Reaktive Sicherheit. VII. Honeypots. Dr. Michael Meier. technische universität dortmund

Transkript

1 Reaktive Sicherheit VII. Honeypots Dr. Michael Meier technische universität dortmund Fakultät für Informatik Lehrstuhl VI, Informationssysteme und Sicherheit 6. Januar 2010

2 Honigtöpfe Angenommen, sagte er [Winnie Pu] zu Ferkel, du willst mich fangen, wie würdest Du das machen? Tja, sagte Ferkel, ich würde es so machen: Ich würde eine Falle bauen, und ich würde einen Topf Honig in die Falle stellen, und Du würdest den Honig riechen, und Du würdest in die Falle gehen, und... aus: Milne, A. A.: Pu der Bär. Cecilie Dressler Verlag. Hamburg Aus dem Englischen übersetzt von Harry Rowohlt. Seite 64. 2/55

3 Übersicht Honeypots 1. Einleitung und Klassifikation 2. Server Honeypots 3. Client Honeypots 4. Automatisches Sammeln und Analysieren von Malware 3/55

4 1. Einleitung und Klassifikation Motivation Know your enemy Wie können wir uns gegen einen Gegner verteidigen, wenn wir nicht einmal wissen, wer der Gegner ist? Wie können wir etwas über Bedrohungen, Angriffe, Angreifer und Malware lernen? Wer greift uns wann, wo an? Wie läuft der Angriff ab? Welche Techniken und Werkzeug nutzt der Angreifer? Haben wir noch weitere Schwachstellen? Ködern, Beobachten und Analysieren von Angreifern und Malware mit Honeypots 4/55

5 1. Einleitung und Klassifikation Motivation Honeypots unterstützen die Entwicklung von Signaturen für Intrusion-Detection-Systeme Anti-Viren-Scanner SPAM-Filter 5/55

6 1. Einleitung und Klassifikation Definition Ein Honeypot ist eine Systemressource, deren Wert in der unautorisierten oder bösartigen Interaktion mit der Ressource liegt. Ein Honeypot hat häufig keine konventionelle Aufgabe. Jede Interaktion mit einem Honeypot ist verdächtig. keine Fehlalarme 6/55

7 1. Einleitung und Klassifikation Analyse von Angriffen mit Honeypots Angriff = Interaktion zwischen Angreifer und Opfer vorprogrammierter Ablauf bei automatisierten Angriffen (Malware) spontan und situationsabhängig bei interaktiven menschlichen Angreifern Vorgehensweise zur Analyse Honeypot übernimmt Opferrolle und ködert Angreifer beobachten der Interaktion Honeypot-Arten Rolle des Honeypots in der Interaktion Client oder Server Umfang/Grad der möglichen Interaktion wenig oder viel 7/55

8 1. Einleitung und Klassifikation Client vs. Server Honeypots Angreifer Opfer/ Honeypot Anfrage/Request Antwort/Response Server Honeypot passiv - steht im Netz und wartet auf Angreifer bzw. Malware Beobachtungspunkt Anfrage/Request Antwort/Response Client Honeypot aktiv - initiiert Interaktion mit Servern 8/55

9 1. Einleitung und Klassifikation High vs. Low Interaction Honeypots Umfang der möglichen Interaktion zwischen Honeypot und Angreifer korrespondiert mit den Fähigkeiten des Angreifers und dem Risiko für den Honeypot unter die Kontrolle des Angreifers zu geraten Low Interaction Honeypots emulieren Teile einer Systemressource wenig Interaktion zwischen Honeypot und Angreifer möglich High Interaction Honeypots realisieren echte vollständige Systemressource viel Interaktion zwischen Honeypot und Angreifer möglich 9/55

10 1. Einleitung und Klassifikation Low Interaction Honeypots + Geeignet zur Analyse automatisierter Angriffe - Nur eingeschränkt geeignet zur Analyse interaktiver Angriffe da Emulation unvollständig und erkennbar + Beobachtung und spezifische Protokollierung durch Instrumentierung der Emulationssoftware + Einfache Installation und Wartung nach Kompromittierung durch Angreifer Neustart der Emulation + Geringes Risiko eines Missbrauchs durch den Angreifer da keine echte Systemressource 10/55

