Клиентская приманка

Honeypots — это устройства безопасности, ценность которых заключается в том, что их можно проверить и скомпрометировать. Традиционные приманки — это серверы (или устройства, предоставляющие серверные службы), которые пассивно ждут атаки. Клиентские приманки — это устройства активной безопасности, которые ищут вредоносные серверы, атакующие клиентов. Клиентский приманка выдает себя за клиента и взаимодействует с сервером, чтобы проверить, произошла ли атака. Часто клиентские приманки фокусируются на веб-браузерах, но любой клиент, взаимодействующий с серверами, может быть частью клиентской приманки (например, ftp , ssh, электронная почта и т. д.).

Существует несколько терминов, которые используются для описания клиентских приманок. Помимо клиентской приманки, которая является общей классификацией, общепринятым и общепринятым является термин Honeyclient. Однако здесь есть одна тонкость, поскольку «honeyclient» на самом деле является гомографом , который также может относиться к первой известной реализации приманки клиента с открытым исходным кодом (см. ниже), хотя это должно быть ясно из контекста.

Клиентский приманка состоит из трех компонентов. Первый компонент — очередь — отвечает за создание списка серверов, которые клиент может посетить. Этот список можно создать, например, с помощью сканирования. Второй компонент — это сам клиент, который может отправлять запросы к серверам, указанным в очереди. После того, как взаимодействие с сервером произошло, третий компонент — механизм анализа — отвечает за определение того, произошла ли атака на клиентский приманку.

В дополнение к этим компонентам клиентские приманки обычно оснащены какой-либо стратегией сдерживания, предотвращающей распространение успешных атак за пределы клиентской приманки. Обычно это достигается за счет использования брандмауэров и песочниц виртуальных машин.

Аналогично традиционным серверным приманкам, клиентские приманки в основном классифицируются по уровню взаимодействия: высокий или низкий; который обозначает уровень функционального взаимодействия, который сервер может использовать с клиентской приманкой. В дополнение к этому существуют также новые гибридные подходы, которые подразумевают использование методов обнаружения как с высоким, так и с низким уровнем взаимодействия.

Клиентские приманки с высоким уровнем взаимодействия представляют собой полнофункциональные системы, сравнимые с реальными системами с реальными клиентами. Таким образом, для клиентских приманок с высоким уровнем взаимодействия не существует никаких функциональных ограничений (кроме стратегии сдерживания). Атаки на приманки клиентов с высоким уровнем взаимодействия обнаруживаются путем проверки состояния системы после взаимодействия с сервером. Обнаружение изменений в клиентском приманке может указывать на возникновение атаки, которая использовала уязвимость клиента. Примером такого изменения является наличие нового или измененного файла.

Клиентские приманки с высоким уровнем взаимодействия очень эффективны при обнаружении неизвестных атак на клиентов. Однако компромиссом за такую ​​точность является снижение производительности из-за количества состояний системы, которые необходимо отслеживать для оценки атаки. Кроме того, этот механизм обнаружения подвержен различным формам обхода с помощью эксплойта. Например, атака может задержать немедленный запуск эксплойта (бомбы замедленного действия) или может сработать при определенном наборе условий или действий ( логические бомбы ). Поскольку не произошло немедленного, обнаруживаемого изменения состояния, клиентский приманка, скорее всего, ошибочно классифицирует сервер как безопасный, даже если он успешно выполнил атаку на клиента. Наконец, если клиентские приманки работают на виртуальных машинах, эксплойт может попытаться обнаружить присутствие виртуальной среды и перестать срабатывать или вести себя иначе.

