Клиентская приманка - Client honeypot

Приманки представляют собой устройства безопасности, ценность которых заключается в том, чтобы их исследовать и взломать. Традиционные приманки - это серверы (или устройства, предоставляющие серверные сервисы), пассивно ожидающие атаки. Клиентские приманки являются активными устройствами безопасности для поиска вредоносных серверов, атакующих клиентов. Клиентская приманка выдает себя за клиента и взаимодействует с сервером, чтобы проверить, произошла ли атака. Часто в центре внимания клиентских приманок находятся веб-браузеры, но любой клиент, взаимодействующий с серверами, может быть частью клиентских приманок (например, ftp, ssh, электронная почта и т. д.).

Есть несколько терминов, которые используются для описания клиентских приманок. Помимо клиентской приманки, которая является общей классификацией, медклиент - это еще один общепринятый термин. Однако здесь есть тонкость, поскольку "медклиент" на самом деле омограф это также может относиться к первой известной реализации клиентского приманки с открытым исходным кодом (см. ниже), хотя это должно быть ясно из контекста.

Архитектура

Клиентская приманка состоит из трех компонентов. Первый компонент, очередь, отвечает за создание списка серверов, которые должен посетить клиент. Этот список можно создать, например, путем сканирования. Второй компонент - это сам клиент, который может делать запросы к серверам, идентифицированным очередью. После взаимодействия с сервером третий компонент, механизм анализа, отвечает за определение того, произошла ли атака на клиентскую приманку.

В дополнение к этим компонентам клиентские приманки обычно оснащены какой-либо стратегией сдерживания, чтобы предотвратить распространение успешных атак за пределы клиентских приманок. Обычно это достигается за счет использования межсетевых экранов и песочниц виртуальных машин.

Как и традиционные серверные приманки, клиентские приманки в основном классифицируются по уровню взаимодействия: высокий или низкий; который обозначает уровень функционального взаимодействия, которое сервер может использовать с клиентской приманкой. В дополнение к этому существуют также новые гибридные подходы, которые обозначают использование методов обнаружения как высокого, так и низкого уровня взаимодействия.

Высокое взаимодействие

Приманки для клиентов с высоким уровнем взаимодействия - это полнофункциональные системы, сопоставимые с реальными системами с реальными клиентами. Таким образом, никаких функциональных ограничений (кроме стратегии сдерживания) для клиентских приманок с высоким уровнем взаимодействия не существует. Атаки на клиентские приманки с высокой степенью взаимодействия обнаруживаются путем проверки состояния системы после взаимодействия с сервером. Обнаружение изменений в клиентской приманке может указывать на атаку, направленную на использование уязвимости клиента. Примером такого изменения является наличие нового или измененного файла.

Клиентские приманки с высоким уровнем взаимодействия очень эффективны при обнаружении неизвестных атак на клиентов. Однако компромисс для этой точности - снижение производительности из-за количества состояний системы, которые необходимо отслеживать для оценки атаки. Кроме того, этот механизм обнаружения подвержен различным формам уклонения со стороны эксплойта. Например, атака может задержать немедленное срабатывание эксплойта (бомбы замедленного действия) или может сработать при определенном наборе условий или действий (логические бомбы ). Поскольку немедленного заметного изменения состояния не произошло, клиентский приманка, скорее всего, неправильно классифицирует сервер как безопасный, даже если он успешно выполнил атаку на клиента. Наконец, если клиентские приманки работают на виртуальных машинах, то эксплойт может попытаться обнаружить присутствие виртуальной среды и перестать срабатывать или вести себя иначе.

Захват-HPC

Захватывать ^[1] - это клиентская приманка с высоким уровнем взаимодействия, разработанная исследователями из Веллингтонского университета Виктории, Новая Зеландия. Захват отличается от существующих клиентских приманок по-разному. Во-первых, он разработан, чтобы быть быстрым. Изменения состояния обнаруживаются с использованием модели на основе событий, позволяющей реагировать на изменения состояния по мере их возникновения. Во-вторых, Capture рассчитана на масштабирование. Центральный сервер Capture может управлять множеством клиентов в сети. В-третьих, Capture должен быть фреймворком, который позволяет использовать разных клиентов. Первоначальная версия Capture поддерживает Internet Explorer, но текущая версия поддерживает все основные браузеры (Internet Explorer, Firefox, Opera, Safari), а также другие клиентские приложения с поддержкой HTTP, такие как офисные приложения и медиаплееры.

