Reaktive Sicherheit. VII. Honeypots. Dr. Michael Meier. technische universität dortmund

Transkript

1 Reaktive Sicherheit VII. Honeypots Dr. Michael Meier technische universität dortmund Fakultät für Informatik Lehrstuhl VI, Informationssysteme und Sicherheit 15. Januar 2009

2 Honigtöpfe Angenommen, sagte er [Winnie Pu] zu Ferkel, du willst mich fangen, wie würdest Du das machen? Tja, sagte Ferkel, ich würde es so machen: Ich würde eine Falle bauen, und ich würde einen Topf Honig in die Falle stellen, und Du würdest den Honig riechen, und Du würdest in die Falle gehen, und... aus: Milne, A. A.: Pu der Bär. Cecilie Dressler Verlag. Hamburg Aus dem Englischen übersetzt von Harry Rowohlt. Seite 64. 2/49

3 Übersicht Honeypots 1. Einleitung 2. Server Honeypots 3. Client Honeypots 4. Automatisches Sammeln und Analysieren von Malware 3/49

4 1. Einleitung Motivation Immer mehr und immer wieder neue Bedrohungen Know your Enemy Wie können wir uns gegen einen Gegner verteidigen, wenn wir nicht einmal wissen, wer der Gegner ist? Wie können wir etwas über Bedrohungen, Angriffe, Angreifer und Malware lernen? Ködern, Beobachten und Analysieren von Angreifern und Malware Honeypots unterstützen die Entwicklung von Signaturen für Intrusion-Detection-Systeme Anti-Viren-Scanner SPAM-Filter 4/49

5 1. Einleitung Honeypot Ein Honeypot ist eine Systemressource, deren Wert in der unautorisierten oder bösartigen Interaktion mit der Ressource liegt. Honeypot hat keine konventionelle Aufgabe jede Interaktion mit einem Honeypot ist verdächtig keine Fehlalarme 5/49

6 1. Einleitung Server vs. Client Honeypots Server Honeypots passiv - steht im Netz und wartet auf Angreifer bzw. Malware Client Honeypots/Honeyclients aktiv - initiiert Interaktion mit Servern *Kontrollierter Beobachtungspunkt 6/49

7 1. Einleitung High vs. Low Interaction Honeypots Umfang der Interaktion, die einem Angreifer oder einer Malware mit dem Honeypot möglich ist. High reale Ressource höheres Risiko schwieriger zu installieren und zu warten liefert sehr umfangreiche Informationen Low emulierte Ressource geringeres Risiko einfacher zu installieren und zu warten liefert umfangreiche Informationen 7/49

8 1. Einleitung Honeynet Anzahl vernetzter Honeypots typischerweise mehrere High Interaction Honeypots verschiedener Art verschiedene Plattformen verschiedene Betriebssysteme erlaubt simultane Datensammlung über unterschiedliche Angriffsarten 8/49

9 Übersicht Honeypots 1. Einleitung 2. Server Honeypots 2.1 High Interaction Server Honeypots 2.2 Low Interaction Server Honeypots 3. Client Honeypots 4. Automatisches Sammeln und Analysieren von Malware 9/49

10 2. Server Honeypots High Interaction Server Honeypots Ein High Interaction Server Honeypot ist ein konventionelles Computer-System, wie ein Computer, ein Router oder ein Switch. + Reales vollständiges System, reale vollständige Interaktion, reale Erkenntnisse über Angriffstechniken Angreifer kann vollen Zugang erlangen System/Honeypot für weitere Angriffe einsetzbar typischerweise virtualisiert ein physisches Host-System beherbergt ein oder mehrere Gast-Systeme + einfache Anwendung: vorgefertigte Honeypot-Gast-Systeme verfügbar + einfache Wartung: nach Einbruch leicht wieder herstellbar + weniger riskant: weniger wahrscheinlich, dass Host-System korrumpiert wird Virtualisierung erkennbar Angreifer kann irreführendes Verhalten zeigen 10/49