11 1. Einleitung und Klassifikation High Interaction Honeypots + Geeignet zur Analyse automatisierter und interaktiver Angriffe Beobachtung und Protokollierung durch vorhandene Funktionen der Systemressource ggf. spezielle Erweiterung um Protokollierungsfunktionen - evtl. erkennbar durch interaktiven Angreifer - Aufwändige Installation und Wartung Neuinstallation nach Kompromittierung durch Angreifer erforderlich vereinfachende Variante: virtualisierte Honeypots + einfache Neuinstallation durch wiedereinspielen von Snapshots - Virtualisierung durch Angreifer erkennbar - Hohes Risiko eines Missbrauchs durch Angreifer zusätzliche Schutzmaßnahmen erforderlich 11/55

12 1. Einleitung und Klassifikation Honeynet Anzahl vernetzter Honeypots typischerweise mehrere High Interaction Honeypots verschiedener Art verschiedene Plattformen verschiedene Betriebssysteme erlaubt simultane Datensammlung über unterschiedliche Angriffsarten 12/55

13 Übersicht Honeypots 1. Einleitung und Klassifikation 2. Server Honeypots 2.1 High Interaction Server Honeypots 2.2 Low Interaction Server Honeypots 3. Client Honeypots 4. Automatisches Sammeln und Analysieren von Malware 13/55

14 2. Server Honeypots High Interaction Server Honeypots Ein High Interaction Server Honeypot ist ein konventionelles Computer-System, wie ein Computer, ein Router oder ein Switch. + Reales vollständiges System, reale vollständige Interaktion, reale Erkenntnisse über Angriffstechniken Angreifer kann vollen Zugang erlangen System/Honeypot für weitere Angriffe einsetzbar typischerweise virtualisiert ein physisches Host-System beherbergt ein oder mehrere Gast-Systeme + einfache Anwendung: vorgefertigte Honeypot-Gast-Systeme verfügbar + einfache Wartung: nach Einbruch leicht wieder herstellbar + weniger riskant: weniger wahrscheinlich, dass Host-System korrumpiert wird Virtualisierung erkennbar Angreifer kann irreführendes Verhalten zeigen 14/55

15 2. Server Honeypots Virtualisierte High Interaction Server Honeypots VMware emuliert x86-basierte Systeme Player QEMU (GPL) zur Erstellung einer virtuelle Maschine für VMware verwendbar Workstation Server (früher GSX Server) ESX Server User Mode Linux (UML) Portierung des Linux Kernels auf seine eigene Systemruf-Schnittstelle Linux Kernel kann als User Mode Prozess ausgeführt werden nur Linux als Host- und Gast-System möglich 15/55

16 2. Server Honeypots Monitoring Software im Host-System TCPDUMP vollständige Aufzeichnung der Kommunikation ausgehende Kommunikation muss kontrolliert bzw. geblockt werden um z.b. die Verbreitung von Malware zu unterbinden im Gastsystem Kommunikation vom und zum Gast-System kann verschlüsselt erfolgen (z.b. SSH) TCPDUMP im Host-System sieht nur verschlüsselte Kommunikation Werkzeug SEBEK zur Beobachtung der Aktivitäten im Gastsystem 16/55

17 2. Server Honeypots Monitoring Software SEBEK Datensammlungs-Werkzeug für Honeypots versucht alle Systemaktivitäten im Honeypot zu erfassen Client-Server-System Server zur Speicherung der Beobachtungen Client läuft auf Honeypot-System verwendet Tarntechniken; Netzwerk-Kommunikation direkt über Gerätetreiber (kein Logging) ersetzt Systemrufe zur Beobachtung read()/readv()/pread(); open(); socketcall(); fork()/vfork(); clone() zeichnet Tastaturanschläge auf protokolliert SSH-Sitzungen kann mittel scp kopierte Dateien wiederherstellen zeichnet verwendete Passwörter auf 17/55