HoneyClient

HoneyClient ^[2] - это клиентская приманка с высоким уровнем взаимодействия на основе веб-браузера (IE / FireFox), разработанная Кэти Ван в 2004 году и впоследствии разработанная в МИТРА. Это была первая клиентская приманка с открытым исходным кодом, представляющая собой смесь Perl, C ++ и Ruby. HoneyClient основан на состоянии и обнаруживает атаки на клиентов Windows, отслеживая файлы, события процессов и записи реестра. Он интегрировал средство проверки целостности Capture-HPC в реальном времени для выполнения этого обнаружения. HoneyClient также содержит поискового робота, так что он может быть заполнен списком начальных URL-адресов, с которых следует начать, и затем может продолжать просматривать веб-сайты в поисках вредоносных программ на стороне клиента.

HoneyMonkey (умер с 2010 г.)

Медовая обезьяна ^[3] это клиентская приманка с высоким уровнем взаимодействия на основе веб-браузера (IE), реализованная Microsoft в 2005 году. Она недоступна для загрузки. HoneyMonkey основан на состоянии и обнаруживает атаки на клиентов, отслеживая файлы, реестр и процессы. Уникальной характеристикой HoneyMonkey является многоуровневый подход к взаимодействию с серверами с целью выявления эксплойтов нулевого дня. HoneyMonkey изначально сканирует Интернет с уязвимой конфигурацией. После обнаружения атаки сервер повторно исследуется с полностью исправленной конфигурацией. Если атака все же обнаружена, можно сделать вывод, что атака использует эксплойт, для которого еще не выпущен публичный патч, и поэтому он довольно опасен.

ШЕЛИЯ (умерла с 2009 г.)

Шелия ^[4] - это приманка для клиентов с высоким уровнем взаимодействия, разработанная Джоан Роберт Рокаспана из Vrije Universiteit Amsterdam. Он интегрируется с программой чтения электронной почты и обрабатывает каждое полученное письмо (URL-адреса и вложения). В зависимости от типа полученного URL-адреса или вложения он открывает другое клиентское приложение (например, браузер, офисное приложение и т. Д.). Он отслеживает, выполняются ли исполняемые инструкции в области данных памяти (что указывает на срабатывание эксплойта переполнения буфера) . При таком подходе SHELIA способна не только обнаруживать эксплойты, но и фактически предотвращать срабатывание эксплойтов.

UW Spycrawler

Spycrawler ^[5] Разработанная в Вашингтонском университете еще одна клиентская приманка с высоким уровнем взаимодействия на основе браузера (Mozilla), разработанная Мощуком и др. в 2005 г. Эта клиентская приманка недоступна для загрузки. Spycrawler основан на состоянии и обнаруживает атаки на клиентов, отслеживая сбои файлов, процессов, реестра и браузера. Механизм обнаружения шпионов основан на событиях. Кроме того, это увеличивает время прохождения виртуальной машины, на которой работает Spycrawler, для преодоления (или, скорее, уменьшения воздействия) бомб замедленного действия.

Поиск веб-эксплойтов

ВЭФ ^[6] представляет собой реализацию автоматического обнаружения в виртуализированной среде по загрузке, разработанную Томасом Мюллером, Бенджамином Маком и Мехметом Арзиманом, тремя студентами из Высшей школы медицины (HdM), Штутгарт, во время летнего семестра в 2006 году. ВЭФ может использоваться в качестве активной сети HoneyNet с полной архитектурой виртуализации для отката скомпрометированных виртуальных машин.

Низкое взаимодействие

Клиентские приманки с низким уровнем взаимодействия отличаются от клиентских приманок с высоким уровнем взаимодействия тем, что они не используют всю реальную систему, а используют облегченные или смоделированные клиенты для взаимодействия с сервером. (в мире браузеров они похожи на поисковые роботы). Ответы серверов проверяются напрямую, чтобы оценить, произошла ли атака. Это можно сделать, например, путем проверки ответа на наличие вредоносных строк.

Приманки для клиентов с низким уровнем взаимодействия проще в развертывании и эксплуатации, чем приманки для клиентов с высоким уровнем взаимодействия, а также они лучше работают. Однако они, вероятно, будут иметь более низкий уровень обнаружения, поскольку клиентский приманка должна знать об атаках, чтобы он мог их обнаружить; новые атаки скорее всего останутся незамеченными. Они также страдают от проблемы уклонения с помощью эксплойтов, которая может усугубляться из-за их простоты, что облегчает эксплойту обнаружение клиентского приманки.

HoneyC

HoneyC ^[7] - это клиентская приманка с низким уровнем взаимодействия, разработанная в Университете Виктории в Веллингтоне Кристианом Зайфертом в 2006 году. HoneyC - это платформенно-независимый фреймворк с открытым исходным кодом, написанный на Ruby. В настоящее время он сосредоточен на управлении симулятором веб-браузера для взаимодействия с серверами. Вредоносные серверы обнаруживаются путем статической проверки ответа веб-сервера на наличие вредоносных строк с помощью сигнатур Snort.

