HoneypotMe - DFN-CERT

Transcription

HoneypotMe - DFN-CERT
HoneypotMe
Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte
Jan Gassen
jan.gassen@fkie.fraunhofer.de
21.02.2012
Forschungsgruppe Cyber Defense
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
Erkennung von Malware
Unterschiedliche Verbreitung von Malware
Miner Botnetz
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
Erkennung von Malware
Standortabhängig bei Angriffserkennung
1
0.9
0.8
ASN der Sensoren
0.7
0.6
0.5
0.4
0.3
0.2
0.1
0
553
3209
3320
8422
8560
8881
8972
12843 13184 13237 20825 24940 31103 31334 35776 197043
Anteil aller registrierten Angriffe aus Deutschland nach ASN
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
Erkennung von Malware
Honeypots
ēˌpät|
n
ə
h
'
|
t
o
p
honŸeyŸ
n  Computersystem ohne produktive
Aufgabe
Honeypot
Opfer
n  Keine reguläre Interaktion
n  Jede Interaktion kann als Angriff
gewertet werden
n  (Simulierte) Verwundbarkeiten
n  Angreifer hat i.d.R. keine
Information über Opfersysteme
n  Honeypot für Angreifer wie
Produktivsystem
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
Opfer
Angreifer
Erkennung von Malware
Honeypots
n  High Interaction Honeypot
n  Computersystem mit realen
Verwundbarkeiten
High Interaction
Honeypot
Low Interaction
Honeypot
n  Erlaubt Angreifern Zugriff auf
Betriebssystem
n  Kann infiziert werden
n  Low Interaction Honeypot
n  Verwundbarkeiten werden simuliert
n  Kein Zugriff auf Betriebssystem
n  Wird (i.d.R.) nicht infiziert
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
Opfer
Angreifer
Erkennung von Malware
Honeypots
n  Erkennung bisher unbekannter Angriffe
Honeypot
n  Ermöglichen sammeln von
Schadprogrammen
Opfer
n  Geringer Analyseaufwand
Aber:
n  Können erkannt werden
n  Können nur direkte Angriffe erkennen
n  Honeypots benötigen eigene Ressourcen
Opfer
Angreifer
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
Erkennung von Malware
Honeypots
n  Mögliches zusätzliches Sicherheitsrisiko
Honeypot
n  Insbesondere in Produktiv-Netzen
Opfer
n  Durch Infektion des Hosts
n  Als mögliche Plattform für weitere
Angriffe
n  Aktualisierung nötig um auf neue
Angriffe reagieren zu können
n  Unterschiedliche Honeypots zur
Detektion unterschiedlicher Angriffe
Opfer
Angreifer
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
HoneypotMe
Konzept
n  Honeypot-Sensorik auf Produktivsystemen
Sensor
n  Umfangreiche Netzüberwachung
Sensor
n  Keine dedizierten Ressourcen
n  Auslagerung der Verbindungsanalyse
n  Zur lokalen oder externen Analyse
n  Zentrale Sammlung der Informationen
n  Zentrale Administration
Sensor
Analyse
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
HoneypotMe
Konzept
n  Übertragung des Honeypot-Konzepts
n  Ressource ohne produktive Aufgabe
n  Jede Interaktion stellt Angriff dar
1433
n  Auf Produktivsysteme
(MS-SQL)
n  Ports ohne produktive Aufgabe
n  Keine reguläre Interaktion
n  Analyse der Verbindung für Details
22
(SSH)
n  Unterschiedliche Ports auf verschiedenen
Systemen
Produktivsystem
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
HoneypotMe
Konzept
n  Analyse von Verbindungsversuchen auf geschlossene Ports
n  Angreifer überprüfen Opfersystem auf verwundbare Dienste
n  Typischerweise SYN-Scan
n  Opfer antwortet mit RST/ACK wenn Dienst nicht verfügbar
SYN
Angreifer
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
RST
ACK
Opfer
HoneypotMe
Konzept
n  Dynamische Weiterleitung von Verbindungsanfragen auf geschlossene
Ports
n  Transparent für angreifendes System
n  Keine Einschränkung für ausführendes System
n  Einsatz auf beliebigen Systemen möglich
SYN
Angreifer
SYN
ACK
SYN
Opfer
(HoneypotMe)
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
Analysekomponente
HoneypotMe
Weiterleitung eingehender Verbindungen
n  Proxy
Proxy
n  Anonymisierung des Angreifers
n  Keine Lagebildinformationen
n  Kein Fingerprinting möglich
n  Tunneling
Angreifer
n  Daten werden unverändert
weitergeleitet
HoneypotMe
Analyse
Tunnel
n  Alle Angriffsinformationen
bleiben erhalten
n  Fingerprinting möglich
Angreifer
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
HoneypotMe
Analyse
HoneypotMe
Implementation
n  Dynamischer Tunnel
Generiert von
Analysesystem
n  RAW Socket
RST
ACK
n  Teste ob Port offen für eingehende
SYN Pakete (bind)
RST
ACK
n  Weiterleitung des Pakets und aller
Folgepakete
n  Dynamische Blockierung ausgehender
RSTs mit libipq
Generiert
von Opfer
msg = ipq_get_packet(buf);!
