsou spustitelné pokyny prováděny v datové oblasti paměti (což by znamenalo, že bylo spuštěno zneužití přetečení vyrovnávací paměti). . S takovým přístupem je SHELIA nejen schopna detekovat zneužití, ale je schopna skutečně odvrátit zneužití od spuštění.

UW Spycrawler

Spycrawler ^[5] vyvinutý na univerzitě ve Washingtonu je ještě další honeypot klienta s vysokou interakcí založený na prohlížeči (Mozilla) vyvinutý Moshchukem a kol. v roce 2005. Tento klientský honeypot není k dispozici ke stažení. Spycrawler je založen na stavu a detekuje útoky na klienty monitorováním souborů, procesů, registru a pádů prohlížeče. Mechanismus detekce spycrawlerů je založen na událostech. Dále zvyšuje časovou prodlevu virtuálního stroje, ve kterém Spycrawler pracuje, aby překonal (nebo spíše snížil dopad) časovaných bomb.

Vyhledávač webového využití

WEF ^[6] je implementace automatické detekce disku - stahování ve virtualizovaném prostředí, kterou vyvinuli Thomas Müller, Benjamin Mack a Mehmet Arziman, tři studenti z Hochschule der Medien (HdM), Stuttgart, během letního semestru 2006. WEF může být použit jako aktivní HoneyNet s kompletní virtualizační architekturou pod pro vrácení zpět kompromitovaných virtualizovaných strojů.

Nízká interakce

Honeypoty klienta s nízkou interakcí se liší od honeypotu klienta s vysokou interakcí v tom, že nevyužívají celý skutečný systém, ale k interakci se serverem používají spíše odlehčené nebo simulované klienty. (ve světě prohlížečů jsou podobné webovým prohledávačům). Odpovědi ze serverů jsou zkoumány přímo za účelem posouzení, zda došlo k útoku. Toho lze dosáhnout například zkoumáním odpovědi na přítomnost škodlivých řetězců.

Klientské honeypoty s nízkou interakcí se snáze nasazují a fungují než klientské honeypoty s vysokou interakcí a také fungují lépe. Je však pravděpodobné, že budou mít nižší míru detekce, protože klientský honeypot musí znát útoky, aby je mohl detekovat; nové útoky pravděpodobně zůstanou bez povšimnutí. Trpí také problémem úniku zneužitím, který může být kvůli jejich jednoduchosti ještě umocněn, čímž zneužití usnadní odhalení přítomnosti klientského honeypotu.

HoneyC

HoneyC ^[7] je klientský honeypot s nízkou interakcí vyvinutý na Victoria University ve Wellingtonu Christianem Seifertem v roce 2006. HoneyC je platformově nezávislý open source framework napsaný v Ruby. V současné době se soustředí na řízení simulátoru webového prohlížeče pro interakci se servery. Škodlivé servery jsou detekovány statickým zkoumáním odezvy webového serveru na škodlivé řetězce prostřednictvím využití podpisů Snort.

Monkey-Spider (mrtvý od roku 2008)

Monkey-Spider ^[8] je honeypot klienta s nízkou interakcí, který původně vytvořil na univerzitě v Mannheimu Ali Ikinci. Monkey-Spider je klientský honeypot založený na prohledávači, který nejprve využívá antivirová řešení k detekci malwaru. Tvrdí se, že je rychlý a rozšiřitelný pomocí dalších detekčních mechanismů. Práce začala jako diplomová práce a pokračuje a je uvolněna jako svobodný software pod licencí GPL.

PhoneyC (mrtvý od roku 2015)

PhoneyC ^[9] je klient s nízkou interakcí vyvinutý společností Jose Nazario. PhoneyC napodobuje legitimní webové prohlížeče a dokáže porozumět dynamickému obsahu odstraněním škodlivého obsahu pro detekci. PhoneyC dále emuluje konkrétní chyby zabezpečení, aby přesně určil vektor útoku. PhoneyC je modulární rámec, který umožňuje studium škodlivých stránek HTTP a rozumí moderním zranitelnostem a technikám útočníků.

