honeypot detection in advanced botnet attacks
DESCRIPTION
Honeypot Detection in Advanced Botnet Attacks. International Journal of Information and Computer Security 2010 - Vol. 4, No.1 pp. 30 – 51 Ping Wang, Lei Wu, Ryan Cunningham,Cliff C. Zou. Speaker: Hom-Jay Hom Date:2010/05/13. Outline. Introduction Honeypot Detection in Hierarchical Botnets - PowerPoint PPT PresentationTRANSCRIPT
Speaker: Hom-Jay Hom
Date:2010/05/13
Honeypot Detection in Advanced Botnet Attacks
International Journal of Information and Computer Security2010 - Vol. 4, No.1 pp. 30 – 51
Ping Wang, Lei Wu, Ryan Cunningham,Cliff C. Zou
Outline
112/04/20 2
Introduction
Honeypot Detection in Hierarchical Botnets
Experiment Evaluation
Honeypot Detection in P2P-Structured Botnets
Defense Against Honeypot-Aware Attacks
Related Work
Conclusion
Introduction (1)在過去的 10 年,網際網路用戶不斷遭受四面八方而來的攻擊,如 : 電子郵件病毒和蠕蟲等…。攻擊者已經轉向影響和控制受害者的電腦,這一有利可圖的攻擊主題,使大量的殭屍電腦出現在網路上。殭屍網路,是網路上受害電腦被安裝惡意程式進而被 攻擊者所控制。稱為 bot ,透過網路接受命令從 botnet的擁有者,或稱“ botmaster” 。Botmaster 可利用 botnet ,進行如: DDoS 、 SPAM-mail 、鍵盤側錄,等…攻擊。
112/04/20 3
Introduction (2)Honeypot 是一種特殊構造的電腦或網路陷阱,用來吸引攻擊者,以便在背後收集檢測惡意攻擊。隨著越來越多的人開始使用 honeypot 監測 和防禦系統,botmasters 將設法避免 botnet 掉入陷阱中。 本文我們提出了 botmasters 如何試圖掉入蜜罐陷阱,與他們的殭屍網路建設和維護。這種知識對安全人員是有用的,以便準備迎接,更先進的殭屍網路攻擊。
112/04/20 4
Introduction (3)honeypot 檢測方法一般是根據硬體或和軟體:安全人員建立 honeypot 有責任不能使攻擊造成他人的損害,而botmasters 不需要遵循這一限制。基於這個原則,我們提出了一個新的 honeypot 檢測技術,其簡單且有效。並以實驗表明,且對於 honeypot 和 honeynet 目前的標準提出一些建議與相關事項。
112/04/20 5
Introduction (4)在階層式的殭屍網路如果要檢測一 controller 是否正常
, botmasters 可執行命令到 botnet ,再透過 sensor 檢視就可得知 controller 是否正確執行。目前比較流行的是 P2P 殭屍網路,由於分散式並不集中所以,更難以監測和消滅。本文提出一個簡單而有效的 P2P 殭屍網路技術“ Two-stage reconnaissance worm” 的蠕蟲攻擊,也是有能力檢測honeypot 。
112/04/20 6
Hierarchical botnets introduction
112/04/20 7
階層式 botnet 之架構圖:
Detection of honeypot bots (1)原則上要有一受感染的電腦或冒牌的惡意流量到連結到遠端 botmaster 實際控制的電腦上。這些遠端電腦既是 botmaster 的 sensor 。如果 sensor 從受害者的電腦收到完整及正確的資訊,則此電腦被視為正常的 bot ,而不是 honeypot 。
由於 honeypot 管理者不知道哪個電腦是 botmaster 的sensor 哪些是無辜的電腦,他們無法抵禦這檢測技術,而不危害到那些無辜的電腦。
112/04/20 8
Detection of honeypot bots (2)檢測 bot 是否為 honeypot 的步驟:
112/04/20 9
Detection through infection一些 honeypot 計畫會使受感染的電腦不斷在網路上攻擊其他電腦,因此在種種情況下 honeypot必須修改或限制,如: GenII honeynets 。GenII honeynets 是加入了 NIPS 來限制流量出入。所以 botmaster須利用其他方式,如: MD5 特徵碼來驗證。
因此如果沒有詳細的 binary code 分析,將無法判定哪些 IP屬於 botmaster 的 sensor 。
112/04/20 10
Detection through other illicit activities基於一般偵測 honeypot 的方法:Low rate port scanning : 透過隱藏的 sensor IP 在 port-scan IP list 的方式來判別是否在 honeypot環境。例如 GenII honeynets 有對外流量及人數的限制。
Email spamming : botmaster還擁有 spam bot 將對外寄出一個或多個目標這些 email 用來做為 honeypot 的sensor 。如同網路釣魚的 email ,使 honeypot負責人員有真正的財物損失。
112/04/20 11
Detection of hijacked bot controllersBot controller DNS query check
當 botmaster想檢查某 DNS server 是否被劫持, IP 是否被從新導向其他地方時:
botmaster 可透過某 bot 不斷去查詢此 DNS 的 IP再對照其他 DNS IP list既可得知此 server 是否已經被劫持。
112/04/20 12
Bot controller command channel check上述 DNS查詢檢查是一種有效的方法來檢測 DNS 的定向,但如果偵測人員隱身監測,實際捕捉和監控在這種情況下, DNS查詢檢查將為無效。要偵測此類型的方法可利用先前所介紹的方式來測試,既是用指令去測試此 bot controller 是否被監控。例如發動 1000 台 bot 做 DDoS 攻擊 (但目標是錯誤的 ) 此時受監控的 controller必定不敢妄動發送命令給 bot 。或進行極少用到的指令 ( 既使指令為無害的 )
