Использование Nepenthes Honeypot для обнаружения злонамеренного ПО

Posted by alex on Dec 25, 2010 in Security |

Технология Honeypot – ресурс безопасности, назначение которого состоит в том, чтобы стать исследованным или подвергшимся нападению. Это означает, что независимо от того, какую структуру имеет средство Honeypot, цель состоит в том, чтобы данный ресурс был исследован, атакован и использован злоумышленником. Не имеет значения, чем является ресурс: имитируемым сервисом или полноценной операционной системой.


Nepenthes – демон для *nix-ОС эмулируя стандартные Windows-сервисы, одурачивает вредоносную начинку червя или бота, и загружает вредоносный код заразы в свое хранилище. После заражения атакующий зловред может попросить nepenthes соединиться с некоторым адресом по некоторому порту, выполнить какую-либо команду в командной оболочке, скачать что-либо вкусное по заданному url или загрузить что-либо. Если зараза просит забиндить порт или запустить connectback, эмулятор выполняет все затребованные действия. В любом случае конечной целью сенсора будет загрузка чего-либо «вкусненького» в свое чрево для последующего анализа, причем это может быть не обязательно тело червя или self-spereading бота. Самым вкусным здесь будут shell-коды.

Установка и настройка Nepenthes

Для пользователей Debian или Ubuntu требуется всего-навсего выполнить:

Основными зависимостями для Linux являются библиотеки:

Теперь перейдем к настройке. Первым делом необходимо изменить некоторые параметры в файле

раскомментировав строку

. Это позволит нам воспользоваться Norman Sandbox для получения копий результатов run-time анализа загруженных бинарников на твою электронную почту. Содержимое submit-norman.conf должно выглядеть примерно так:

Важно иметь прямое подключение к интернету, если вы подключаетесь к сети через роутер то нужно пробросить порты на ваш Honeypot, или вынести его в DMZ (демилитаризированную зону).

Будем считать, что теперь все готово к использованию, так как с остальными мелкими нюансами ты сам вполне сможешь разобраться, обложившись документацией. Если все свои изыскания ты проводишь в интернете, а не в маленькой локалке, то через несколько минут сенсор nepenthes запишет в /var/log/nepenthes/logged_downloads и /var/log/nepenthes/nepenthes.log/

Все загруженные файлы хранятся в папке /var/lib/nepenthes/binaries с именами в виде их md5-сумм:

Логи:

Когда вы настроите и запустите Nepenthes, это приложение должно начать прослушивать большое количество часто используемых TCP/IP портов, как показано ниже:

Вместо заключения

За одну ночь работы Nepenthes, установленого на Debian, мне удалось поймать пять зловредов, которые определились как Backdoor.Win32.Rbot.aftu.
описание на securitylist.com

Логи logged_downloads:

В логах мы видим IP-адреса с которых пришёл к нам зловред. Посмотрев географию IP-адресов получились интересные результаты. Первый вирус пришёл ко мне из города Свердловск, второй из Дессау (Германия), остальные три из Кракова и Варшавы (Польша).

Логи logged_submissions:

Источник: http://av-school.ru

Описание вирусов
http://www.securelist.com/
Отлов сетевых тварей
http://www.xakep.ru

Nepenthes Installation FreeBSD
http://taosecurity.blogspot.com/

Copyright © 2018 Заметки по UNIX All rights reserved.
Desk Mess Mirrored v1.4.3.1 theme from BuyNowShop.com.