Embed Size (px)
Citation preview
建置於蜜罐系統之惡意程式網路活動分析
林志鴻 1 楊中皇 2 1 國立高雄師範大學 資訊教育研究所 [email protected]
2 國立高雄師範大學 資訊教育研究所 [email protected]
摘要
網際網路是無國界的,因此使用者容易受到來自世界的威脅,這些威脅包含惡意程
式(Malware)、殭屍網路(Botnet)、電腦病毒(Virus)與電腦蠕蟲(Worm)等,根據 Websenses在 2008 年,第三季與第四季的調查中發現(Websense,2008),在前 100 大網站當中,有
77%的合法網站中含有惡意程式,並且 APWG(反網路釣魚工作小組)(APWG,2008)的2008 年 12 月調查報告表示,全球藏有惡意程式的網站前十名分別為美國(55.75%)、中
國(12.32%)、瑞典(9.30%)、德國(4.73%)、加拿大(4.03%)、韓國(3.33%)、法國(2.94%)、俄羅斯(2.88%)、英國(2.63%)與荷蘭(2.09%),所以可以知道威脅來自於全世界。
為了偵測來自全世界的威脅並且降低偵測成本,本研究利用 Open Source 軟體收集
惡意程式並分析其網路行為,方便網路管理者分析內部狀況,以協助網路管理者或資訊
人員了解目前管理的網路遭受何種惡意程式的侵害。本系統結合 Nepenthes、p0f 與
ClamAV 等,分別是蜜罐、被動式偵測與掃毒工具,利用 Python 將 Nepenthes 與 p0f 將即時資訊加以分類與處理,並且提供整理、分析數據的程式,以利分析惡意程式攻擊資
訊之用。並且利用這些資訊發現惡意程式的攻擊來源,以及來源端是否已被惡意程式入
侵。
關鍵詞:惡意程式(Malware)、p0f、Nepenthes、蜜罐(Honeypot)
建置於蜜罐系統之惡意程式網路活動分析
1. 前言 誘捕也是一種積極防禦,在日益嚴重的駭客與惡意程式的危害下,需要改變過去防
禦的心態,積極收集攻擊資訊。偵測駭客攻擊手法的分析,目前可分為主動偵測與被動
偵測兩種。主動式偵測的目的在於找出被動的通訊管道,亦即會被駭客利用的內部弱
點,一般都是採用弱點描器(Vulnerability Scanner)與通訊埠掃描器(Port Scanner),弱點掃
描器可以找出系統的漏洞,通訊埠掃描器則能找出哪些埠是被開啟的。而被動式偵測是
針對目前正在使用的通訊管道做監測,可以利用系統日誌的稽核、網路流量分析、監聽
網路封包、設置誘捕系統與分析惡意程式,以分析來自攻擊方的相關資訊。本研究採用
被動式偵測方式,利用 p0f 來分析遠端作業系統的類型、來源 IP、使用 Port、內部作業
系統與網路狀況等,同時為了增加分析的樣本,會利用 Nepenthes(黃培生、楊中皇,2009 ; Taiwan Honey Project Team,2008)來搜集惡意程式,並且透過掃毒程式來分析判斷惡意
程式的類別。透過相關資料的分析,期望可以協助網路管理者或資訊人員分析惡意程式
或殭屍網路攻擊來源。
2. 文獻探討
隨著網際網路的頻寬不斷的增加,使得網際網路與人們的生活與工作更密不可分,
頻寬的增加也使得使用者與企業面臨日益嚴重的駭客攻擊與惡意程式的威脅。傳統的安
全機制都是屬於被動式的安全機制,必須透過特徵值資料來分析網路攻擊行為是否存
在,但因為這種識別方式必須透過資料庫中的特徵值來比對,會造成無法面對零時差的
攻擊(Zero-day Attack)與變種的惡意程式,所以本章節將以惡意程式網路活動上的探討為
主。 在(Inoue, D., Yoshioka, K., Eto, M., Hoshizawa,Y., and Nakao, K.,2008)和(Inoue, D. ,
Yoshioka, K., Eto, M., Hoshizawa,Y., and Nakao, K.,2009)中提到兩個很重要的架