112/04/20 13
Discussions因 honeypot 的檢測程序使感染的電腦造成延遲但這並不影響 botnet 本身,因為大多 botnet 將作為長期的攻擊工具。因此,它不是 botmasters重要的考慮問題。 當部署一個偵測 honeypot 的 sensor bot時通常只要求發送其一(如垃圾郵件,病毒代碼的副本)到 sensor 以防止流量被發現或阻塞。當連續使用的 DNS查詢,以測試 controller 是否被劫持,這些 DNS查詢請求可能被判定為異常的 DNS查詢行為。所以為防止這類事件:
( 1)減慢查詢的次數。( 2)使用多個 sensor 進行查詢。( 3)發送 DNS查詢到許多網路上的 DNS server 。
112/04/20 14
Experiment network system introduction使用標準的 GenII honeynet :
實驗封閉對外連線,且模仿 bot 感染途徑,非使用真的 bot
112/04/20 15
IP Tables +Snort_inline
Honeypot detection—IPTablesIPTables on the honeywall log :
112/04/20 16
Honeypot 被感染開始對外連線
bot controller 通信狀態
TCP > 6 已達 IPTable門檻
Honeypot detection—Snort inlineSnort_inline 是用來偵測對外流量,及制定規則使用 Code Red II 並將規則修改成為 unmalicious
Snort_inline 偵測到Code Red II 的 log
112/04/20 17
Honeypot Detection in P2P-Structured Botnets (1)
Cooke et al. 2005 討論三種 Botnet 架構:
隨機式:因會延遲,且不易管理,所以不討論。階層式:因需購買大量網域名稱,且容易被偵測發現。點對點:分散式不易被察覺,近年來以有許多此類型的拓撲,在未來也勢必會有更多的發現。
112/04/20 18
Honeypot Detection in P2P-Structured Botnets (2)在 P2P-botnet ,每個 bot都有一組 IP地址列表,包含其他 bot ,可以連接,這是所謂” peer list” 。因沒有集中的管理方式來提供身份驗證,所以每個 bot必須獨立判斷,它的宿主是否為 honeypots 。Botmaster 因此需要新穎的技術來偵測 P2P-Botnet 的honeypots 技術。在本文,我們提出一個簡單而有效且先進的蠕蟲病毒” two-stage reconnaissance worm” 。
112/04/20 19
Two-stage reconnaissance wormA two-stage reconnaissance worm is designed to have two parts:
first part : 判斷新感染的電腦是否為 honeypot spearhead
the second part : 決定是否讓新 bot加入 P2P botnet. main-force
112/04/20 20
P2P botnet
Advanced two-stage reconnaissance worm in response to “double honeypot”defense
Tang and Chen, 2005 提出一個“ double honeypot” 系統,如果將此系統當作遠端的受害主機則可以欺騙過” Two-stage reconnaissance worm”
因 double honeypot 系統可以模擬外部任何 ip
112/04/20 21
double honeypot
Honeypot detection time delay modeling and analysis因受感染的主機並不是馬上加入 botnet (由於honeypot 檢測程序)這時候因時間延遲影響 botnet 的成長或升級及進攻的力量。所以 Botmaster 可能有興趣知道的時間延遲。而以防衛的角度當然也有興趣知道有多少時間能檢測此類型的殭屍病毒。
因此我們提出一個分析模型作為一個殭屍網路分析Two-stage reconnaissance worm 的傳播。
112/04/20 22
We use Matlab Simulink (Simulink) to derive the numerical solutions :
112/04/20 23
Join P2P Botnet
main-force階段
Spearhead階段
Defense Against Honeypot-Aware Attacks之前我們介紹了建置或使用 Honeypot 的規定與相關的道德規範,卻沒有強制去執行。例如:有些國家級或公司的人員在法律上是許可,且無限制的對外發送惡意流量。當然現在網路安全在法律上並不是那麼成熟,因此有些人建置 honeypot但卻無限制的對外進行攻擊,這行為是非常粗心且危害網路安全的。在 GenII honeynet 中有考慮禁止惡意流量對外發送,卻沒有嚴格執行。所以在本篇 paper 將提出一些看法:
1. 應限制對外流量上限。2. 應禁止修改或可以檢測惡意封包的流出。
112/04/20 24
Related WorkBotnet 是目前網路上最主要的威脅,所以有許多專家學者討論,如何使用 honeypot 來監測 botnet ,目前有兩種主要的技術:第一種技術:是讓 honeypot加入 botnet 來觀察 bot間的驗證方式、犯罪類型。
(B¨acher et al., 2008; Cooke et al., 2005; Freiling et al., 2005).
第二種技術:是劫持 bot controllers’ DNS ,用來監聽botmaster 的命令與訊息交換方式擊犯罪類型。
(Dagon et al., 2006) 等 ... 。
112/04/20 25
Conclusion由於其潛在的非法經濟利益, Botnet 已成為網路上最大危害。隨著安全人員建置 honeypot 的檢測和防禦系統, botmasters 將設法避免在他們的 Botnet 陷阱蜜罐。透過利用各種方式檢測 honeypot虛擬環境。安全人員使用 honeypot 是有責任的限制。例如:應無法製造太多的惡意攻擊或造成網路上的危害。
在本文中,我們介紹各種手段,使 botmasters 可檢測honeypot 在基於建置 Botnet 這個原則。蜜罐的研究和部署仍然有顯著的價值,最後希望這篇 paper 將提醒 honeypot研究人員的重要性,如何建立和限制 honeypot 蜜罐中的安全及防禦部署。
112/04/20 26