HoneypotMe - DFN-CERT
Transcription
HoneypotMe - DFN-CERT
HoneypotMe Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte Jan Gassen jan.gassen@fkie.fraunhofer.de 21.02.2012 Forschungsgruppe Cyber Defense © Fraunhofer FKIE, Forschungsgruppe Cyber Defense Erkennung von Malware Unterschiedliche Verbreitung von Malware Miner Botnetz © Fraunhofer FKIE, Forschungsgruppe Cyber Defense Erkennung von Malware Standortabhängig bei Angriffserkennung 1 0.9 0.8 ASN der Sensoren 0.7 0.6 0.5 0.4 0.3 0.2 0.1 0 553 3209 3320 8422 8560 8881 8972 12843 13184 13237 20825 24940 31103 31334 35776 197043 Anteil aller registrierten Angriffe aus Deutschland nach ASN © Fraunhofer FKIE, Forschungsgruppe Cyber Defense Erkennung von Malware Honeypots ēˌpät| n ə h ' | t o p honey n Computersystem ohne produktive Aufgabe Honeypot Opfer n Keine reguläre Interaktion n Jede Interaktion kann als Angriff gewertet werden n (Simulierte) Verwundbarkeiten n Angreifer hat i.d.R. keine Information über Opfersysteme n Honeypot für Angreifer wie Produktivsystem © Fraunhofer FKIE, Forschungsgruppe Cyber Defense Opfer Angreifer Erkennung von Malware Honeypots n High Interaction Honeypot n Computersystem mit realen Verwundbarkeiten High Interaction Honeypot Low Interaction Honeypot n Erlaubt Angreifern Zugriff auf Betriebssystem n Kann infiziert werden n Low Interaction Honeypot n Verwundbarkeiten werden simuliert n Kein Zugriff auf Betriebssystem n Wird (i.d.R.) nicht infiziert © Fraunhofer FKIE, Forschungsgruppe Cyber Defense Opfer Angreifer Erkennung von Malware Honeypots n Erkennung bisher unbekannter Angriffe Honeypot n Ermöglichen sammeln von Schadprogrammen Opfer n Geringer Analyseaufwand Aber: n Können erkannt werden n Können nur direkte Angriffe erkennen n Honeypots benötigen eigene Ressourcen Opfer Angreifer © Fraunhofer FKIE, Forschungsgruppe Cyber Defense Erkennung von Malware Honeypots n Mögliches zusätzliches Sicherheitsrisiko Honeypot n Insbesondere in Produktiv-Netzen Opfer n Durch Infektion des Hosts n Als mögliche Plattform für weitere Angriffe n Aktualisierung nötig um auf neue Angriffe reagieren zu können n Unterschiedliche Honeypots zur Detektion unterschiedlicher Angriffe Opfer Angreifer © Fraunhofer FKIE, Forschungsgruppe Cyber Defense HoneypotMe Konzept n Honeypot-Sensorik auf Produktivsystemen Sensor n Umfangreiche Netzüberwachung Sensor n Keine dedizierten Ressourcen n Auslagerung der Verbindungsanalyse n Zur lokalen oder externen Analyse n Zentrale Sammlung der Informationen n Zentrale Administration Sensor Analyse © Fraunhofer FKIE, Forschungsgruppe Cyber Defense HoneypotMe Konzept n Übertragung des Honeypot-Konzepts n Ressource ohne produktive Aufgabe n Jede Interaktion stellt Angriff dar 1433 n Auf Produktivsysteme (MS-SQL) n Ports ohne produktive Aufgabe n Keine reguläre Interaktion n Analyse der Verbindung für Details 22 (SSH) n Unterschiedliche Ports auf verschiedenen Systemen Produktivsystem © Fraunhofer FKIE, Forschungsgruppe Cyber Defense HoneypotMe Konzept n Analyse von Verbindungsversuchen auf geschlossene Ports n Angreifer überprüfen Opfersystem auf verwundbare Dienste n Typischerweise SYN-Scan n Opfer antwortet mit RST/ACK wenn Dienst nicht verfügbar SYN Angreifer © Fraunhofer FKIE, Forschungsgruppe Cyber Defense RST ACK Opfer HoneypotMe Konzept n Dynamische Weiterleitung von Verbindungsanfragen auf geschlossene Ports n Transparent für angreifendes System n Keine Einschränkung für ausführendes System n Einsatz auf beliebigen Systemen möglich SYN Angreifer SYN ACK SYN Opfer (HoneypotMe) © Fraunhofer FKIE, Forschungsgruppe Cyber Defense Analysekomponente HoneypotMe Weiterleitung eingehender Verbindungen n Proxy Proxy n Anonymisierung des Angreifers n Keine Lagebildinformationen n Kein Fingerprinting möglich n Tunneling Angreifer n Daten werden unverändert weitergeleitet HoneypotMe Analyse Tunnel n Alle Angriffsinformationen bleiben erhalten n Fingerprinting möglich Angreifer © Fraunhofer FKIE, Forschungsgruppe Cyber Defense HoneypotMe Analyse HoneypotMe Implementation n Dynamischer Tunnel Generiert von Analysesystem n RAW Socket RST ACK n Teste ob Port offen für eingehende SYN Pakete (bind) RST