Analyzing hacker activities in honey pots
description
Transcript of Analyzing hacker activities in honey pots
![Page 1: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/1.jpg)
Analyzing hacker activities in honey pots
אלכסיי גורבטובסקישמעון קמה
מנחה: עמיחי שולמן
(236349)פרויקט באבטחת מידע
03/09/2012
![Page 2: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/2.jpg)
Honey pots
•Honeypotהינו שרת שנועד למשוך תוקפים במטרה ללמוד את טכניקות הפעולה שלהם. 2
![Page 3: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/3.jpg)
Secretו- TOR רשת
הינה רשת שנועדה לספק אנונימיות ואבטחה •באינטרנט.
כלשהו. שרת זה Torמשתמש מתחבר לשרת •מתחבר
נוסף באופן רנדומלי, וכן הלאה.Torבתורו לשרת התעבורה מנותבת במסלול אקראי ומוצפן.• Exit הינה תוכנה היושבת ב-Secretמערכת ה-•
node העוברות Http ואוספת בקשות Torבשרשרת
בשרת:3 בקשות ביממה.60,000כ-
![Page 4: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/4.jpg)
בסיסית HTTP טרמינולגיית
www.example.com/pages/login.php?user=John12
host url http parameters
HTTP headers
(.name, valueקבוצה של זוגות )•
.HTTP request/resonseנשלחים עם כל •
4
![Page 5: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/5.jpg)
Secret
5
![Page 6: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/6.jpg)
מטרות
למידת דרכי הפעולה של תוקפים▪יעדים איכותיים?–התקפות נפוצות?–
זיהוי אפקטיבי של תעבורה זדוניתאבחנה בין תעבורה זדונית ללגיטימיתזיהוי מטרת ההתקפהמכנה משותףמידת ההצלחה
6
![Page 7: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/7.jpg)
SQL Injection
לשדה קלט SQLמתבצעת על-ידי הכנסת שאילתת •מהמשתמש.
התקפה מוצלחת עשויה:•(.SELECT)למשל ע"י לחשוף מידע רגיש –(.DELETE ו-UPDATE, INSERT)לגרום לשינויים במסד הנתונים –
7
![Page 8: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/8.jpg)
דוגמא לקוד לא בטוח
באופן דינמי:SQLהקוד בונה שאילתת •Query = "SELECT * FROM users WHERE name = '" + username + "';"
SQL Injection
:usernameהמשתמש מכניס ל-•
a'; DROP TABLE users; SELECT * FROM users WHERE '1'='1
:השאילתא שתתקבל•
SELECT * FROM users WHERE name='a'; DROP TABLE users; SELECT * FROM users WHERE '1'='1';
8
![Page 9: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/9.jpg)
.http://www.vvocm.nl/client/contactאתר הולנדי- •
User שהוזרקו לשדה ה-SQL שאילתות 10•
Agent 5.4 שניות )אירוע כל 54בפרק זמן של
שניות(.
9
![Page 10: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/10.jpg)
השאילתא sqlmap/1.0-dev (r4766) (http://www.sqlmap.org)' AND 4585=IF((ORD(MID((SELECT DISTINCT(IFNULL(CAST(schema_name AS CHAR),0x20)) FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 0,1),6,1))>96),SLEEP(11),4585) AND 'Cjeo'='Cjeo
ההבדל מאירוע לאירוע- במספר המסומן )מימין •לשמאל(:
112 ,120 ,116 ,114 ,113 ,114 ,!=64 ,96 ,112 ,104 .
10 מה ניתן ללמוד מהשאילתא? •
![Page 11: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/11.jpg)
ולא כערך של User Agentזו מופיעה ב- SQLמדוע הזרקת , כמו ברוב המתקפות מסוג זה?HTTPפרמטר
של משתמשים User Agents האתר עשוי לשמור •במסד
הנתונים שלו.
זדונית שהושתלה במסד הנתונים של SQL שאילתת •האתר
עלולה להוציא ממנו מידע רגיש )לקוחות, חשבונות בנק...(.
11
![Page 12: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/12.jpg)
Directory Traversal
מתקפה בה גורם זדוני מנצל פרצה במערכת הרשאות
הקבצים באתר מסויים:
האתר מצפה לקבל קלט המהווה נתיב לקובץ.•התוקף מזין נתיב לקובץ בשרת, שלמשתמש לא •
אמורה להיות גישה אליו.
עם קצת מזל- הגישה מתאפשרת.•
12
![Page 13: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/13.jpg)
דוגמא לקוד לא בטוח
קוד שרת: <?php$template = 'red.php';if (isset($_COOKIE['TEMPLATE'])) $template = $_COOKIE['TEMPLATE'];include ("/home/users/phpguru/templates/". $template);?>
Directory Traversal
קוד משתמש: GET /vulnerable.php HTTP/1.0Cookie: TEMPLATE=../../../../../../../../../etc/passwd
13
![Page 14: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/14.jpg)
produkte.embedded-projects.net/index.phpאתר גרמני- •
.
שניות 53 אירועים בפרק זמן של דקה ו-79•
שניות.1.4אירוע כל •
14
![Page 15: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/15.jpg)
Eu6EPhgd
/etc/passwd
/etc/passwd
%00
/../etc/passwd/../etc/passwd%00
/../../etc/passwd
/../../etc/passwd
%00
moduleהשם הראשון נראה •
לגיטימי.