Захватывать ^[1] — это клиентская приманка с высоким уровнем взаимодействия, разработанная исследователями из Университета Виктории в Веллингтоне, Новая Зеландия. Capture во многом отличается от существующих клиентских приманок. Во-первых, он создан для быстрой работы. Изменения состояния обнаруживаются с использованием модели, основанной на событиях, позволяющей реагировать на изменения состояния по мере их возникновения. Во-вторых, Capture спроектирован так, чтобы его можно было масштабировать. Центральный сервер Capture может контролировать множество клиентов в сети. В-третьих, Capture должен стать платформой, позволяющей использовать разных клиентов. Первоначальная версия Capture поддерживает Internet Explorer, но текущая версия поддерживает все основные браузеры (Internet Explorer, Firefox, Opera, Safari), а также другие клиентские приложения, поддерживающие HTTP, такие как офисные приложения и медиаплееры.

HoneyClient ^[2] — это клиентская приманка с высоким уровнем взаимодействия на базе веб-браузера (IE/FireFox), разработанная Кэти Ванг в 2004 году и впоследствии разработанная в MITRE . Это была первая клиентская приманка с открытым исходным кодом, представляющая собой смесь Perl, C++ и Ruby. HoneyClient основан на состоянии и обнаруживает атаки на клиентов Windows, отслеживая файлы, события процесса и записи реестра. Для выполнения этого обнаружения в него интегрирована программа проверки целостности Capture-HPC в реальном времени. HoneyClient также содержит сканер, поэтому ему можно задать список начальных URL-адресов, с которых нужно начать, а затем продолжить просматривать веб-сайты в поисках вредоносного ПО на стороне клиента.

HoneyMonkey ^[3] — это клиентская приманка с высоким уровнем взаимодействия на основе веб-браузера (IE), реализованная Microsoft в 2005 году. Она недоступна для загрузки. HoneyMonkey основан на состоянии и обнаруживает атаки на клиентов, отслеживая файлы, реестр и процессы. Уникальной особенностью HoneyMonkey является многоуровневый подход к взаимодействию с серверами с целью выявления эксплойтов нулевого дня. HoneyMonkey изначально сканирует Интернет с уязвимой конфигурацией. После выявления атаки сервер повторно проверяется с полностью исправленной конфигурацией. Если атака все же обнаружена, можно сделать вывод, что атака использует эксплойт, для которого еще не опубликовано ни одного патча, и поэтому она весьма опасна.

Шелия ^[4] — это клиентская приманка с высоким уровнем взаимодействия, разработанная Джоан Роберт Рокаспана из Vrije Universiteit Amsterdam. Он интегрируется с программой чтения электронной почты и обрабатывает каждое полученное электронное письмо (URL-адреса и вложения). В зависимости от типа полученного URL-адреса или вложения он открывает другое клиентское приложение (например, браузер, офисное приложение и т. д.). Он отслеживает, выполняются ли исполняемые инструкции в области данных памяти (что указывает на срабатывание эксплойта переполнения буфера). . Благодаря такому подходу SHELIA не только способна обнаруживать эксплойты, но и фактически предотвращать их срабатывание.

Спайкраулер ^[5] Разработанный в Вашингтонском университете, это еще один высокоинтерактивный клиентский приманка на базе браузера (Mozilla), разработанный Мощуком и др. в 2005 году. Эта клиентская приманка недоступна для загрузки. Spycrawler основан на состоянии и обнаруживает атаки на клиентов, отслеживая файлы, процессы, реестр и сбои браузера. Механизм обнаружения шпионских сканеров основан на событиях. Кроме того, это увеличивает время виртуальной машины, в которой работает Spycrawler, чтобы преодолеть (или, скорее, уменьшить воздействие) бомб замедленного действия.

ВЭФ ^[6] представляет собой реализацию автоматической загрузки при загрузке – обнаружение в виртуализированной среде, разработанную Томасом Мюллером, Бенджамином Маком и Мехметом Арзиманом, тремя студентами Высшей школы медицины (HdM) в Штутгарте, во время летнего семестра 2006 года. ВЭФ может использоваться в качестве активной сети HoneyNet с полной архитектурой виртуализации для отката скомпрометированных виртуализированных машин.