18 2. Server Honeypots basiert auf QEMU Virtual Server Honeypot ARGOS Annahme: Angreifer muss Eingaben ins System bringen, die ausgeführt werden (z.b. durch Buffer Overflow) verwendet Dynamic Taint Analysis Markieren eingehender Netzwerkdaten (tainting) Verfolgen der Verwendung der markierten Daten Summe wird markiert, wenn markierte Daten als Summand verwendet werden Variable verliert Markierung, wenn ihr eine Konstante zugewiesen wird Angriff erkannt, wenn markierte Daten Ausführungspfad verändern (z.b. Daten selbst ausgeführt werden) 18/55

19 2. Server Honeypots Virtual Server Honeypot ARGOS klassische Honeypot-Annahme: jede Interaktion mit dem Honeypot ist verdächtig spezifischere ARGOS-Annahme: Interaktionen bei denen Netzwerkdaten den Ausführungspfad beeinflussen sind verdächtig ARGOS Honeypot kann öffentlich bekannt gemacht werden 19/55

20 2. Server Honeypots Schutz von Server Honeypots und Honeynets - Honeywall Ein Honeynet ist eine streng kontrollierte Umgebung jedes Paket, das rein oder raus geht, ist verdächtig Vermeidung des Missbrauchs von Honeypots durch einen Angreifer einfachste verfügbare Lösung: Roo Honeywall Boot-bares CD-Image für x86-system mit mindestens 2 besser 3 Netzwerkkarten internes und externes Netz und ggf. Remote Management realisiert transparente Bridge unterstützt die Hauptaufgaben eines Honeynets Datenkontrolle und -steuerung Datensammlung Datenanalyse 20/55

21 2. Server Honeypots Schutz von Server Honeypots und Honeynets - Honeywall Datenkontrolle und -Steuerung ein- und ausgehender Verkehr wird kontrolliert Vermeidung von Missbrauch der Honeypots durch Angreifer Modifizieren, Verwerfen und Limitieren von ausgehendem Verkehr Snort_inline Modifikation des Netzwerk-Intrusion-Detection-Systems Snort unterstützt neue Regeln wie drop und replace zum Verwerfen und Modifizieren iptables Limitierung ausgehender Verbindungen, um (effektive) Teilnahme an DDOS- Angriffen zu verhindern begrenzte ausgehende Kommunikation zu lassen, um z.b. zu beobachten welche Werkzeuge ein Angreifer nachlädt 21/55

22 2. Server Honeypots Beispiel: Snort_inline Beipiel: Snort_inline Regel, die verdächtige Pakete modifiziert alert ip $HONEYNET any -> $EXTERNAL_NET any (msg: SHELLCODE x86 stealth NOOP ; content: EB 02 EB 02 EB 02 replace: ;) 22/55

23 2. Server Honeypots Schutz von Server Honeypots und Honeynets - Honeywall Datensammlung TCPDUMP zur Protokollierung des vollständigen Netzwerkverkehrs über die Honeywall SEBEK-Server läuft auf der Honeywall zentrale Speicherung der Beobachtungsdaten aller SEBEK-Clients auf den Honeypots Protokollierung durch Snort_inline 23/55

24 2. Server Honeypots Schutz von Server Honeypots und Honeynets - Honeywall Datenanalyse walleye: Web-bassierte Benutzerschnittstelle der Honeywall, mit Analyseunterstützung 24/55

25 2. Server Honeypots Honeynet mit Honeywall SEBEK Client SEBEK Server Windows Honeypot Internet tcpdump Snort_inline iptables Honeywall SEBEK Client Linux Honeypot 25/55

26 2. Server Honeypots HoneyD (GPL) Low Interaction Server Honeypots Simuliert Rechner mit IP-Adressen verwendet typischerweise unbenutzte Adressen im eigenen Netz unterstützt die Simulation tausender Rechner für jeden simulierten Rechner ist konfigurierbar, wie das simulierte System aussieht, z.b. Web-Server und Linux oder Windows-System mit laufenden Diensten Simuliert Betriebssysteme auf TCP/IP-Stack-Ebene täuscht Netzwerk-Scanner wie Nmap unterstützt Simulation komplexer Netzwerk-Topologien Subsystem-Virtualisierung erlaubt die Ausführung echter Anwendungen im Namensraum des simulierten Rechners 26/55