Паук-обезьяна (умер с 2008 г.)

Обезьяна-паук ^[8] - это приманка для клиентов с низким уровнем взаимодействия, изначально разработанная Али Икинчи в Университете Мангейма. Monkey-Spider - это клиентская приманка на основе краулера, изначально использующая антивирусные решения для обнаружения вредоносных программ. Утверждается, что он быстрый и расширяемый с помощью других механизмов обнаружения. Работа началась как дипломная работа и продолжена и выпущена как бесплатное программное обеспечение под лицензией GPL.

PhoneyC (мертв с 2015 года)

PhoneyC ^[9] - клиент с низким уровнем взаимодействия, разработанный Хосе Назарио. PhoneyC имитирует нормальные веб-браузеры и может распознавать динамический контент, деобфускируя вредоносный контент для обнаружения. Кроме того, PhoneyC эмулирует определенные уязвимости, чтобы определить вектор атаки. PhoneyC - это модульная структура, которая позволяет изучать вредоносные HTTP-страницы и понимать современные уязвимости и методы злоумышленников.

Шпион

Шпион ^[10] клиентская приманка с низким уровнем взаимодействия, разработанная Нильс Провос. SpyBye позволяет веб-мастеру определять, является ли веб-сайт вредоносным, с помощью набора эвристик и сканирования содержимого на предмет обнаружения механизма ClamAV.

Бандит

Бандит ^[11] это клиентская приманка с низким уровнем взаимодействия, разработанная Анджело Дель'Аера. Thug имитирует поведение веб-браузера и ориентирован на обнаружение вредоносных веб-страниц. Инструмент использует движок Google V8 Javascript и реализует собственную объектную модель документа (DOM). Наиболее важными и уникальными особенностями Thug являются: модуль обработки элементов управления ActiveX (модуль уязвимости) и возможности статического + динамического анализа (с использованием абстрактного синтаксического дерева и анализатора шелл-кода Libemu). Thug написан на Python под Стандартной общественной лицензией GNU.

ЯЛИХ

ЯЛИХ (еще один медовый клиент с низким уровнем взаимодействия) ^[12] - это приманка для клиентов с низким уровнем взаимодействия, разработанная Масудом Мансури из отделения honeynet Университета Виктории в Веллингтоне, Новая Зеландия, и предназначена для обнаружения вредоносных веб-сайтов с помощью методов сигнатур и сопоставления с образцом. YALIH имеет возможность собирать подозрительные URL-адреса из баз данных вредоносных веб-сайтов, Bing API, папки входящих сообщений и спама через протоколы POP3 и IMAP. Он может выполнять извлечение Javascript, деобфускацию и разминирование скриптов, встроенных в веб-сайт, а также может эмулировать реферер, агентов браузера и обрабатывать перенаправление, файлы cookie и сеансы. Его агент посетителя способен извлекать веб-сайт из нескольких мест, чтобы обойти атаки с использованием геолокации и IP-маскировки. YALIH также может генерировать автоматические сигнатуры для обнаружения вариантов атаки. YALIH доступен как проект с открытым исходным кодом.

miniC

miniC ^[13] это клиентская приманка с низким уровнем взаимодействия, основанная на wget retriever и движке Yara. Он разработан, чтобы быть легким, быстрым и подходящим для поиска большого количества веб-сайтов. miniC позволяет устанавливать и моделировать реферер, пользовательский агент, accept_language и несколько других переменных. miniC был разработан в новозеландском отделении Honeynet Веллингтонского университета Виктории.

Гибридные клиентские приманки

Гибридные клиентские приманки сочетают в себе клиентские приманки с низким и высоким уровнем взаимодействия, чтобы воспользоваться преимуществами обоих подходов.

HoneySpider (мертв с 2013 года)

Медовый Паук ^[14] network - это гибридная клиентская приманка, разработанная как совместное предприятие между NASK / CERT Polska, GOVCERT.NL [нл ]^[1] и SURFnet.^[2] Цель проекта - разработать полную клиентскую систему приманки на основе существующих решений приманки для клиентов и поискового робота, специально предназначенного для массовой обработки URL-адресов.