Клиентские приманки с низким уровнем взаимодействия отличаются от клиентских приманок с высоким уровнем взаимодействия тем, что они не используют всю реальную систему, а скорее используют облегченные или моделируемые клиенты для взаимодействия с сервером. (в мире браузеров они похожи на веб-сканеры). Ответы серверов проверяются непосредственно, чтобы определить, имела ли место атака. Это можно сделать, например, проверив ответ на наличие вредоносных строк.

Клиентские приманки с низким уровнем взаимодействия легче развертывать и эксплуатировать, чем клиентские приманки с высоким уровнем взаимодействия, а также они работают лучше. Однако они, скорее всего, будут иметь более низкий уровень обнаружения, поскольку клиентскому приманке необходимо знать об атаках, чтобы он мог их обнаружить; новые атаки, скорее всего, останутся незамеченными. Они также страдают от проблемы обхода с помощью эксплойтов, которая может усугубляться из-за их простоты, что облегчает эксплойту обнаружение присутствия клиентской приманки.

ХаниС ^[7] — это клиентская приманка с низким уровнем взаимодействия, разработанная в Веллингтонском университете Виктории Кристианом Зейфертом в 2006 году. HoneyC — это независимая от платформы платформа с открытым исходным кодом, написанная на Ruby. В настоящее время он концентрируется на использовании симулятора веб-браузера для взаимодействия с серверами. Вредоносные серверы обнаруживаются путем статической проверки ответа веб-сервера на наличие вредоносных строк с помощью сигнатур Snort.

Обезьяна-Паук ^[8] — это клиентская приманка с низким уровнем взаимодействия, первоначально разработанная в Университете Мангейма Али Икинчи. Monkey-Spider — это клиентская приманка на основе сканера, изначально использующая антивирусные решения для обнаружения вредоносного ПО. Утверждается, что он быстрый и расширяемый с помощью других механизмов обнаружения. Работа началась с дипломной работы, была продолжена и выпущена как свободное программное обеспечение под лицензией GPL .

ФониС ^[9] — это клиент с низким уровнем взаимодействия, разработанный Хосе Назарио. PhoneyC имитирует законные веб-браузеры и может распознавать динамический контент, деобфусцируя вредоносный контент для обнаружения. Кроме того, PhoneyC эмулирует определенные уязвимости, чтобы точно определить вектор атаки. PhoneyC — это модульная платформа, которая позволяет изучать вредоносные HTTP-страницы и понимает современные уязвимости и методы злоумышленников.

Шпион пока ^[10] — это клиентская приманка с низким уровнем взаимодействия, разработанная Нильсом Провосом . SpyBye позволяет веб-мастеру определить, является ли веб-сайт вредоносным, с помощью набора эвристик и сканирования контента с помощью механизма ClamAV.

бандит ^[11] — это клиентская приманка с низким уровнем взаимодействия, разработанная Анджело Делл'Аэра. Thug имитирует поведение веб-браузера и ориентирован на обнаружение вредоносных веб-страниц. Инструмент использует движок Google V8 Javascript и реализует собственную объектную модель документа (DOM). Наиболее важными и уникальными особенностями Thug являются: модуль обработки элементов управления ActiveX (модуль уязвимостей) и статический + динамический возможности анализа (с использованием абстрактного синтаксического дерева и анализатора шеллкода Libemu). Thug написан на Python под лицензией GNU General Public License.

YALIH (еще один медовый клиент с низким уровнем взаимодействия) ^[12] — это клиентская приманка с низким уровнем взаимодействия, разработанная Масудом Мансури из отделения Honeynet Университета Виктории в Веллингтоне, Новая Зеландия, и предназначенная для обнаружения вредоносных веб-сайтов с помощью методов сопоставления сигнатур и шаблонов. YALIH имеет возможность собирать подозрительные URL-адреса из баз данных вредоносных веб-сайтов, Bing API, папки «Входящие» и папки «СПАМ» через протоколы POP3 и IMAP. Он может выполнять извлечение Javascript, деобфускацию и деминификацию скриптов, встроенных в веб-сайт, а также эмулировать реферер, агенты браузера и обрабатывать перенаправление, файлы cookie и сеансы. Его агент посетителей способен получать веб-сайт из нескольких мест, чтобы обойти атаки с использованием географического местоположения и маскировки IP. YALIH также может генерировать автоматические сигнатуры для обнаружения вариантов атаки. YALIH доступен как проект с открытым исходным кодом.