27 Low Interaction Server Honeypots - Malware-Kollektoren Ziel: Sammeln von sich automatisiert verbreitender Malware Low Interaction Server Honeypot emuliert Verwundbarkeiten in Server-Diensten bei der Interaktion übermittelte Nutzlast (Exploitstring/Shellcode) wird analysiert und URL von nachzuladendem Schadcode extrahiert Download der URLs liefert Malware-Exemplare Emulierte Dienstverwundbarkeiten Honeypots Beispiele Exploit ASN1 DCOM LSASS Shellcode Shellcode Handler URL Download Handler Malware Malware- Datenbank WINS 27/55

28 2. Server Honeypots Low Interaction Server Honeypots LABrea Tarpit (Teergrube) - versucht Malware auszubremsen erkennt unbenutzte IP-Adressen im Netz und bedient Anfragen an diese bremst TCP-Verbindungen durch Manipulation der TCP-Flusssteuerung Throttling verwendet sehr kleines Receiver-Window ( sende weniger Daten ) langsame Verbindung Persistent capture setzt Receiver-Window auf 0 ( warte bevor Du weitersendest ) Sender erfragt periodisch neue Window-Größe Zustand kann ewig andauern kein Verbindungsfortschritt 28/55

29 2. Server Honeypots Low Interaction Server Honeypots Weitere Tiny Honeypot offeriert Login-Banner und Root Shell an jede Verbindung auf jedem Port sammelt alle Daten Google Hack Honeypot Google Hack: Suche nach sensitiver Information mittels Google # - Frontpage- inurl:service.pwd Lockt Google Hacker auf Seiten mit gefälschten Information 29/55

30 Übersicht Honeypots 1. Einleitung 2. Server Honeypots 3. Client Honeypots 3.1 High Interaction Client Honeypots 3.2 Low Interaction Client Honeypots 4. Automatisches Sammeln und Analysieren von Malware 30/55

31 3. Client Honeypots Client Honeypots / Honey Clients notwendig um durch Benutzerverhalten (Client-seitig) ausgelöste Bedrohungen zu analysieren da weiche Ziele im Fokus von Kriminalität stehen 31/55

32 3. Client Honeypots Client Honeypots / Honey Clients Erlauben die Untersuchung von gegen Clients gerichteten Bedrohungen Browser Exploits Drive-by-Download Typo-squatting / URL hijacking Typische Verwendungen Überprüfung und Charakterisierung von Web-Seiten Erkennung neuer Web-Browser-Exploits Sammeln von Malware-Exemplaren 32/55

33 3. Client Honeypots Client Honeypots Architektur und Funktionsweise Analyse der Antworten Generiert Anfragen Client Honeypot Anfrage/Request Antwort/Response Anfrage/Request Angriff Gutartiger Server Bösartiger Server wenn unerwartete Zustandsänderung (Dateien, Prozesse, etc.) beim Client festgestellt dann war Antwort ein Angriff typischerweise ein Cluster von Clients aufgrund der Vielzahl zu prüfender Server Virtualisierte Umgebung für Client möglich + schnelle Wiederherstellung nach Kompromittierung durch Malware erkennbar 33/55

34 3. Client Honeypots (MITRE) HoneyClient High Interaction Client Honeypots typische Konfiguration VMware als Basissystem; Windows XP als Gast-System Ziel-Anwendungen: Webbroewser, Mail-Client automatisierter Besuch von Webseiten Öffnen von s anwortet mit Please unsubscribe me extrahiert URLs aus s Integritätstests zur Erkennung von Angriffen/Malware Dateisystem, Teile der Registry, neue Prozesse Capture-HPC (GPL) ähnlich HoneyClient Besuche nächste Webseite Integritäts- Check Alarm keine Veränderung Veränderung! 34/55