11 2. Server Honeypots Virtualisierte High Interaction Server Honeypots VMware emuliert x86-basierte Systeme Player QEMU (GPL) zur Erstellung einer virtuelle Maschine für VMware verwendbar Workstation Server (früher GSX Server) ESX Server User Mode Linux (UML) Portierung des Linux Kernels auf seine eigene Systemruf-Schnittstelle Linux Kernel kann als User Mode Prozess ausgeführt werden nur Linux als Host- und Gast-System möglich 11/49

12 2. Server Honeypots Monitoring Software im Host-System TCPDUMP vollständige Aufzeichnung der Kommunikation ausgehende Kommunikation muss kontrolliert bzw. geblockt werden um z.b. die Verbreitung von Malware zu unterbinden im Gastsystem Kommunikation vom und zum Gast-System kann verschlüsselt erfolgen (z.b. SSH) TCPDUMP im Host-System sieht nur verschlüsselte Kommunikation Werkzeug SEBEK zur Beobachtung der Aktivitäten im Gastsystem 12/49

13 2. Server Honeypots Monitoring Software SEBEK Datensammlungs-Werkzeug für Honeypots versucht alle Systemaktivitäten im Honeypot zu erfassen Client-Server-System Server zur Speicherung der Beobachtungen Client läuft auf Honeypot-System verwendet Tarntechniken; Netzwerk-Kommunikation direkt über Gerätetreiber (kein Logging) ersetzt Systemrufe zur Beobachtung read()/readv()/pread(); open(); socketcall(); fork()/vfork(); clone() zeichnet Tastaturanschläge auf protokolliert SSH-Sitzungen kann mittel scp kopierte Dateien wiederherstellen zeichnet verwendete Passwörter auf 13/49

14 2. Server Honeypots basiert auf QEMU Virtual Server Honeypot ARGOS Annahme: Angreifer muss Eingaben ins System bringen, die ausgeführt werden (z.b. durch Buffer Overflow) verwendet Dynamic Taint Analysis Markieren eingehender Netzwerkdaten (tainting) Verfolgen der Verwendung der markierten Daten Summe wird markiert, wenn markierte Daten als Summand verwendet werden Variable verliert Markierung, wenn ihr eine Konstante zugewiesen wird Angriff erkannt, wenn markierte Daten Ausführungspfad verändern (z.b. Daten selbst ausgeführt werden) 14/49

15 2. Server Honeypots Virtual Server Honeypot ARGOS klassische Honeypot-Annahme: jede Interaktion mit dem Honeypot ist verdächtig spezifischere ARGOS-Annahme: Interaktionen bei denen Netzwerkdaten den Ausführungspfad beeinflussen sind verdächtig ARGOS Honeypot kann öffentlich bekannt gemacht werden 15/49

16 2. Server Honeypots Schutz von Server Honeypots und Honeynets - Honeywall Ein Honeynet ist eine streng kontrollierte Umgebung jedes Paket, das rein oder raus geht, ist verdächtig Vermeidung des Missbrauchs von Honeypots durch einen Angreifer einfachste verfügbare Lösung: Roo Honeywall Boot-bares CD-Image für x86-system mit mindestens 2 besser 3 Netzwerkkarten internes und externes Netz und ggf. Remote Management realisiert transparente Bridge unterstützt die Hauptaufgaben eines Honeynets Datenkontrolle und -steuerung Datensammlung Datenanalyse 16/49

17 2. Server Honeypots Schutz von Server Honeypots und Honeynets - Honeywall Datenkontrolle und -Steuerung ein- und ausgehender Verkehr wird kontrolliert Vermeidung von Missbrauch der Honeypots durch Angreifer Modifizieren, Verwerfen und Limitieren von ausgehendem Verkehr Snort_inline Modifikation des Netzwerk-Intrusion-Detection-Systems Snort unterstützt neue Regeln wie drop und replace zum Verwerfen und Modifizieren iptables Limitierung ausgehender Verbindungen, um (effektive) Teilnahme an DDOS- Angriffen zu verhindern begrenzte ausgehende Kommunikation zu lassen, um z.b. zu beobachten welche Werkzeuge ein Angreifer nachlädt 17/49

