پیش از این در چهار مقاله «Honeypot چیست؟»، «انواع Honeypot»، «كاربردهای Honeypot ها» و «مكانیزمهای جمع آوری اطلاعات در Honeypot ها» به معرفی اجمالی Honeypot ها، كاربردهای این سیستمها و روشهای جمع آوری اطلاعات در این سیستمها پرداختیم. در این مقاله مكانیزمهای مختلف تحلیل اطلاعات در Honeypot ها را مورد بررسی قرار خواهیم داد.
Honeypot ها در كشف فعالیتهای هكرهای كلاه سیاه بسیار موثر عمل میكنند. پتانسیل حقیقی یك Honeypot فقط زمانی كاملا به كار گرفته میشود كه داده های مربوط به این فعالیتها به اطلاعات ارزشمندی تبدیل شوند. برای این منظور، باید یك روال برای جمع آوری این داده ها و ایجاد ارتباط بین آنها و ابزارها، تاكتیكها و انگیزه های هكرهای كلاه سیاه وجود داشته باشد. چنین روالی تحلیل داده ها نامیده میشود. این روال یكی از پر چالش ترین و زمانبرترین بخشهای كار است. در ادامه این مطلب، برخی از روشها و تكنیكهای موفق مورد استفاده برای این كار توضیح داده خواهند شد.
1- لاگ های فایروال
فایروالها میتوانند در تحلیل ارتباطات ورودی و خروجی Honeypot مفید باشند. میدانیم كه هر ترافیك شبكه ای كه از Honeypot خارج شده و یا به آن وارد میشود، باید تحت عنوان ترافیك مشكوك یا خرابكار برچسب بخورد. تجزیه ترافیك ثبت شده از طریق فایروال و استخراج اطلاعات سودمند از آن، میتواند كاری خسته كننده باشد. بسته به نوع فایروالی كه برای پروژه هانینت مورد استفاده قرار میدهید، برخی فایروالها امكان ارسال پیغام هشدار از طریق ایمیل را در موارد ارتباطات مشكوك فراهم می آورند، كه این كار میتواند حجم دادههایی را كه باید تجزیه كنید كاهش دهد. برای مثال، شما میتوانید فایروال خود را طوری پیكربندی كنید كه پیغام هشداری را در زمان ایجاد یك ارتباط FTP از راه دور صادر نماید. چرا كه این نوع ارتباطات معمولا نشان دهنده این هستند كه Honeypot شما مورد سوء استفاده قرار گرفته و فرد مهاجم در حال تلاش برای ایجاد ارتباط FTP است.
2- IDS
سیستمهای تشخیص نفوذ مانند Snort، یك سری اطلاعات اصلی در اختیار كاربران خود قرار داده و نیز بسته به كنسول مورد استفاده كاربر، قابلیت گروه بندی هشدارهای مشابه، گروه بندی انواع ترافیك شبكه، و گروه بندی وقایع به ترتیب زمانی و یا حتی شناسایی یك گروه از وقایع به عنوان یك هشدار واحد را دارا هستند.
سه دسته اطلاعات اصلی كه یك IDS به كاربر خود ارائه میدهد به این شرح هستند: یك IDS زمانی كه فعالیت مشكوكی توسط یك امضاء شناسایی شده باشد پیغام هشدار صادر میكند، بستههای فعالیت مشكوك ذخیره شده را جمع آوری میكند، و در نهایت نشستهای ASCII یا دادههای ASCII كشف شده در payload بسته را ثبت میكند.
یك نكته مهم كه باید در هنگام تحلیل اطلاعات به دست آمده از لاگهای Snort به آن توجه كرد این است كه باید لاگهای Snort را با لاگهای فایروال مقایسه كرد تا به این وسیله، لایه ای از اطمینان به نتایج كار افزوده گردد. معمولا زمانی كه یك فرد مهاجم Honeypot ما را هدف قرار میدهد، سعی در ایجاد یك ارتباط از راه دور میكند كه به سادگی قابل شناسایی است.
یك ابزار مفید كه میتواند برای جمع آوری ترافیك IRC مورد استفاده قرار گیرد، ابزاری به نام privmsg.pl است. این ابزار كه اطلاعات حساس را به سرعت و به طور موثر از نشستهای چت IRC استخراج میكند، توسط Max Vision توسعه داده شده است. IRC یا Internet Relay Chat اغلب برای ارتباط بین هكرها در زمان نفوذ مورد استفاده قرار میگیرد، بنابراین شما باید به طور جدی هر ترافیك IRC را كه به Honeypot شما وارد شده یا از آن خارج میشود، ثبت كنید.