35 3. Client Honeypots High Interaction Client Honeypots HoneyMonkey (Microsoft Research) benutzt Monkey-Programme für Internet Explorer Bösartiger Web-Server Programme mimen Nutzeraktionen nach 3-stufiger Prozess verwendet Virtual Machines 1. ungepatchte Maschine; keine Analyse von Weiterleitungen; erkennt einfache Angriffs-Webseiten ungepatchte Maschine; Analyse von Weiterleitungen zu anderen Seiten 3. vollständige gepatchte Maschine; Analyse von Weiterleitungen neue Verwundbarkeit gefunden (Zero Day Exploit) Jede Website wird durch alle 3 Stufen analysiert 35/55

36 3. Client Honeypots HoneyC (GPL) Low Interaction Client Honeypots simuliert verschiedene Visitor-Clients Initiale Version erkannte bösartige Web-Server basierend auf Snort- Signaturen Modularer Aufbau Visitor interagiert mit Web Server Analysis Engine - überprüft, ob Sicherheitspolitik verletzt wurde, während Visitor mit Web-Server interagiert Queuer organisiert eine Queue zu analysierender verdächtiger Server 36/55

37 3. Client Honeypots Low Interaction Honey Client MonkeyWrench Armin Büscher: Analyse der Ausnutzung von Javascript-basierten Verwundbarkeiten in Webbrowsern mittels low-interaction Honeyclients. Diplomarbeit, TU Dortmund, LS Informatik VI, Emuliert Verwundbarkeiten von Webbrowsern Dynamische Analyse von Javascripts durch Ausführung in emulierter Browserumgebung obfuskierte Javascrípts können beurteilt werden ausgenutzte/angesprochene Verwundbarkeit wird benannt Per Drive-by-Download verbreitete Malware-Samples können gesammelt werden 37/55

38 3. Client Honeypots McAfee SiteAdvisor Low Interaction Client Honeypots lädt und untersucht große Teile des Internet prüft Web-Seiten ob Malware enthalten ob Links auf bösartige Web-Seiten oder Pop-Ups enthalten prüft Missbrauch Konzept eines Honey Tokens nicht das System sondern die Information ist das Ziel/der Köder registriert automatisch Seiten-spezifische -Adresse überwacht SPAM an diese Adresse Analyseergebnisse öffentlich zugänglich Web-Browser-Plugin Web-Seite 38/55

39 3. Client Honeypots SiteAdvisor Browser-Plug-In 39/55

40 3. Client Honeypots SiteAdvisor Web-Seite 40/55

41 3. Client Honeypots Google Safe Browsing (I) Kombination von High Interaction und Low Interaction Techniken Heuristiken um Webseiten als verdächtig einzuordnen verschleiertes Javascript fehl platzierte iframes Windows und ungepatchter Internet Explorer in virtuellen Maschinen Systemüberwachung erzeugte Prozesse, Registry-Änderungen, Dateisystemzugriffe Antiviren-Software 41/55

42 3. Client Honeypots Google Safe Browsing (II) 42/55

43 3. Client Honeypots Google Safe Browsing (III) 43/55

44 3. Client Honeypots Google Safe Browsing (IV) 44/55

45 3. Client Honeypots Google Safe Browsing (V) Detaillierte Untersuchung von 66 Millionen URLs im Zeitraum von Januar bis Oktober 2007 Dabei 3 Millionen schädliche Seiten gefunden tatsächliche Attacken auf 9340 unterschiedliche Malware-Verbreitungsserver zurückverfolgt 1,3% durchschnittliche Wahrscheinlichkeit bei einer Suchanfrage mindestens eine schädliche Seite im Ergebnis zu bekommen von den 1 Million häufigsten Such-Resultaten wiesen 6000 auf aufgefallene Seiten im Mittel täglich neu entdeckte schädliche Webseiten Einfluss des Surfverhaltens von 0,6% schädliche Seiten bei Erwachseneninhalten bis 0,15% schädliche Seiten bei Haustierinhalten Details: Niels Provos et al: All your iframes point to us /55