構,即 MacS (Macro analysis system)與 MicS (Micro analysis system),MacS 使用分散式
的感測器,因為感測器對所進入的封包是採取 Black hole monitoring,會被動的監測封包
行為,而 MicS 是進行惡意程式分析與蜜罐功能,因此我們結合 MacS 與 MicS 的方式去
建構整個系統。
2.1 惡意程式分析方法
惡意程式分析(財團法人國家實驗研究院科技政策研究與資訊中心,2009)的困難之
處是在於往往無法拿到原始程式碼,僅能拿到二進位檔,因此要從有加殼(Pack)的惡意
程式進行分析時,往往需要複雜的工具來協助分析。惡意程式分析的方法有兩種(Inoue, D., et al.,2008),一個是靜態分析,另一種是動態分析,主要的差異在於動態方法是在
主機上實現一個模擬的網路環境。
2.1.1 靜態分析方法
靜態分析是一種白盒子(WhiteBox)檢視的方法,目標在於分析惡意程式的樣本,使
管理者了解這個惡意程式的功能。但是在這種分析中,最大的問題是在於如何去分析一
個惡意程式,因為大多數的惡意程式碼是透過層層的偽裝。因此簡單的靜態的分析需要
借助像 ClamAV、AVIRA 與 BitDefender 等 Virus Scanner 來分析判斷惡意程式的類型。
2.1.2 動態分析方法
動態分析(Inoue, D., et al.,2009)是一種黑盒子(BlackBox)檢視的方法,是將惡意程
式的樣本置於一個虛擬環境中執行,透過動態分析的工具,如 Autoruns(Sysinternals,2009)與 Capture-BAT(Honeynet,2009),密切注意惡意程式活動的細節,對於主機內部像是存
取 File、DLLs、Registry 與 API 程序呼叫順序異動,或對於主機外,像是伺服器存取、
惡意程式掃描活動與惡意程式自動下載。透過分析是為了找出惡意程式的多形態行為,
以便可以獲得大量資訊。
2.2 蜜罐系統
蜜罐也稱為惡意程式誘捕系統,藉由模擬系統弱點,誘使惡意程式對誘捕系統進行
攻擊,進而捕捉到惡意程式。其主要目的是用來誘騙入侵者與被攻擊的警報器,它也是
一個用來搜集駭客相關資訊的網路陷阱,模擬與駭客的互動,收集相關的攻擊資訊。蜜
罐系統的分類方式(Artaila, H., Safab, H., Sraja, M., Kuwatlya,I. and Al-Masria, Z.,2006 : 賴明豐,2007)以互動程度可分為高互動性、中互動與低互動性的系統,以目的可以分為
研究型與產品型,詳細說明參考表一與表二。
表一: 依照與入侵者之間的互動狀況分類 分類 說明
低互動蜜罐
低互動的蜜罐系統是使用軟體去實作系統和服務,吸引入侵者的攻擊,因為低
互動的系統只提供有限的互動,故無法獲得較詳細的入侵者攻擊資訊,卻也使
得在這個模擬的環境中不會危及主機系統。
中互動蜜罐
這類型蜜罐介於低互動與高互動之間,設置的互動程度必須看設置人員的目的
來訂定。此密罐比低互動密罐有更多服務被開放,也允許執行系統中某些程
序,所以面臨風險也比較大。
高互動蜜罐
這類型蜜罐會利用真正的系統與應用程式,允許入侵者自由地存取資源,甚至
掌控整個系統的資源,它所面臨的風險是最高的,因此需要高技術能力的資訊
人員,先作預先防堵。因為系統會與攻擊者形成互動,透過此互動可以學習更
多攻擊者的行為與知識。
表二: 依照蜜罐設立目的來分類
分類 說明
產品型蜜罐 主要是為了保護組織或公司內部網路,偵測並吸納來自外部的攻擊,並且拖延
攻擊者對真正目標的攻擊,減少對於內部的安全風險。
研究型蜜罐 主要是為了獲取入侵者攻擊的資訊,以認識新的攻擊手法和工具,並且瞭解系
統潛在的風險和漏洞。
目前蜜罐軟體的種類(Taiwan Honey Project,2009)有很多,比較常用的低互動蜜罐
