‫ مكانيزمهاي تحليل اطلاعات در Honeypot ها

IRCAR201010075

پيش از اين در چهار مقاله «Honeypot چيست؟»، «انواع Honeypot»، «كاربردهاي Honeypot ها» و «مكانيزم­هاي جمع آوري اطلاعات در Honeypot ها» به معرفي اجمالي Honeypot ها، كاربردهاي اين سيستم­ها و روش­هاي جمع آوري اطلاعات در اين سيستم­ها پرداختيم. در اين مقاله مكانيزم­هاي مختلف تحليل اطلاعات در Honeypot ها را مورد بررسي قرار خواهيم داد.

 Honeypot ها در كشف فعاليت­هاي هكرهاي كلاه سياه بسيار موثر عمل مي­كنند. پتانسيل حقيقي يك Honeypot فقط زماني كاملا به كار گرفته مي­شود كه داده هاي مربوط به اين فعاليت­ها به اطلاعات ارزشمندي تبديل شوند. براي اين منظور، بايد يك روال براي جمع آوري اين داده ها و ايجاد ارتباط بين آنها و ابزارها، تاكتيك­ها و انگيزه هاي هكرهاي كلاه سياه وجود داشته باشد. چنين روالي تحليل داده ها ناميده مي­شود. اين روال يكي از پر چالش ترين و زمانبرترين بخش­هاي كار است. در ادامه اين مطلب، برخي از روش­ها و تكنيك­هاي موفق مورد استفاده براي اين كار توضيح داده خواهند شد.

 

 
1- لاگ هاي فايروال
 
فايروال­ها مي­توانند در تحليل ارتباطات ورودي و خروجي Honeypot مفيد باشند. مي­دانيم كه هر ترافيك شبكه اي كه از Honeypot خارج شده و يا به آن وارد مي­شود، بايد تحت عنوان ترافيك مشكوك يا خرابكار برچسب بخورد. تجزيه ترافيك ثبت شده از طريق فايروال و استخراج اطلاعات سودمند از آن، مي­تواند كاري خسته كننده باشد. بسته به نوع فايروالي كه براي پروژه هاني‌نت مورد استفاده قرار مي­دهيد، برخي فايروال­ها امكان ارسال پيغام هشدار از طريق ايميل را در موارد ارتباطات مشكوك فراهم مي آورند، كه اين كار مي­تواند حجم داده‌هايي را كه بايد تجزيه كنيد كاهش دهد. براي مثال، شما مي­توانيد فايروال خود را طوري پيكربندي كنيد كه پيغام هشداري را در زمان ايجاد يك ارتباط FTP از راه دور صادر نمايد. چرا كه اين نوع ارتباطات معمولا نشان دهنده اين هستند كه Honeypot شما مورد سوء استفاده قرار گرفته و فرد مهاجم در حال تلاش براي ايجاد ارتباط FTP است.
 
2- IDS 
 
سيستم­هاي تشخيص نفوذ مانند Snort، يك سري اطلاعات اصلي در اختيار كاربران خود قرار داده و نيز بسته به كنسول مورد استفاده كاربر، قابليت گروه بندي هشدارهاي مشابه، گروه بندي انواع ترافيك شبكه، و گروه بندي وقايع به ترتيب زماني و يا حتي شناسايي يك گروه از وقايع به عنوان يك هشدار واحد را دارا هستند.
سه دسته اطلاعات اصلي كه يك IDS به كاربر خود ارائه مي­دهد به اين شرح هستند: يك IDS زماني كه فعاليت مشكوكي توسط يك امضاء شناسايي شده باشد پيغام هشدار صادر مي­كند، بسته‌هاي فعاليت مشكوك ذخيره شده را جمع آوري مي­كند، و در نهايت نشست­هاي ASCII يا داده‌هاي ASCII كشف شده در payload بسته را ثبت مي­كند.
يك نكته مهم كه بايد در هنگام تحليل اطلاعات به دست آمده از لاگ­هاي Snort به آن توجه كرد اين است كه بايد لاگ­هاي Snort را با لاگ­هاي فايروال مقايسه كرد تا به اين وسيله، لايه اي از اطمينان به نتايج كار افزوده گردد. معمولا زماني كه يك فرد مهاجم Honeypot ما را هدف قرار مي­دهد، سعي در ايجاد يك ارتباط از راه دور مي­كند كه به سادگي قابل شناسايي است.
يك ابزار مفيد كه مي­تواند براي جمع آوري ترافيك IRC مورد استفاده قرار گيرد، ابزاري به نام privmsg.pl است. اين ابزار كه اطلاعات حساس را به سرعت و به طور موثر از نشست­هاي چت IRC استخراج مي­كند، توسط Max Vision توسعه داده شده است. IRC يا Internet Relay Chat اغلب براي ارتباط بين هكرها در زمان نفوذ مورد استفاده قرار مي­گيرد، بنابراين شما بايد به طور جدي هر ترافيك IRC را كه به Honeypot شما وارد شده يا از آن خارج مي­شود، ثبت كنيد.
 
