مكانیزمهای تحلیل اطلاعات در Honeypot ها

مكانیزمهای تحلیل اطلاعات در Honeypot ها

پیش از این در چهار مقاله «Honeypot چیست؟»، «انواع Honeypot»، «كاربردهای Honeypot ها» و «مكانیزم­های جمع آوری اطلاعات در Honeypot ها» به معرفی اجمالی Honeypot ها، كاربردهای این سیستم­ها و…

پیش از این در چهار مقاله «Honeypot چیست؟»، «انواع Honeypot»، «كاربردهای Honeypot ها» و «مكانیزم­های جمع آوری اطلاعات در Honeypot ها» به معرفی اجمالی Honeypot ها، كاربردهای این سیستم­ها و روش­های جمع آوری اطلاعات در این سیستم­ها پرداختیم. در این مقاله مكانیزم­های مختلف تحلیل اطلاعات در Honeypot ها را مورد بررسی قرار خواهیم داد.

 Honeypot ها در كشف فعالیت­های هكرهای كلاه سیاه بسیار موثر عمل می­كنند. پتانسیل حقیقی یك Honeypot فقط زمانی كاملا به كار گرفته می­شود كه داده های مربوط به این فعالیت­ها به اطلاعات ارزشمندی تبدیل شوند. برای این منظور، باید یك روال برای جمع آوری این داده ها و ایجاد ارتباط بین آنها و ابزارها، تاكتیك­ها و انگیزه های هكرهای كلاه سیاه وجود داشته باشد. چنین روالی تحلیل داده ها نامیده می­شود. این روال یكی از پر چالش ترین و زمانبرترین بخش­های كار است. در ادامه این مطلب، برخی از روش­ها و تكنیك­های موفق مورد استفاده برای این كار توضیح داده خواهند شد.