!
int verdict = NF_ACCEPT;!
!
n  RSTs von Analysekomponente
werden weitergeleitet
struct iphdr *iph = (struct iphdr*) msg->payload;!
uint16_t iphdrlen = iph->ihl * 4;!
!
if (iph->protocol == IPPROTO_TCP) {!
struct tcphdr *tcph = (struct tcphdr*) (msg->payload + !
iphdrlen);!
!
if (tcph->rst && ntohl(tcph->seq) == 0 && !
!rst_is_on_stack(iph, tcph)) {!
verdict = NF_DROP;!
}!
}!
!
status = ipq_set_verdict(ipq_h, msg->packet_id, verdict, 0, !
NULL);
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
HoneypotMe
Implementation
n  Analysekomponente aus Tunnelserver und Dionaea (Low
Interaction Honeypot)
n  Tunnelserver für Adress-Translation
Angreifer
n  Routing über Tunnel in beide Richtungen
n  Da Angreifer möglicherweise hinter NAT oder
Firewalls
n  Kein Zugriff auf lokales Netz des Opfers möglich
HoneypotMe
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
Tunnel-Server
Dionaea
HoneypotMe
Eigenschaften
Nmap scan report for 192.168.9.136!
Host is up (0.00011s latency).!
Not shown: 999 closed ports!
PORT
STATE SERVICE!
80/tcp open http!
!
n  Sichtbar: System-Ports + Honeypot-Ports
Nmap done: 1 IP address (1 host up) scanned in 1.22
seconds!
n  Für Angreifer schwierig zu unterscheiden
n  Ablenkung von realen Verwundbarkeiten
Nmap scan report for 192.168.9.136!
Host is up (0.18s latency).!
Not shown: 970 closed ports!
PORT
STATE
SERVICE!
21/tcp
open
ftp!
42/tcp
open
nameserver!
80/tcp
open
http!
111/tcp
filtered rpcbind!
125/tcp
filtered locus-map!
135/tcp
filtered msrpc!
139/tcp
filtered netbios-ssn!
161/tcp
filtered snmp!
443/tcp
open
https!
445/tcp
filtered microsoft-ds!
726/tcp
filtered unknown!
903/tcp
filtered iss-console-mgr!
1152/tcp filtered winpoplanmess!
1433/tcp open
ms-sql-s!
1503/tcp filtered imtc-mcs!
1666/tcp filtered netview-aix-6!
2382/tcp filtered ms-olap3!
3005/tcp filtered deslogin!
3306/tcp open
mysql!
4444/tcp open
krb524!
5060/tcp open
sip!
5061/tcp open
sip-tls!
5500/tcp filtered hotline!
5550/tcp open
sdadmind!
6005/tcp filtered X11:5!
9001/tcp filtered tor-orport!
n  Klassische Honeypots oft einfach anhand
spezifischer Ports zu Erkennen
n  Dynamischer Honeypot-Ansatz
n  Passe Honeypots an Produktivsysteme an
n  HoneypotMe-Ansatz
n  Passe Produktivsysteme an Honeypots an
!
Nmap done: 1 IP address (1 host up) scanned in 170.11
seconds!
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
HoneypotMe
Ergebnisse
n  Einsatz von HoneypotMe über einen
Monat
n  Auf vier Produktivsystemen der
Universität Bonn
n  Jeweils direkt aus dem Internet
erreichbar
n  Dionaea zur Analyse weitergeleiteter
Verbindungen
n  Insgesamt 25149 Verbindungsanfragen
n  9467 auf simulierte Dienste
n  3448 erfolgreich bearbeitet
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
HoneypotMe
Ergebnisse
Anteile aller von Dionaea bearbeiteter Verbindungen
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
HoneypotMe
Zusammenfassung
0.7
n  HoneypotMe ermöglicht Erkennung von
Angriffen auf Produktivsystemen
0.6
HoneypotMe ASN
n  In lokalem Netz
n  Ausführendes System nicht von Honeypot
zu unterscheiden
n  Ablenkung von realen
Verwundbarkeiten
n  (Fast) kein zusätzlicher Ressourcenbedarf
Angriffe in %
n  Über das Internet
0.5
0.4
0.3
0.2
0.1
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense
20773
680
8469
8972
6724
13184
28753
3209
6805
29686
31334
0
25074
n  Kein zusätzliches Sicherheitsrisiko
3320
n  Hohe Skalierbarkeit
Cyber Defense
Praxisrelevante Ansätze für
Detektion, Analyse und Antwort auf Cyber-Attacken
Monitoring & Situational Awareness
Resource-efficient Cryptography
IDS for heterogeneous Networks
Operational Picture & Situational Awareness
Intrusion Response
Efficient Key Management
Application Protection Protocols
Network Protection Protocols
cydef@fkie.fraunhofer.de
+49 (228) 9435 - 378
Digital Forensics & Malware Analysis
Secure Network Architectures
Malware Analysis
Digital Forensics
Honeypots/Honeynets
Botnet Analysis
Interoperable Coalition Architectures
Multi-Level Security
Gateway Concepts
Protected Core Networking
© Fraunhofer FKIE, Forschungsgruppe Cyber Defense