миниС ^[13] — это клиентская приманка с низким уровнем взаимодействия, основанная на ретривере wget и движке Yara. Он разработан, чтобы быть легким, быстрым и подходящим для поиска большого количества веб-сайтов. miniC позволяет устанавливать и моделировать реферер, пользовательский агент, Accept_language и несколько других переменных. miniC был разработан новозеландским отделением Honeynet Веллингтонского университета Виктории.

Гибридные клиентские приманки сочетают в себе клиентские приманки с низким и высоким уровнем взаимодействия, чтобы получить преимущества обоих подходов.

Медовый Паук ^[14] Сеть представляет собой гибридную клиентскую приманку, разработанную совместным предприятием NASK/CERT Polska и GOVCERT.NL [ nl ] ^[1] и СЕРФнет . ^[2] Целью проекта является разработка полноценной системы клиентских ловушек на основе существующих решений клиентских ловушек и сканера, специально предназначенного для массовой обработки URL-адресов.

• Ян Гёбель, Андреас Девальд, Клиентские приманки: исследование вредоносных веб-сайтов , Oldenbourg Verlag 2010, ISBN   978-3-486-70526-3 , эта книга на Amazon.

• М. Эгеле, П. Вурцингер, К. Крюгель и Э. Кирда, Защита браузеров от попутных загрузок: смягчение атак путем внедрения кода с помощью распыления кучи, Secure Systems Lab, 2009, стр. Доступно на iseclab.org , по состоянию на 15 мая 2009 г.
• Файнштейн, Бен. Caffeine Monkey: автоматизированный сбор, обнаружение и анализ JavaScript. Блэкхэт США. Лас-Вегас, 2007 год.
• Икинчи А., Хольц Т., Фрейлинг Ф.К.: Monkey-Spider: обнаружение вредоносных веб-сайтов с помощью медовых клиентов с низким уровнем взаимодействия . Sicherheit 2008: 407-421. Архивировано 2 января 2013 г. в Wayback Machine .
• Мощук А., Брагин Т., Гриббл С.Д. и Леви Х.М. Исследование шпионского ПО в сети с помощью краулеров . На 13-м ежегодном симпозиуме по безопасности сетей и распределенных систем (NDSS). Сан-Диего, 2006. Интернет-сообщество .
• Провос Н., Хольц Т. Виртуальные приманки: от отслеживания ботнетов к обнаружению вторжений . Аддисон-Уэсли. Бостон, 2007.
• Провос Н., Мавромматис П., Абу Раджаб М., Монроуз Ф. Все ваши iFRAME указывают на нас . Технический отчет Google. Гугл, Инк., 2008 г.
• Провос Н., МакНэми Д., Мавромматис П., Ван К., Модадугу Н. Призрак в браузере: анализ вредоносных программ в Интернете . Материалы HotBots 2007 года. Кембридж, апрель 2007 г. USENIX.
• Зайферт К., Эндикотт-Поповски Б., Фринк Д. , Комисарчук П., Мушевич Р. и Уэлч И., Обоснование необходимости протоколов, готовых к криминалистической экспертизе: пример выявления вредоносных веб-серверов с использованием клиента Приманки. на 4-й ежегодной Международной конференции IFIP WG 11.9 по цифровой криминалистике, Киото, 2008 г.
• Зайферт, К. Знай своего врага: за кулисами вредоносных веб-серверов. Проект Honeynet. 2007.
• Зайферт К., Комисарчук П. и Уэлч И. Применение парадигмы алгоритма «разделяй и властвуй» для повышения скорости обнаружения клиентских ловушек с высоким уровнем взаимодействия . 23-й ежегодный симпозиум ACM по прикладным вычислениям. Сеара, Бразилия, 2008 г.
• Зайферт К., Стинсон Р., Хольц Т., Юань Б., Дэвис М.А. Знай своего врага: вредоносные веб-серверы . Проект Honeynet. 2007 г. (доступно на сайте Honeynet.org ).
• Зайферт К., Уэлч И. и Комисарчук П. HoneyC: Клиентская приманка с низким уровнем взаимодействия . Материалы NZCSRCS 2007 года. Университет Вайкато , Гамильтон, Новая Зеландия. Апрель 2007 года.
• К. Зайферт, В. Делвадия, П. Комисарчук, Д. Стирлинг и И. Уэлч, Исследование измерения вредоносных веб-серверов в домене .nz, на 14-й Австралазийской конференции по информационной безопасности и конфиденциальности (ACISP), Брисбен, 2009 г.
• К. Зейферт, П. Комисарчук и И. Уэлч, Истинно положительная кривая затрат: метод оценки на основе затрат для клиентских приманок с высоким уровнем взаимодействия, в SECURWARE, Афины, 2009 г.
• К. Зайферт, П. Комисарчук и И. Уэлч, Идентификация вредоносных веб-страниц с помощью статической эвристики, на Австралазийской конференции по телекоммуникационным сетям и приложениям, Аделаида, 2008 г.
• Мате, Тейс, Верден, Алекс. Honeyclients — метод обнаружения с низким уровнем взаимодействия. Технический отчет. Университет Амстердама. Февраль 2008 года.
• Ван Ю.-М., Бек Д., Цзян Х., Руссев Р., Вербовски К., Чен С. и Кинг С. Автоматизированный веб-патруль с помощью Strider HoneyMonkeys: поиск веб-сайтов, использующих браузер Уязвимости . На 13-м ежегодном симпозиуме по безопасности сетей и распределенных систем (NDSS). Сан-Диего, 2006. Интернет-сообщество.
• Чжугэ, Цзяньвэй, Хольц, Торстен, Го, Цзиньпэн, Хань, Синьхуэй, Цзоу, Вэй. Изучение вредоносных веб-сайтов и теневой экономики в китайской сети . Материалы семинара по экономике информационной безопасности 2008 г. Ганновер, июнь 2008 г.