46 Übersicht Honeypots 1. Einleitung 2. Server Honeypots 3. Client Honeypots 4. Automatisches Sammeln und Analysieren von Malware 4.1 Malware sammeln mit Nepenthes 4.2 Malware analysieren mit CWSandbox 46/55

47 4. Automatisches Sammeln und Analysieren von Malware Nepenthes (GPL) Malware sammeln mit Nepenthes Werkzeug zum Sammeln sich autonom verbreitender Malware Idee: Emulation bekannter Schwachstellen und Herunterladen von Malware, die diese Schwachstelle ausnutzt Low Interaction Server Honeypot 47/55

48 4. Automatisches Sammeln und Analysieren von Malware Nepenthes - Architektur Verwundbarkeitsmodule Shell-Code- Module Nachlade- Module Speicher- Module Logging-Module 48/55

49 4. Automatisches Sammeln und Analysieren von Malware Verwundbarkeits-Module Nepenthes - Hauptmodule emulieren bekannte Verwundbarkeiten/Schwachstellen emuliert nur notwendige Teile, nicht ganze Dienste Analyse von bekannten Schwachstellen und Exploits nötig Shell-Code-Module Automatisierung möglich? erste Ansätze existieren analysieren die von Verwundbarkeits-Modulen erhaltene Payload, typischerweise Shell Code extrahieren Informationen über die Verbreitungswege der Malware, typischerweise URLs nachgeladener Programme Nachlade-Modul verwendet extrahierte URLs zum Download der Malware 49/55

50 4. Automatisches Sammeln und Analysieren von Malware Nepenthes - Hauptmodule Speichermodule Speichern im Dateisystem oder Weiterleiten an Analyse-Systeme oder Anti-Viren-Hersteller Logging-Module Speichern Informationen über den Emulationsprozess, den Nachladevorgang 50/55

51 4. Automatisches Sammeln und Analysieren von Malware CWSandbox Malware analysieren mit CWSandbox Werkzeug zur automatischen Verhaltensanalyse von Malware Ausführung der Malware und Beobachtung des Verhaltens dynamische Analyse Beobachtung durch Abfangen und Protokollieren der Systemrufe/Funktionsaufrufe der Malware verwendet API Hooking, Inline Detour Funktionen und DLL Injection Hooking der Native API und Windows API Beobachten von Funktionen: Dateizugriffe, Prozesse, Winsock Kommunikation, Registry, Versteckt sich vor der Malware mittels Rootkit-Techniken Ausführung für zwei Minuten, dann Verarbeitung der Beobachtungen und Erstellung eines Analyseberichts 51/55

52 4. Automatisches Sammeln und Analysieren von Malware CWSandbox Eigenschaften von CWSandbox + automatische Analyse + dynamische Analyse statische Analyse ist anfällig für Code Obfuscation, Verschlüsselung und Komprimierung + Ausführung in kontrollierter Umgebung Aufrufe von API-Funktionen werden protokolliert, weitergeleitet oder nur simuliert neue ggf. infizierte Prozesse werden ebenfalls analysiert keine vollständige Analyse Ausführung nur für bestimmte Zeit nur aktuell gewählter Ausführungspfad z.b. bösartiges Verhalten logischer Bomben entgeht der Analyse erkennbar durch Malware 52/55

53 4. Automatisches Sammeln und Analysieren von Malware CWSandbox Beispielanalysen und Live-Test unter 53/55

54 Übersicht Honeypots 1. Einleitung 2. Server Honeypots 2.1 High Interaction Server Honeypots 2.2 Low Interaction Server Honeypots 3. Client Honeypots 3.1 High Interaction Client Honeypots 3.2 Low Interaction Client Honeypots 4. Automatisches Sammeln und Analysieren von Malware 4.1 Malware sammeln mit Nepenthes 4.2 Malware analysieren mit CWSandbox 54/55

55 Literatur Niels Provos und Thorsten Holz: Virtual Honeypots: From Botnet Tracking to Intrusion Detection. Addison Wesley, /55