18 2. Server Honeypots Beispiel: Snort_inline Beipiel: Snort_inline Regel, die verdächtige Pakete modifiziert alert ip $HONEYNET any -> $EXTERNAL_NET any (msg: SHELLCODE x86 stealth NOOP ; content: EB 02 EB 02 EB 02 replace: ;) 18/49

19 2. Server Honeypots Schutz von Server Honeypots und Honeynets - Honeywall Datensammlung TCPDUMP zur Protokollierung des vollständigen Netzwerkverkehrs über die Honeywall SEBEK-Server läuft auf der Honeywall zentrale Speicherung der Beobachtungsdaten aller SEBEK-Clients auf den Honeypots Protokollierung durch Snort_inline 19/49

20 2. Server Honeypots Schutz von Server Honeypots und Honeynets - Honeywall Datenanalyse walleye: Web-bassierte Benutzerschnittstelle der Honeywall, mit Analyseunterstützung 20/49

21 2. Server Honeypots Honeynet mit Honeywall SEBEK Client SEBEK Server Windows Honeypot Internet tcpdump Snort_inline iptables Honeywall SEBEK Client Linux Honeypot 21/49

22 2. Server Honeypots HoneyD (GPL) Low Interaction Server Honeypots Simuliert Rechner mit IP-Adressen verwendet typischerweise unbenutzte Adressen im eigenen Netz unterstützt die Simulation tausender Rechner für jeden simulierten Rechner ist konfigurierbar, wie das simulierte System aussieht, z.b. Web-Server und Linux oder Windows-System mit laufenden Diensten Simuliert Betriebssysteme auf TCP/IP-Stack-Ebene täuscht Netzwerk-Scanner wie Nmap unterstützt Simulation komplexer Netzwerk-Topologien Subsystem-Virtualisierung erlaubt die Ausführung echter Anwendungen im Namensraum des simulierten Rechners 22/49

23 2. Server Honeypots Low Interaction Server Honeypots LABrea Tarpit (Teergrube) - versucht Malware auszubremsen erkennt unbenutzte IP-Adressen im Netz und bedient Anfragen an diese bremst TCP-Verbindungen durch Manipulation der TCP-Flusssteuerung Throttling verwendet sehr kleines Receiver-Window ( sende weniger Daten ) langsame Verbindung Persistent capture setzt Receiver-Window auf 0 ( warte bevor Du weitersendest ) Sender erfragt periodisch neue Window-Größe Zustand kann ewig andauern kein Verbindungsfortschritt 23/49

24 2. Server Honeypots Low Interaction Server Honeypots Weitere Tiny Honeypot offeriert Login-Banner und Root Shell an jede Verbindung auf jedem Port sammelt alle Daten Google Hack Honeypot Google Hack: Suche nach sensitiver Information mittels Google # - Frontpage- inurl:service.pwd Lockt Google Hacker auf Seiten mit gefälschten Information 24/49

25 Übersicht Honeypots 1. Einleitung 2. Server Honeypots 3. Client Honeypots 3.1 High Interaction Client Honeypots 3.2 Low Interaction Client Honeypots 4. Automatisches Sammeln und Analysieren von Malware 25/49

26 3. Client Honeypots Client Honeypots / Honey Clients notwendig um durch Benutzerverhalten (Client-seitig) ausgelöste Bedrohungen zu analysieren da weiche Ziele im Fokus von Kriminalität stehen 26/49

27 3. Client Honeypots Client Honeypots / Honey Clients Erlauben die Untersuchung von gegen Clients gerichteten Bedrohungen Browser Exploits Drive-by-Download Typo-squatting / URL hijacking Typische Verwendungen Überprüfung und Charakterisierung von Web-Seiten Erkennung neuer Web-Browser-Exploits Sammeln von Malware-Exemplaren 27/49

28 3. Client Honeypots Client Honeypots Architektur und Funktionsweise Analyse der Antworten Generiert Anfragen Client Honeypot Anfrage/Request Antwort/Response Anfrage/Request Angriff Gutartiger Server Bösartiger Server wenn unerwartete Zustandsänderung (Dateien, Prozesse, etc.) beim Client festgestellt dann war Antwort ein Angriff typischerweise ein Cluster von Clients aufgrund der Vielzahl zu prüfender Server Virtualisierte Umgebung für Client möglich + schnelle Wiederherstellung nach Kompromittierung durch Malware erkennbar 28/49