• Презентация компании Websense об их инфраструктуре Honeyclient и следующем поколении Honeyclients, над которыми они сейчас работают; Апрель 2008 г. на RSA-2008.
• Проект Honeynet
• Виртуальные клеевые маршруты (на немецком языке)
• Видео презентации Client Honeypot Майкла Дэвиса на выставке HITB 2006
• Видео презентации HoneyClient Кэти Ванг на выставке Recon 2005
• Видео презентации Вольфгартена на конференции CCC

• ^ https://web.archive.org/web/20100131222145/https://projects.honeynet.org/capture-hpc
• ^ https://web.archive.org/web/20071204172932/http://handlers.dshield.org/rdanford/pub/2nd_generation_honeyclients.ppt
• ^ https://web.archive.org/web/20100131222101/https://projects.honeynet.org/honeyc/
• ^ https://archive.today/20070410162806/http://www.honeyclient.org/trac.
• ^ https://web.archive.org/web/20180430012758/http://www.honeyspider.net/
• ^ http://monkeyspider.sourceforge.net/
• ^ https://code.google.com/p/phoneyc/
• ^ https://github.com/buffer/thug
• ^ http://www.cs.vu.nl/~herbertb/misc/shelia/
• ^ http://www.spybye.org/
• ^ https://web.archive.org/web/20070322205829/http://www.xnos.org/security/overview.html .
• ^ https://web.archive.org/web/20100220013531/http://code.mwcollect.org/
• ^ http://nz-honeynet.org
• ^ https://github.com/masood-m/yalih
• ^ https://github.com/Masood-M/miniC