مکانیزمهای تحلیل اطلاعات در Honeypot ها

پیش از این در چهار مقاله «Honeypot چیست؟»، «انواع Honeypot»، «کاربردهای Honeypot ها» و «مکانیزم های جمع آوری اطلاعات در Honeypot ها» به معرفی اجمالی Honeypot ها، کاربردهای این سیستم ها و روش های جمع آوری اطلاعات در این سیستم ها پرداختیم. در این مقاله مکانیزم های مختلف تحلیل اطلاعات در Honeypot ها را مورد بررسی قرار خواهیم داد.

 Honeypot ها در کشف فعالیت های هکرهای کلاه سیاه بسیار موثر عمل می کنند. پتانسیل حقیقی یک Honeypot فقط زمانی کاملا به کار گرفته می شود که داده های مربوط به این فعالیت ها به اطلاعات ارزشمندی تبدیل شوند. برای این منظور، باید یک روال برای جمع آوری این داده ها و ایجاد ارتباط بین آنها و ابزارها، تاکتیک ها و انگیزه های هکرهای کلاه سیاه وجود داشته باشد. چنین روالی تحلیل داده ها نامیده می شود. این روال یکی از پر چالش ترین و زمانبرترین بخش های کار است. در ادامه این مطلب، برخی از روش ها و تکنیک های موفق مورد استفاده برای این کار توضیح داده خواهند شد.

 

 

1- لاگ های فایروال

 

فایروال ها می توانند در تحلیل ارتباطات ورودی و خروجی Honeypot مفید باشند. می دانیم که هر ترافیک شبکه ای که از Honeypot خارج شده و یا به آن وارد می شود، باید تحت عنوان ترافیک مشکوک یا خرابکار برچسب بخورد. تجزیه ترافیک ثبت شده از طریق فایروال و استخراج اطلاعات سودمند از آن، می تواند کاری خسته کننده باشد. بسته به نوع فایروالی که برای پروژه هانی‌نت مورد استفاده قرار می دهید، برخی فایروال ها امکان ارسال پیغام هشدار از طریق ایمیل را در موارد ارتباطات مشکوک فراهم می آورند، که این کار می تواند حجم داده‌هایی را که باید تجزیه کنید کاهش دهد. برای مثال، شما می توانید فایروال خود را طوری پیکربندی کنید که پیغام هشداری را در زمان ایجاد یک ارتباط FTP از راه دور صادر نماید. چرا که این نوع ارتباطات معمولا نشان دهنده این هستند که Honeypot شما مورد سوء استفاده قرار گرفته و فرد مهاجم در حال تلاش برای ایجاد ارتباط FTP است.

 

2- IDS 

 

سیستم های تشخیص نفوذ مانند Snort، یک سری اطلاعات اصلی در اختیار کاربران خود قرار داده و نیز بسته به کنسول مورد استفاده کاربر، قابلیت گروه بندی هشدارهای مشابه، گروه بندی انواع ترافیک شبکه، و گروه بندی وقایع به ترتیب زمانی و یا حتی شناسایی یک گروه از وقایع به عنوان یک هشدار واحد را دارا هستند.

سه دسته اطلاعات اصلی که یک IDS به کاربر خود ارائه می دهد به این شرح هستند: یک IDS زمانی که فعالیت مشکوکی توسط یک امضاء شناسایی شده باشد پیغام هشدار صادر می کند، بسته‌های فعالیت مشکوک ذخیره شده را جمع آوری می کند، و در نهایت نشست های ASCII یا داده‌های ASCII کشف شده در payload بسته را ثبت می کند.

یک نکته مهم که باید در هنگام تحلیل اطلاعات به دست آمده از لاگ های Snort به آن توجه کرد این است که باید لاگ های Snort را با لاگ های فایروال مقایسه کرد تا به این وسیله، لایه ای از اطمینان به نتایج کار افزوده گردد. معمولا زمانی که یک فرد مهاجم Honeypot ما را هدف قرار می دهد، سعی در ایجاد یک ارتباط از راه دور می کند که به سادگی قابل شناسایی است.

یک ابزار مفید که می تواند برای جمع آوری ترافیک IRC مورد استفاده قرار گیرد، ابزاری به نام privmsg.pl است. این ابزار که اطلاعات حساس را به سرعت و به طور موثر از نشست های چت IRC استخراج می کند، توسط Max Vision توسعه داده شده است. IRC یا Internet Relay Chat اغلب برای ارتباط بین هکرها در زمان نفوذ مورد استفاده قرار می گیرد، بنابراین شما باید به طور جدی هر ترافیک IRC را که به Honeypot شما وارد شده یا از آن خارج می شود، ثبت کنید.