השאר- מרמזים על פניה •
.Unixלקובץ הסיסמאות ב-
מבדיקה שלנו- מוצג עמוד•
שגיאה עבור הקלט הנ"ל.
15
![Page 16: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/16.jpg)
null byteטכניקת ה-ברוב המקרים, בעל האתר יעדיף להוסיף סיומת בעצמו:•
www.example.com/index.php?p=newswww.example.com/index.php?p=news.php
.0\המתפרש ל-, %00ניתן לעקוף את המגבלה על-ידי •
נזרק: 0\כמו במחרוזת רגילה- כל הקטע אחרי •
/../../etc/passwd%00.php
16
![Page 17: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/17.jpg)
דרכי התגוננות
שמירת כל הדפים בתיקיה אחת, הרשאות רק אליה.•
•Parser ,/ :%00-ים למחיקת תווים בעייתים מהקלט
:dynamic includeלא להשתמש ב-•
<?php include($_GET['page']);?>
קוד חלופי: if ($_GET['page']==“news”) {include(“news.php”);}
else {include (“main.php”);}
17
![Page 18: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/18.jpg)
1 Eu6EPhgd
2 /etc/passwd
3 /etc/passwd%00
4 /../etc/passwd
…
43 ..//etc/passwd
44 ..//etc/passwd%00
45 ../..//etc/passwd
46 ../..//etc/passwd%00
, אך Unix כפולים מותרים ב-// •
Unix.מתעלמת מהם
/home////user//desktop /home/user/desktop שקול :ל
/ כפול, מכשיל במקרים •מסוימים פילטרים לזיהוי
המתקפה:
)/..(+{word{/(}word*)}18
![Page 19: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/19.jpg)
מסקנותמחרוזות ארוכות - התוקף לא מצליח במתקפה.•
ההתקפה מדגישה את החשיבות של בדיקת קלט •
מהמשתמש.לא מסתמכים על שכבת הגנה אחת.•
str_replace("../", '', ($_GET['page']))
צמצום שטח ההתקפה- מתן הרשאות מינימאליות.•
מנגנון לניטור קצב הגעת חבילות- פתרון?•
19
![Page 20: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/20.jpg)
חיפוש דומיינים
התקפה משולבת באמצעות•שלושה אתרים:
–Web Archive.–Yahoo Site Explorer.–Google.
אירועים 2435מעל •המתפרשים על פני חודש.
20
![Page 21: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/21.jpg)
Web Archive
21
![Page 22: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/22.jpg)
Yahoo Site Explorer
השירות אינו פעיל כמעט שנה.•
מדוע לבצע גישות לאתר שאינו פעיל כבר זמן ממושך?•
22
![Page 23: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/23.jpg)
תיאור המתקפה
שלושה סוגי אירועים סמוכים שנקלטו במערכת:•site:xn--sklepdziecicy-s0b.plחיפוש בגוגל על הערך – עם הערךYahoo Site Explorerגישה ל-–
http://xn--sklepdziecicy-s0b.pl.כפרמטר :URL ל-web.archive.orgגישה ל-–
/web/*/www.xn--sklepdziecicy-s0b.pl .
רוב הדומיינים שזיהינו פנויים ועומדים למכירה.•
23
![Page 24: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/24.jpg)
השערה ראשונה
מניפולציה על מנועי חיפוש:•.PageRankמנוע החיפוש של גוגל עובד בשיטת –נרצה שהאתר שלנו יוצבע ע"י אתר אחר בעל דירוג גבוה.– נעריך כמה זמן האתר פעיל.Web Archiveבעזרת – נקבל הערכה לדירוג שלו.Yahoo Site Explorerבעזרת –בעזרת גוגל נדע כמה דפים מהאתר מאונדקסים.–
ברגע שנמצא דומיין "אטרקטיבי" נקנה אותו ונפרסם בו –לינקים לדומיין שלנו.
24
![Page 25: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/25.jpg)
השערה שנייה
:Phishingחיפוש דומיינים ל-•התחזות לאתר כדי לגנוב פרטים מהמשתמש.–
התהליך:• לדומיין visual similarityהתוקף קונה דומיין בעל –
המקורי.•evample.com-דומה ל example.com.
התוקף מקים אתר בעל ממשק זהה לאתר המקורי.–התוקף מפיץ את האתר שלו, ומתיימר להיות האתר –
האמיתי.
25
![Page 26: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/26.jpg)
מסקנות ותוצאות
:SQL Injectionההתקפה הנפוצה ביותר היא •
26
![Page 27: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/27.jpg)
מסקנות ותוצאות
יעד התקיפה הנפוץ ביותר הוא ארה"ב.•בעיקר אתרים•
חברתיים ואתרי עסקים פרטיים.
27
![Page 28: Analyzing hacker activities in honey pots](https://reader035.fdocuments.in/reader035/viewer/2022062218/56815b46550346895dc92141/html5/thumbnails/28.jpg)
מסקנות ותוצאות
המערכת מספקת כלי טוב להתבוננות בתעבורה.•המערכת אפשרה לנו למצוא מספר רב של התקפות אך •
עדיין חלק גדול מהתעבורה לא נותח.אוטומאציה של התהליך•
הגדרת פילטרים למציאת התקפות נפוצות.–בניית רשימה שחורה של אתרים המהווים חממה –
לתוקפים.טוב בתור סינון ראשוני של תעבורה.–יזהה רק בהתקפות מוכרות ותבניתיות.–
28