29 3. Client Honeypots (MITRE) HoneyClient High Interaction Client Honeypots typische Konfiguration VMware als Basissystem; Windows als Gast-System Ziel-Anwendungen: Internet Explorer, Outlook automatisierter Besuch von Webseiten Öffnen von s anwortet mit Please unsubscribe me extrahiert URLs aus s Integritätstests zur Erkennung von Angriffen/Malware Dateisystem, Teile der Registry, neue Prozesse Capture-HPC (GPL) ähnlich HoneyClient 29/49

30 3. Client Honeypots High Interaction Client Honeypots HoneyMonkey (Microsoft Research) benutzt Monkey-Programme für Internet Explorer Bösartiger Web-Server Programme mimen Nutzeraktionen nach 3-stufiger Prozess verwendet Virtual Machines 1. ungepatchte Maschine; keine Analyse von Weiterleitungen; erkennt einfache Angriffs-Webseiten ungepatchte Maschine; Analyse von Weiterleitungen zu anderen Seiten 3. vollständige gepatchte Maschine; Analyse von Weiterleitungen neue Verwundbarkeit gefunden (Zero Day Exploit) Jede Website wird durch alle 3 Stufen analysiert 30/49

31 3. Client Honeypots HoneyC (GPL) Low Interaction Client Honeypots simuliert verschiedene Visitor-Clients Initiale Version erkannte bösartige Web-Server basierend auf Snort- Signaturen Modularer Aufbau Visitor interagiert mit Web Server Analysis Engine - überprüft, ob Sicherheitspolitik verletzt wurde, während Visitor mit Web-Server interagiert Queuer organisiert eine Queue zu analysierender verdächtiger Server 31/49

32 3. Client Honeypots McAfee SiteAdvisor Low Interaction Client Honeypots lädt und untersucht große Teile des Internet prüft Web-Seiten ob Malware enthalten ob Links auf bösartige Web-Seiten oder Pop-Ups enthalten prüft Missbrauch Konzept eines Honey Tokens nicht das System sondern die Information ist das Ziel/der Köder registriert automatisch Seiten-spezifische -Adresse überwacht SPAM an diese Adresse Analyseergebnisse öffentlich zugänglich Web-Browser-Plugin Web-Seite 32/49

33 3. Client Honeypots SiteAdvisor Browser-Plug-In 33/49

34 3. Client Honeypots SiteAdvisor Web-Seite 34/49

35 3. Client Honeypots Google Safe Browsing (I) Kombination von High Interaction und Low Interaction Techniken Heuristiken um Webseiten als verdächtig einzuordnen verschleiertes Javascript fehl platzierte iframes Windows und ungepatchter Internet Explorer in virtuellen Maschinen Systemüberwachung erzeugte Prozesse, Registry-Änderungen, Dateisystemzugriffe Antiviren-Software 35/49

36 3. Client Honeypots Google Safe Browsing (II) 36/49

37 3. Client Honeypots Google Safe Browsing (III) 37/49

38 3. Client Honeypots Google Safe Browsing (IV) 38/49

39 3. Client Honeypots Google Safe Browsing (V) Detaillierte Untersuchung von 66 Millionen URLs im Zeitraum von Januar bis Oktober 2007 Dabei 3 Millionen schädliche Seiten gefunden tatsächliche Attacken auf 9340 unterschiedliche Malware-Verbreitungsserver zurückverfolgt 1,3% durchschnittliche Wahrscheinlichkeit bei einer Suchanfrage mindestens eine schädliche Seite im Ergebnis zu bekommen von den 1 Million häufigsten Such-Resultaten wiesen 6000 auf aufgefallene Seiten im Mittel täglich neu entdeckte schädliche Webseiten Einfluss des Surfverhaltens von 0,6% schädliche Seiten bei Erwachseneninhalten bis 0,15% schädliche Seiten bei Haustierinhalten Details: Niels Provos et al: All your iframes point to us /49