3- لاگ های سیستم
بسته به نوع سیستم عامل مورد استفاده در Honeypot، تمامی فعالیتهای سیستمی بر روی Honeypot شما به صورت محلی در یك فایل syslog (لاگ سیستمی) ثبت میشود. سیستمهایی مانند یونیكس، نسخه هایی از ویندوز مایكروسافت، و برخی سیستم عاملهای دیگر، قابلیت ثبت تمامی فعالیتهای سیستمی را كه از طریق سیستم دیگری و از راه دور بر روی سیستم محلی انجام میشود دارا هستند. این قابلیت برای فهمیدن چگونگی دسترسی یك مهاجم به Honeypot، منبع حمله، انواع فعالیت سیستمی كه میتواند مشكوك باشد مانند reboot ها، سرویسهای متوقف شده یا آغاز شده، و حسابهای غیرفعال شده یا ایجاد شده، بسیار مفید است. همچنین از آنجایی كه این فعالیت سیستمی از راه دور ثبت میشود، ما میتوانیم لاگهای سیستمی Honeypot را با لاگهای سرور دیگر مقایسه كنیم تا در صورتی كه فرد مهاجم فایلهای لاگ سیستمی موجود بر روی سیستم Honeypot محلی را حذف یا دستكاری كرده باشد، متوجه این موضوع شویم. همچنین این اطلاعات میتواند با اطلاعات ثبت شده در فایروال یا IDS نیز مقایسه گردد.
4- جرم شناسی سیستم قربانی
جرم شناسی (Forensics) تكنیك دیگری است كه به ما اجازه میدهد تحلیل دقیقتری بر روی یك سیستم Honeypot انجام دهیم. ما میتوانیم روالها، فایلها یا حتی ابزارهایی را كه هكرهای كلاه سیاه ممكن است برای سوء استفاده از یك سیستم مورد استفاده قرار داده باشند، بازیابی كنیم. این كار به ما اجازه میدهد فعالیت مهاجم را بازسازی كرده یا حتی فعالیت خرابكارانه ای را كه سایر روشهای تحلیلی نتوانسته اند كشف كنند، كشف كرده و معرفی نماییم. برای انجام جرم شناسی بر روی یك سیستم Honeypot، باید كپیهایی از تصویر سیستم عامل را به عنوان ابزار مقایسه در آغاز روال بازیابی در اختیار داشته باشیم. یك راه معمول برای ساختن كپیهای بایت به بایتاز سیستم عامل Honeypot ، استفاده از یك ابزار خط دستور معمولی به نام NetCat است. كپی كردن تصویر Honeypot ابتدا به وسیله ایجاد یك نمونه از NetCat كه بر روی یك سیستم مورد اعتماد گوش نشسته است انجام میشود. برای مثال، دستور nc –l –p 5000 > Honeypot.hda1.dd، پورت شماره 5000 را برای گوش دادن بر روی سیستم مورد اعتماد باز میكند. سپس هر چیزی كه به این پورت ارسال میشود در فایل Honeypot.hda1.dd ثبت میگردد. زمانی كه سیستم مورد اعتماد در حال گوش دادن است، شما میتوانید با دستور /partition/nc trusted_system 5000 –w 3 یك پارتیشن را از سیستمی كه مورد سوء استفاده قرار گرفته كپی كنید و آن را به سیستم مورد اعتماد ارسال نمایید.
5- جرم شناسی پیشرفته سیستم قربانی
همانطور كه قبلا هم اشاره شد، بازیابی دادهها یك بخش حساس و بسیار مهم از تحلیل فعالیت یك Honeypot است. اگر این Honeypot توسط یك مهاجم مورد سوء استفاده قرار گرفته باشد، آنگاه احتمال زیادی وجود دارد كه وی برخی اطلاعات حساس را كه در صورت بازیابی مهم باشند، پاك كرده باشد. هكرها اغلب سعی میكنند با حذف فایلهایی كه برای دسترسی ایجاد شده اند یا فایلهایی كه نشان دهنده مجرم بودن آنهاست، ردپای خود را بعد از سوء استفاده از یك سیستم پاك نمایند. بنابراین داشتن یك روش برای بازیابی فایلهای حذف شده بسیار مهم است. ابزاری به نام icat این قابلیت را دارد كه این فایلهای حذف شده را بازیابی كند. همچنین یك گزینه پیشرفته به نام unrm، یك پارتیشن خاص را دریافت كرده و تمامی فضای حذف شده از آن پارتیشن را برای تحلیلهای بعدی باز میگرداند.