1- لاگ های فایروال
فایروال­ها می­توانند در تحلیل ارتباطات ورودی و خروجی Honeypot مفید باشند. می­دانیم كه هر ترافیك شبكه ای كه از Honeypot خارج شده و یا به آن وارد می­شود، باید تحت عنوان ترافیك مشكوك یا خرابكار برچسب بخورد. تجزیه ترافیك ثبت شده از طریق فایروال و استخراج اطلاعات سودمند از آن، می­تواند كاری خسته كننده باشد. بسته به نوع فایروالی كه برای پروژه هانی‌نت مورد استفاده قرار می­دهید، برخی فایروال­ها امكان ارسال پیغام هشدار از طریق ایمیل را در موارد ارتباطات مشكوك فراهم می آورند، كه این كار می­تواند حجم داده‌هایی را كه باید تجزیه كنید كاهش دهد. برای مثال، شما می­توانید فایروال خود را طوری پیكربندی كنید كه پیغام هشداری را در زمان ایجاد یك ارتباط FTP از راه دور صادر نماید. چرا كه این نوع ارتباطات معمولا نشان دهنده این هستند كه Honeypot شما مورد سوء استفاده قرار گرفته و فرد مهاجم در حال تلاش برای ایجاد ارتباط FTP است.
2- IDS
سیستم­های تشخیص نفوذ مانند Snort، یك سری اطلاعات اصلی در اختیار كاربران خود قرار داده و نیز بسته به كنسول مورد استفاده كاربر، قابلیت گروه بندی هشدارهای مشابه، گروه بندی انواع ترافیك شبكه، و گروه بندی وقایع به ترتیب زمانی و یا حتی شناسایی یك گروه از وقایع به عنوان یك هشدار واحد را دارا هستند.
سه دسته اطلاعات اصلی كه یك IDS به كاربر خود ارائه می­دهد به این شرح هستند: یك IDS زمانی كه فعالیت مشكوكی توسط یك امضاء شناسایی شده باشد پیغام هشدار صادر می­كند، بسته‌های فعالیت مشكوك ذخیره شده را جمع آوری می­كند، و در نهایت نشست­های ASCII یا داده‌های ASCII كشف شده در payload بسته را ثبت می­كند.
یك نكته مهم كه باید در هنگام تحلیل اطلاعات به دست آمده از لاگ­های Snort به آن توجه كرد این است كه باید لاگ­های Snort را با لاگ­های فایروال مقایسه كرد تا به این وسیله، لایه ای از اطمینان به نتایج كار افزوده گردد. معمولا زمانی كه یك فرد مهاجم Honeypot ما را هدف قرار می­دهد، سعی در ایجاد یك ارتباط از راه دور می­كند كه به سادگی قابل شناسایی است.
یك ابزار مفید كه می­تواند برای جمع آوری ترافیك IRC مورد استفاده قرار گیرد، ابزاری به نام privmsg.pl است. این ابزار كه اطلاعات حساس را به سرعت و به طور موثر از نشست­های چت IRC استخراج می­كند، توسط Max Vision توسعه داده شده است. IRC یا Internet Relay Chat اغلب برای ارتباط بین هكرها در زمان نفوذ مورد استفاده قرار می­گیرد، بنابراین شما باید به طور جدی هر ترافیك IRC را كه به Honeypot شما وارد شده یا از آن خارج می­شود، ثبت كنید.
3- لاگ های سیستم
بسته به نوع سیستم عامل مورد استفاده در Honeypot، تمامی فعالیت­های سیستمی بر روی Honeypot شما به صورت محلی در یك فایل syslog (لاگ سیستمی) ثبت می­شود. سیستم­هایی مانند یونیكس، نسخه هایی از ویندوز مایكروسافت، و برخی سیستم عامل­های دیگر، قابلیت ثبت تمامی فعالیت­های سیستمی را كه از طریق سیستم دیگری و از راه دور بر روی سیستم محلی انجام می­شود دارا هستند. این قابلیت برای فهمیدن چگونگی دسترسی یك مهاجم به Honeypot، منبع حمله، انواع فعالیت سیستمی كه می­تواند مشكوك باشد مانند reboot ها، سرویس­های متوقف شده یا آغاز شده، و حساب­های غیرفعال شده یا ایجاد شده، بسیار مفید است. همچنین از آنجایی كه این فعالیت سیستمی از راه دور ثبت می­شود، ما می­توانیم لاگ­های سیستمی Honeypot را با لاگ­های سرور دیگر مقایسه كنیم تا در صورتی كه فرد مهاجم فایل­های لاگ سیستمی موجود بر روی سیستم Honeypot محلی را حذف یا دستكاری كرده باشد، متوجه این موضوع شویم. همچنین این اطلاعات می­تواند با اطلاعات ثبت شده در فایروال یا IDS نیز مقایسه گردد.
4- جرم شناسی سیستم قربانی
جرم شناسی (Forensics) تكنیك دیگری است كه به ما اجازه می­دهد تحلیل دقیق­تری بر روی یك سیستم Honeypot انجام دهیم. ما می­توانیم روال‌ها، فایل­ها یا حتی ابزارهایی را كه هكرهای كلاه سیاه ممكن است برای سوء استفاده از یك سیستم مورد استفاده قرار داده باشند، بازیابی كنیم. این كار به ما اجازه می­دهد فعالیت مهاجم را بازسازی كرده یا حتی فعالیت خرابكارانه ای را كه سایر روش­های تحلیلی نتوانسته اند كشف كنند، كشف كرده و معرفی نماییم. برای انجام جرم شناسی بر روی یك سیستم Honeypot، باید كپی­هایی از تصویر سیستم عامل را به عنوان ابزار مقایسه در آغاز روال بازیابی در اختیار داشته باشیم. یك راه معمول برای ساختن كپی­های بایت به بایتاز سیستم عامل Honeypot ، استفاده از یك ابزار خط دستور معمولی به نام NetCat است. كپی كردن تصویر Honeypot ابتدا به وسیله ایجاد یك نمونه از NetCat كه بر روی یك سیستم مورد اعتماد گوش نشسته است انجام می­شود. برای مثال، دستور nc –l –p 5000 > Honeypot.hda1.dd، پورت شماره 5000 را برای گوش دادن بر روی سیستم مورد اعتماد باز می­كند. سپس هر چیزی كه به این پورت ارسال می­شود در فایل Honeypot.hda1.dd ثبت می­گردد. زمانی كه سیستم مورد اعتماد در حال گوش دادن است، شما می­توانید با دستور /partition/nc trusted_system 5000 –w 3 یك پارتیشن را از سیستمی كه مورد سوء استفاده قرار گرفته كپی كنید و آن را به سیستم مورد اعتماد ارسال نمایید.
5- جرم شناسی پیشرفته سیستم قربانی
همانطور كه قبلا هم اشاره شد، بازیابی داده‌ها یك بخش حساس و بسیار مهم از تحلیل فعالیت یك Honeypot است. اگر این Honeypot توسط یك مهاجم مورد سوء استفاده قرار گرفته باشد، آنگاه احتمال زیادی وجود دارد كه وی برخی اطلاعات حساس را كه در صورت بازیابی مهم باشند، پاك كرده باشد. هكرها اغلب سعی می­كنند با حذف فایل­هایی كه برای دسترسی ایجاد شده اند یا فایل­هایی كه نشان دهنده مجرم بودن آنهاست، ردپای خود را بعد از سوء استفاده از یك سیستم پاك نمایند. بنابراین داشتن یك روش برای بازیابی فایل­های حذف شده بسیار مهم است. ابزاری به نام icat این قابلیت را دارد كه این فایل­های حذف شده را بازیابی كند. همچنین یك گزینه پیشرفته به نام unrm، یك پارتیشن خاص را دریافت كرده و تمامی فضای حذف شده از آن پارتیشن را برای تحلیل­های بعدی باز می­گرداند.
دسته: آموزش امنیت سایبری
honeypot, وب

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
برای ادامه، شما باید با قوانین موافقت کنید

keyboard_arrow_up