SpyBye

SpyBye ^[10] je klientský honeypot s nízkou interakcí vyvinutý společností Niels Provos. SpyBye umožňuje webovému mistrovi určit, zda je web nebezpečný, a to pomocí sady heuristik a skenování obsahu proti enginu ClamAV.

Thug

Thug ^[11] je honeypot klienta s nízkou interakcí vyvinutý Angelo Dell'Aera. Thug emuluje chování webového prohlížeče a zaměřuje se na detekci škodlivých webových stránek. Tento nástroj používá modul Javascript Google V8 a implementuje vlastní model Object Object (DOM). Mezi nejdůležitější a jedinečné funkce Thuga patří: ovládací modul ovládacích prvků ActiveX (modul zranitelnosti) a statické + dynamické analytické funkce (pomocí Abstract Syntax Tree a Libemu shellcode analyzátor). Thug je napsán v Pythonu pod GNU General Public License.

YALIH

YALIH (další mediální klient s nízkou interakcí) ^[12] je honeypot s nízkou interakcí s klientem, který vyvinul Masood Mansoori z kapitoly honeynet na Victoria University ve Wellingtonu na Novém Zélandu a je navržen tak, aby detekoval škodlivé webové stránky pomocí technik podpisu a porovnávání vzorů. YALIH má schopnost shromažďovat podezřelé adresy URL ze škodlivých databází webových stránek, rozhraní Bing API, složky doručené pošty a složky SPAM prostřednictvím protokolu POP3 a IMAP. Může provádět extrakci Javascriptů, de-obfuskaci a deminifikaci skriptů vložených na web a může emulovat referrer, agenty prohlížeče a zpracovávat přesměrování, cookies a relace. Jeho agent návštěvníků je schopen načítat web z více míst, aby obešel útoky na geografické umístění a maskování IP. YALIH může také generovat automatizované podpisy k detekci variací útoku. YALIH je k dispozici jako projekt s otevřeným zdrojovým kódem.

miniC

miniC ^[13] je klientský honeypot s nízkou interakcí založený na wget retrieveru a Yara enginu. Je navržen tak, aby byl lehký, rychlý a vhodný pro načítání velkého počtu webových stránek. miniC umožňuje nastavit a simulovat referrer, user-agent, accept_language a několik dalších proměnných. miniC bylo navrženo v novozélandské kapitole Honeynet na Victoria University ve Wellingtonu.

Hybridní klientské honeypoty

Hybridní klientské honeypoty kombinují klientské honeypoty s nízkou i vysokou interakcí a využívají výhod obou přístupů.

HoneySpider (mrtvý od roku 2013)

The HoneySpider ^[14] network je hybridní klientský honeypot vyvinutý jako společný podnik mezi NASK / CERT Polska, GOVCERT.NL [nl ]^[1] a SURFnet.^[2] Cílem projektů je vyvinout kompletní systém klientských honeypotů založený na stávajících řešeních klientských honeypotů a prohledávači speciálně pro hromadné zpracování adres URL.

Reference

^ NCSC (14. května 2013). „Nationaal Cyber Security Centrum - NCSC“. www.ncsc.nl.
^ „SURF is de ICT-coöperatie van onderwijs en onderzoek“. SURF.nl.

Literatura

Jan Göbel, Andreas Dewald, Klientské honeypoty: Zkoumání škodlivých webů, Oldenbourg Verlag 2010, ISBN 978-3-486-70526-3, Tato kniha na Amazonu