40 Übersicht Honeypots 1. Einleitung 2. Server Honeypots 3. Client Honeypots 4. Automatisches Sammeln und Analysieren von Malware 4.1 Malware sammeln mit Nepenthes 4.2 Malware analysieren mit CWSandbox 40/49

41 4. Automatisches Sammeln und Analysieren von Malware Nepenthes (GPL) Malware sammeln mit Nepenthes Werkzeug zum Sammeln sich autonom verbreitender Malware Idee: Emulation bekannter Schwachstellen und Herunterladen von Malware, die diese Schwachstelle ausnutzt Low Interaction Server Honeypot 41/49

42 4. Automatisches Sammeln und Analysieren von Malware Nepenthes - Architektur Verwundbarkeitsmodule Shell-Code- Module Nachlade- Module Speicher- Module Logging-Module 42/49

43 4. Automatisches Sammeln und Analysieren von Malware Verwundbarkeits-Module Nepenthes - Hauptmodule emulieren bekannte Verwundbarkeiten/Schwachstellen emuliert nur notwendige Teile, nicht ganze Dienste Analyse von bekannten Schwachstellen und Exploits nötig Shell-Code-Module Automatisierung möglich? erste Ansätze existieren analysieren die von Verwundbarkeits-Modulen erhaltene Payload, typischerweise Shell Code extrahieren Informationen über die Verbreitungswege der Malware, typischerweise URLs nachgeladener Programme Nachlade-Modul verwendet extrahierte URLs zum Download der Malware 43/49

44 4. Automatisches Sammeln und Analysieren von Malware Nepenthes - Hauptmodule Speichermodule Speichern im Dateisystem oder Weiterleiten an Analyse-Systeme oder Anti-Viren-Hersteller Logging-Module Speichern Informationen über den Emulationsprozess, den Nachladevorgang 44/49

45 4. Automatisches Sammeln und Analysieren von Malware CWSandbox Malware analysieren mit CWSandbox Werkzeug zur automatischen Verhaltensanalyse von Malware Ausführung der Malware und Beobachtung des Verhaltens dynamische Analyse Beobachtung durch Abfangen und Protokollieren der Systemrufe/Funktionsaufrufe der Malware verwendet API Hooking, Inline Detour Funktionen und DLL Injection Hooking der Native API und Windows API Beobachten von Funktionen: Dateizugriffe, Prozesse, Winsock Kommunikation, Registry, Versteckt sich vor der Malware mittels Rootkit-Techniken Ausführung für zwei Minuten, dann Verarbeitung der Beobachtungen und Erstellung eines Analyseberichts 45/49

46 4. Automatisches Sammeln und Analysieren von Malware CWSandbox Eigenschaften von CWSandbox + automatische Analyse + dynamische Analyse statische Analyse ist anfällig für Code Obfuscation, Verschlüsselung und Komprimierung + Ausführung in kontrollierter Umgebung Aufrufe von API-Funktionen werden protokolliert, weitergeleitet oder nur simuliert neue ggf. infizierte Prozesse werden ebenfalls analysiert keine vollständige Analyse Ausführung nur für bestimmte Zeit nur aktuell gewählter Ausführungspfad z.b. bösartiges Verhalten logischer Bomben entgeht der Analyse erkennbar durch Malware 46/49

47 4. Automatisches Sammeln und Analysieren von Malware CWSandbox Beispielanalysen und Live-Test unter 47/49

48 Übersicht Honeypots 1. Einleitung 2. Server Honeypots 2.1 High Interaction Server Honeypots 2.2 Low Interaction Server Honeypots 3. Client Honeypots 3.1 High Interaction Client Honeypots 3.2 Low Interaction Client Honeypots 4. Automatisches Sammeln und Analysieren von Malware 4.1 Malware sammeln mit Nepenthes 4.2 Malware analysieren mit CWSandbox 48/49

49 Literatur Niels Provos und Thorsten Holz: Virtual Honeypots: From Botnet Tracking to Intrusion Detection. Addison Wesley, /49