3- لاگ هاي سيستم
 
بسته به نوع سيستم عامل مورد استفاده در Honeypot، تمامي فعاليت­هاي سيستمي بر روي Honeypot شما به صورت محلي در يك فايل syslog (لاگ سيستمي) ثبت مي­شود. سيستم­هايي مانند يونيكس، نسخه هايي از ويندوز مايكروسافت، و برخي سيستم عامل­هاي ديگر، قابليت ثبت تمامي فعاليت­هاي سيستمي را كه از طريق سيستم ديگري و از راه دور بر روي سيستم محلي انجام مي­شود دارا هستند. اين قابليت براي فهميدن چگونگي دسترسي يك مهاجم به Honeypot، منبع حمله، انواع فعاليت سيستمي كه مي­تواند مشكوك باشد مانند reboot ها، سرويس­هاي متوقف شده يا آغاز شده، و حساب­هاي غيرفعال شده يا ايجاد شده، بسيار مفيد است. همچنين از آنجايي كه اين فعاليت سيستمي از راه دور ثبت مي­شود، ما مي­توانيم لاگ­هاي سيستمي Honeypot را با لاگ­هاي سرور ديگر مقايسه كنيم تا در صورتي كه فرد مهاجم فايل­هاي لاگ سيستمي موجود بر روي سيستم Honeypot محلي را حذف يا دستكاري كرده باشد، متوجه اين موضوع شويم. همچنين اين اطلاعات مي­تواند با اطلاعات ثبت شده در فايروال يا IDS نيز مقايسه گردد.
 
4- جرم شناسي سيستم قرباني
 
جرم شناسي (Forensics) تكنيك ديگري است كه به ما اجازه مي­دهد تحليل دقيق­تري بر روي يك سيستم Honeypot انجام دهيم. ما مي­توانيم روال‌ها، فايل­ها يا حتي ابزارهايي را كه هكرهاي كلاه سياه ممكن است براي سوء استفاده از يك سيستم مورد استفاده قرار داده باشند، بازيابي كنيم. اين كار به ما اجازه مي­دهد فعاليت مهاجم را بازسازي كرده يا حتي فعاليت خرابكارانه اي را كه ساير روش­هاي تحليلي نتوانسته اند كشف كنند، كشف كرده و معرفي نماييم. براي انجام جرم شناسي بر روي يك سيستم Honeypot، بايد كپي­هايي از تصوير سيستم عامل را به عنوان ابزار مقايسه در آغاز روال بازيابي در اختيار داشته باشيم. يك راه معمول براي ساختن كپي­هاي بايت به بايتاز سيستم عامل Honeypot ، استفاده از يك ابزار خط دستور معمولي به نام NetCat است. كپي كردن تصوير Honeypot ابتدا به وسيله ايجاد يك نمونه از NetCat كه بر روي يك سيستم مورد اعتماد گوش نشسته است انجام مي­شود. براي مثال، دستور nc –l –p 5000 > Honeypot.hda1.dd، پورت شماره 5000 را براي گوش دادن بر روي سيستم مورد اعتماد باز مي­كند. سپس هر چيزي كه به اين پورت ارسال مي­شود در فايل Honeypot.hda1.dd ثبت مي­گردد. زماني كه سيستم مورد اعتماد در حال گوش دادن است، شما مي­توانيد با دستور /partition/nc trusted_system 5000 –w 3 يك پارتيشن را از سيستمي كه مورد سوء استفاده قرار گرفته كپي كنيد و آن را به سيستم مورد اعتماد ارسال نماييد.
 
5- جرم شناسي پيشرفته سيستم قرباني
 
همانطور كه قبلا هم اشاره شد، بازيابي داده‌ها يك بخش حساس و بسيار مهم از تحليل فعاليت يك Honeypot است. اگر اين Honeypot توسط يك مهاجم مورد سوء استفاده قرار گرفته باشد، آنگاه احتمال زيادي وجود دارد كه وي برخي اطلاعات حساس را كه در صورت بازيابي مهم باشند، پاك كرده باشد. هكرها اغلب سعي مي­كنند با حذف فايل­هايي كه براي دسترسي ايجاد شده اند يا فايل­هايي كه نشان دهنده مجرم بودن آنهاست، ردپاي خود را بعد از سوء استفاده از يك سيستم پاك نمايند. بنابراين داشتن يك روش براي بازيابي فايل­هاي حذف شده بسيار مهم است. ابزاري به نام icat اين قابليت را دارد كه اين فايل­هاي حذف شده را بازيابي كند. همچنين يك گزينه پيشرفته به نام unrm، يك پارتيشن خاص را دريافت كرده و تمامي فضاي حذف شده از آن پارتيشن را براي تحليل­هاي بعدي باز مي­گرداند.
 
مقالات مرتبط:
مكانيزم­هاي جمع آوري اطلاعات در Honeypot ها

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0