Doklady

M. Egele, P. Wurzinger, C. Kruegel a E. Kirda, Ochrana prohlížečů před stahováním z disku: Zmírnění útoků kódu pomocí injektáže haldy, Secure Systems Lab, 2009, s. dostupný z iseclab.org, zpřístupněno 15. května 2009.
Feinstein, Ben. Kofeinová opice: Automatizovaný sběr, detekce a analýza JavaScriptu. BlackHat USA. Las Vegas, 2007.
Ikinci, A, Holz, T., Freiling, F.C. : Monkey-Spider: Detekce škodlivých webů s nízko interakčními mediálními klienty. Sicherheit 2008: 407-421,
Moshchuk, A., Bragin, T., Gribble, S.D. a Levy, H.M. Studie spywaru na webu založená na prohledávači. Na 13. výročním sympoziu o zabezpečení sítí a distribuovaných systémů (NDSS). San Diego, 2006. Internetová společnost.
Provos, N., Holz, T. Virtuální honeypoty: Od sledování botnetů po detekci narušení. Addison-Wesley. Boston, 2007.
Provos, N., Mavrommatis, P., Abu Rajab, M., Monrose, F. Všechny vaše iFRAME směřují k nám. Technická zpráva Google. Google, Inc., 2008.
Provos, N., McNamee, D., Mavrommatis, P., Wang, K., Modadugu, N. Duch v prohlížeči: Analýza webového malwaru. Sborník z HotBots z roku 2007. Cambridge, duben 2007. USENIX.
Seifert, C., Endicott-Popovsky, B., Frincke, D., Komisarczuk, P., Muschevici, R. a Welch, I., Zdůvodnění potřeby forenzně připravených protokolů: Případová studie identifikace škodlivých webových serverů pomocí klientských honeypotů. na 4. výroční mezinárodní konferenci IFIP WG 11.9 International Conference on Digital Forensics, Kyoto, 2008.
Seifert, C. Know Your Enemy: Behind the Scenes of Malicious Web Servers. Projekt Honeynet. 2007.
Seifert, C., Komisarczuk, P. a Welch, I. Použití paradigmatu algoritmu rozděl a panuj pro zlepšení rychlosti detekce honeypotů s vysokou interakcí klienta. 23. výroční ACM sympozium o aplikovaných výpočtech. Ceara, Brazílie, 2008.
Seifert, C., Steenson, R., Holz, T., Yuan, B., Davis, M. A. Know Your Enemy: Malicious Web Servers. Projekt Honeynet. 2007 (k dispozici na honeynet.org )
Seifert, C., Welch, I. a Komisarczuk, P. HoneyC: Honeypot klienta s nízkou interakcí. Sborník NZCSRCS z roku 2007. University of Waikato, Hamilton, Nový Zéland. Dubna 2007.
C. Seifert, V. Delwadia, P. Komisarczuk, D. Stirling a I. Welch, Studie měření škodlivých webových serverů v doméně.n.n, na 14. Australasian Conference on Information Security and Privacy (ACISP), Brisbane, 2009.
C. Seifert, P. Komisarczuk a I. Welch, Skutečná kladná křivka nákladů: Metoda hodnocení založená na nákladech pro klientské honeypoty s vysokou interakcí, v SECURWARE, Atény, 2009.
C. Seifert, P. Komisarczuk a I. Welch, Identifikace škodlivých webových stránek pomocí statické heuristiky, na konferenci Austalasian Telecommunication Networks and Applications Conference, Adelaide, 2008.
Stuurman, Thijs, Verduin, Alex. Honeyclients - metoda detekce nízké interakce. Technická zpráva. University of Amsterdam. Února 2008.
Wang, Y.-M., Beck, D., Jiang, X., Roussev, R., Verbowski, C., Chen, S. a King, S. Automated Web Patrol with Strider HoneyMonkeys: Hledání webových stránek, které využívají chyby prohlížeče. Na 13. výročním sympoziu o zabezpečení sítí a distribuovaných systémů (NDSS). San Diego, 2006. Internetová společnost.
Zhuge, Jianwei, Holz, Thorsten, Guo, Jinpeng, Han, Xinhui, Zou, Wei. Studium škodlivých webů a podzemní ekonomiky na čínském webu. Sborník seminářů o ekonomice informační bezpečnosti z roku 2008. Hanover, červen 2008.

Prezentace

Weby

[1] NCSC (14. května 2013). „Nationaal Cyber Security Centrum - NCSC“. www.ncsc.nl.

[2] „SURF is de ICT-coöperatie van onderwijs en onderzoek“. SURF.nl.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[1]

[2]