Литература

Ян Гёбель, Андреас Девальд, Клиентские приманки: исследование вредоносных веб-сайтов, Oldenbourg Verlag 2010, ISBN 978-3-486-70526-3, Эта книга на Amazon

Статьи

М. Эгеле, П. Вурцингер, К. Крюгель и Э. Кирда, Защита браузеров от случайных загрузок: предотвращение атак путем внедрения кода с использованием кучи, Лаборатория безопасных систем, 2009, стр. Доступна с iseclab.org, по состоянию на 15 мая 2009 г.
Файнштейн, Бен. Обезьяна с кофеином: автоматизированный сбор, обнаружение и анализ JavaScript. BlackHat USA. Лас-Вегас, 2007 год.
Икинчи, А., Хольц, Т., Фрейлинг, Ф.С. : Monkey-Spider: обнаружение вредоносных веб-сайтов с помощью медовых клиентов с низким уровнем взаимодействия. Sicherheit 2008: 407-421,
Мощук А., Брагин Т., Гриббл С. и Леви, Х. Исследование шпионского ПО в Интернете с помощью сканера. На 13-м ежегодном симпозиуме по безопасности сетей и распределенных систем (NDSS). Сан-Диего, 2006 год. Интернет-общество.
Провос, Н., Хольц, Т. Виртуальные приманки: от отслеживания ботнетов до обнаружения вторжений. Эддисон-Уэсли. Бостон, 2007.
Провос, Н., Мавромматис, П., Абу Раджаб, М., Монроуз, Ф. Все ваши кадры iFRAME указывают на нас. Технический отчет Google. Google, Inc., 2008 г.
Провос, Н., МакНэми, Д., Мавромматис, П., Ван, К., Модадугу, Н. Призрак в браузере: анализ вредоносного ПО в Интернете. Материалы HotBots 2007 года. Кембридж, апрель 2007 г. USENIX.
Зайферт, К., Эндикотт-Поповский, Б., Фринке, Д., Комисарчук П., Мушевичи Р. и Уэлч И., Обоснование необходимости в протоколах, готовых к судебной экспертизе: пример выявления вредоносных веб-серверов с помощью клиентских приманок. в 4-й ежегодной Международной конференции IFIP WG 11.9 по цифровой криминалистике, Киото, 2008 г.
Зайферт, К. Знай своего врага: за кулисами вредоносных веб-серверов. Проект Honeynet. 2007 г.
Зейферт, К., Комисарчук, П. и Велч, И. Применение парадигмы алгоритма «разделяй и властвуй» для повышения скорости обнаружения клиентских приманок с высоким уровнем взаимодействия. 23-й ежегодный симпозиум ACM по прикладным вычислениям. Сеара, Бразилия, 2008 г.
Зайферт, К., Стинсон, Р., Хольц, Т., Юань, Б., Дэвис, М.А. Знай своего врага: вредоносные веб-серверы. Проект Honeynet. 2007. (доступно на honeynet.org )
Зайферт, К., Велч, И. и Комисарчук, П. HoneyC: приманка для клиентов с низким уровнем взаимодействия. Труды 2007 NZCSRCS. Университет Вайкато, Гамильтон, Новая Зеландия. Апрель 2007 г.
К. Зайферт, В. Делвадиа, П. Комисарчук, Д. Стирлинг и И. Велч, Исследование по оценке вредоносных веб-серверов в домене .nz, на 14-й Австралазийской конференции по информационной безопасности и конфиденциальности (ACISP), Брисбен, 2009 г.
К. Зайферт, П. Комисарчук и И. Велч, Кривая истинно положительных затрат: метод оценки затрат для приманок клиентов с высоким уровнем взаимодействия, в SECURWARE, Афины, 2009 г.
К. Зайферт, П. Комисарчук и И. Велч, Идентификация вредоносных веб-страниц с помощью статической эвристики, на австалазийской конференции по телекоммуникационным сетям и приложениям, Аделаида, 2008 г.
Стурман, Тиджс, Вердуин, Алекс. Honeyclients - Метод обнаружения низкого взаимодействия. Технический отчет. Амстердамский университет. Февраль 2008 г.
Ван, Ю.-М., Бек, Д., Цзян, X., Руссев, Р., Вербовски, К., Чен, С. и Кинг, С. Автоматический веб-патруль с помощью Strider HoneyMonkeys: поиск веб-сайтов, использующих уязвимости браузера. На 13-м ежегодном симпозиуме по безопасности сетей и распределенных систем (NDSS). Сан-Диего, 2006. Интернет-сообщество.
Чжугэ, Цзяньвэй, Хольц, Торстен, Го, Цзиньпэн, Хань, Синьхуэй, Цзоу, Вэй. Изучение вредоносных сайтов и подпольной экономики в китайской сети. Материалы семинара 2008 г. по экономике информационной безопасности. Ганновер, июнь 2008 г.

Презентаций

Места

[1] NCSC (14 мая 2013 г.). «Национальный центр кибербезопасности - NCSC». www.ncsc.nl.

[2] "SURF - это ICT-coöperatie van onderwijs en onderzoek". SURF.nl.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[1]

[2]