 

3- لاگ های سیستم

 

بسته به نوع سیستم عامل مورد استفاده در Honeypot، تمامی فعالیت های سیستمی بر روی Honeypot شما به صورت محلی در یک فایل syslog (لاگ سیستمی) ثبت می شود. سیستم هایی مانند یونیکس، نسخه هایی از ویندوز مایکروسافت، و برخی سیستم عامل های دیگر، قابلیت ثبت تمامی فعالیت های سیستمی را که از طریق سیستم دیگری و از راه دور بر روی سیستم محلی انجام می شود دارا هستند. این قابلیت برای فهمیدن چگونگی دسترسی یک مهاجم به Honeypot، منبع حمله، انواع فعالیت سیستمی که می تواند مشکوک باشد مانند reboot ها، سرویس های متوقف شده یا آغاز شده، و حساب های غیرفعال شده یا ایجاد شده، بسیار مفید است. همچنین از آنجایی که این فعالیت سیستمی از راه دور ثبت می شود، ما می توانیم لاگ های سیستمی Honeypot را با لاگ های سرور دیگر مقایسه کنیم تا در صورتی که فرد مهاجم فایل های لاگ سیستمی موجود بر روی سیستم Honeypot محلی را حذف یا دستکاری کرده باشد، متوجه این موضوع شویم. همچنین این اطلاعات می تواند با اطلاعات ثبت شده در فایروال یا IDS نیز مقایسه گردد.

 

4- جرم شناسی سیستم قربانی

 

جرم شناسی (Forensics) تکنیک دیگری است که به ما اجازه می دهد تحلیل دقیق تری بر روی یک سیستم Honeypot انجام دهیم. ما می توانیم روال‌ها، فایل ها یا حتی ابزارهایی را که هکرهای کلاه سیاه ممکن است برای سوء استفاده از یک سیستم مورد استفاده قرار داده باشند، بازیابی کنیم. این کار به ما اجازه می دهد فعالیت مهاجم را بازسازی کرده یا حتی فعالیت خرابکارانه ای را که سایر روش های تحلیلی نتوانسته اند کشف کنند، کشف کرده و معرفی نماییم. برای انجام جرم شناسی بر روی یک سیستم Honeypot، باید کپی هایی از تصویر سیستم عامل را به عنوان ابزار مقایسه در آغاز روال بازیابی در اختیار داشته باشیم. یک راه معمول برای ساختن کپی های بایت به بایتاز سیستم عامل Honeypot ، استفاده از یک ابزار خط دستور معمولی به نام NetCat است. کپی کردن تصویر Honeypot ابتدا به وسیله ایجاد یک نمونه از NetCat که بر روی یک سیستم مورد اعتماد گوش نشسته است انجام می شود. برای مثال، دستور nc –l –p 5000 > Honeypot.hda1.dd، پورت شماره 5000 را برای گوش دادن بر روی سیستم مورد اعتماد باز می کند. سپس هر چیزی که به این پورت ارسال می شود در فایل Honeypot.hda1.dd ثبت می گردد. زمانی که سیستم مورد اعتماد در حال گوش دادن است، شما می توانید با دستور /partition/nc trusted_system 5000 –w 3 یک پارتیشن را از سیستمی که مورد سوء استفاده قرار گرفته کپی کنید و آن را به سیستم مورد اعتماد ارسال نمایید.

 

5- جرم شناسی پیشرفته سیستم قربانی

 

همانطور که قبلا هم اشاره شد، بازیابی داده‌ها یک بخش حساس و بسیار مهم از تحلیل فعالیت یک Honeypot است. اگر این Honeypot توسط یک مهاجم مورد سوء استفاده قرار گرفته باشد، آنگاه احتمال زیادی وجود دارد که وی برخی اطلاعات حساس را که در صورت بازیابی مهم باشند، پاک کرده باشد. هکرها اغلب سعی می کنند با حذف فایل هایی که برای دسترسی ایجاد شده اند یا فایل هایی که نشان دهنده مجرم بودن آنهاست، ردپای خود را بعد از سوء استفاده از یک سیستم پاک نمایند. بنابراین داشتن یک روش برای بازیابی فایل های حذف شده بسیار مهم است. ابزاری به نام icat این قابلیت را دارد که این فایل های حذف شده را بازیابی کند. همچنین یک گزینه پیشرفته به نام unrm، یک پارتیشن خاص را دریافت کرده و تمامی فضای حذف شده از آن پارتیشن را برای تحلیل های بعدی باز می گرداند.