ACK n Weiterleitung des Pakets und aller Folgepakete n Dynamische Blockierung ausgehender RSTs mit libipq Generiert von Opfer msg = ipq_get_packet(buf);! ! int verdict = NF_ACCEPT;! ! n RSTs von Analysekomponente werden weitergeleitet struct iphdr *iph = (struct iphdr*) msg->payload;! uint16_t iphdrlen = iph->ihl * 4;! ! if (iph->protocol == IPPROTO_TCP) {! struct tcphdr *tcph = (struct tcphdr*) (msg->payload + ! iphdrlen);! ! if (tcph->rst && ntohl(tcph->seq) == 0 && ! !rst_is_on_stack(iph, tcph)) {! verdict = NF_DROP;! }! }! ! status = ipq_set_verdict(ipq_h, msg->packet_id, verdict, 0, ! NULL); © Fraunhofer FKIE, Forschungsgruppe Cyber Defense HoneypotMe Implementation n Analysekomponente aus Tunnelserver und Dionaea (Low Interaction Honeypot) n Tunnelserver für Adress-Translation Angreifer n Routing über Tunnel in beide Richtungen n Da Angreifer möglicherweise hinter NAT oder Firewalls n Kein Zugriff auf lokales Netz des Opfers möglich HoneypotMe © Fraunhofer FKIE, Forschungsgruppe Cyber Defense Tunnel-Server Dionaea HoneypotMe Eigenschaften Nmap scan report for 192.168.9.136! Host is up (0.00011s latency).! Not shown: 999 closed ports! PORT STATE SERVICE! 80/tcp open http! ! n Sichtbar: System-Ports + Honeypot-Ports Nmap done: 1 IP address (1 host up) scanned in 1.22 seconds! n Für Angreifer schwierig zu unterscheiden n Ablenkung von realen Verwundbarkeiten Nmap scan report for 192.168.9.136! Host is up (0.18s latency).! Not shown: 970 closed ports! PORT STATE SERVICE! 21/tcp open ftp! 42/tcp open nameserver! 80/tcp open http! 111/tcp filtered rpcbind! 125/tcp filtered locus-map! 135/tcp filtered msrpc! 139/tcp filtered netbios-ssn! 161/tcp filtered snmp! 443/tcp open https! 445/tcp filtered microsoft-ds! 726/tcp filtered unknown! 903/tcp filtered iss-console-mgr! 1152/tcp filtered winpoplanmess! 1433/tcp open ms-sql-s! 1503/tcp filtered imtc-mcs! 1666/tcp filtered netview-aix-6! 2382/tcp filtered ms-olap3! 3005/tcp filtered deslogin! 3306/tcp open mysql! 4444/tcp open krb524! 5060/tcp open sip! 5061/tcp open sip-tls! 5500/tcp filtered hotline! 5550/tcp open sdadmind! 6005/tcp filtered X11:5! 9001/tcp filtered tor-orport! n Klassische Honeypots oft einfach anhand spezifischer Ports zu Erkennen n Dynamischer Honeypot-Ansatz n Passe Honeypots an Produktivsysteme an n HoneypotMe-Ansatz n Passe Produktivsysteme an Honeypots an ! Nmap done: 1 IP address (1 host up) scanned in 170.11 seconds! © Fraunhofer FKIE, Forschungsgruppe Cyber Defense HoneypotMe Ergebnisse n Einsatz von HoneypotMe über einen Monat n Auf vier Produktivsystemen der Universität Bonn n Jeweils direkt aus dem Internet erreichbar n Dionaea zur Analyse weitergeleiteter Verbindungen n Insgesamt 25149 Verbindungsanfragen n 9467 auf simulierte Dienste n 3448 erfolgreich bearbeitet © Fraunhofer FKIE, Forschungsgruppe Cyber Defense HoneypotMe Ergebnisse Anteile aller von Dionaea bearbeiteter Verbindungen © Fraunhofer FKIE, Forschungsgruppe Cyber Defense HoneypotMe Zusammenfassung 0.7 n HoneypotMe ermöglicht Erkennung von Angriffen auf Produktivsystemen 0.6 HoneypotMe ASN n In lokalem Netz n Ausführendes System nicht von Honeypot zu unterscheiden n Ablenkung von realen Verwundbarkeiten n (Fast) kein zusätzlicher Ressourcenbedarf Angriffe in % n Über das Internet 0.5 0.4 0.3 0.2 0.1 © Fraunhofer FKIE, Forschungsgruppe Cyber Defense 20773 680 8469 8972 6724 13184 28753 3209 6805 29686 31334 0 25074 n Kein zusätzliches Sicherheitsrisiko 3320 n Hohe Skalierbarkeit Cyber Defense Praxisrelevante Ansätze für Detektion, Analyse und Antwort auf Cyber-Attacken Monitoring & Situational Awareness Resource-efficient Cryptography IDS for heterogeneous Networks Operational Picture & Situational Awareness Intrusion Response Efficient Key Management Application Protection Protocols Network Protection Protocols cydef@fkie.fraunhofer.de +49 (228) 9435 - 378 Digital Forensics & Malware Analysis Secure Network Architectures Malware Analysis Digital Forensics Honeypots/Honeynets Botnet Analysis Interoperable Coalition Architectures Multi-Level Security Gateway Concepts Protected Core Networking © Fraunhofer FKIE, Forschungsgruppe Cyber Defense