是 Honeyd(葉昭熙、楊中皇,2007)與 Nepenthes,而本研究使用 Nepenthes 的原因在於他
是屬於 Malware Honeypot 的技術,Nepenthes 會模擬系統弱點,利用惡意程式與系統交
談過程中,擷取惡意程式。並且擁有可以偵測已知弱點的攻擊、低漏報與誤報率、可下
載 Malware 與模組化的優點。 Nepenthes 的模組與功能為:(1) Vulnerability Modules:可模擬網路服務的弱點 (2)
Shell code parsing modules:分析與反解 Exploit Payload,找出惡意的超連結 (3) Fetch Modules:利用 http、ftp、tftp 等協定從遠端抓取惡意程式的 Binary (4) Submission Modules:將抓取下來的惡意程式另存至其它裝置。Nepenthes 為使用模組化架構的低互
動蜜罐,可模擬一般伺服器提供的服務與常見的漏洞,藉以騙取攻擊並下載惡意程式,
再將其編譯成 MD5 檔名的 UPX 檔,便於後續資料分析及管理。
2.3 被動式偵測與主動式偵測
在偵測攻擊者或不明來源者屬性時,會利用主動式偵測與被動式偵測,主動式偵測
與被動式偵測方式分述如下。
2.3.1 被動式偵測 被動式偵測,是利用目標系統發送任何數據給主機時,只會被動地(Listen)接受目標
系統的數據進行分析。因此可以利用 p0f(p0f,2006)來分析,p0f 也稱作 passive OS fingerprinting。適合安裝 p0f 的位置是封包流動的進出口,也就是網路內的 Gateway。
2.3.2 主動式偵測
主動式偵測,是利用程式主動針對目的電腦做網路偵測與安全掃描,一般比較常用
到的是 Nmap(Nmap,2009),系統管理者會利用這個軟體掃描目的電腦,獲取目的電腦
正在運行的資料與服務的狀況,此軟體支援多種掃描技術。但因為主動式偵測容易被發
現,若要避免被 IDS (Intrusion Detection System)、IDP (Intrusion Detection and Prevention)或攻擊者察覺,必須將掃描速度予以放慢。若使用 Nmap 所提供的 Idle Scan 與
Decoy(Burns, B., et al.,2008)也可僅量避免掃描時被發現。
2.4 惡意程式傳播模型 惡意程式的傳播方式,可以從網路蠕蟲與殭屍網路來分析,而殭屍網路的傳播特性
是由網路蠕蟲繼承而來(諸葛建偉、韓心慧、周勇林、葉志遠、鄒維,2008),所以要了
解傳播模型(孫彥東、李東,2006),要先從網路蠕蟲傳播特性來看。網路蠕蟲利用 TCP SYN、RST、FIN 等封包來進行探測(如圖 1),掃描策略包含:選擇性隨機掃描、順序掃
描、基於列表內掃描、基於路由掃描、基於 DNS 掃描、分治掃描、被動式掃描等。 而殭屍網路跟一般網路蠕蟲稍微有所不同,殭屍網路是受到控制的,而且在傳播擴
散目標會以同一子網路地址優先的策略,進行擴散。殭屍網路擁有受控制性與區域性,
所以傳播方式與預測方式是與網路蠕蟲略有不同。
圖 1 網路蠕蟲的擴散機制
3. 結合 Honeypot 與惡意程式分析系統架構
本研究整合 MicS 與 MacS 兩個系統(Inoue, D., et al.,2008)(Inoue, D., et al.,2009)
觀念,將系統分成被動式偵測、惡意程式收集與資料庫處理三部份(如圖 2),期望透過
這樣的資料搜集與判斷,了解駭客或惡意程式的散佈來源,而非一般的分析攻擊行為。
研究實際結合 Nepenthes、p0f、ClamAV,使用被動式偵測,期望避免被攻擊者或惡意程
式發覺。針對利用 Honeypot 軟體來追蹤殭屍網路 (文偉平、卿斯漢、蔣建春、王業君,
2004)的文獻也多所討論,這個方法也將會是本研究的重點。
圖 2 系統架構圖
3.1 誘捕系統與惡意程式判斷
Nepenthes 是惡意程式誘捕系統,會藉由模擬系統弱點,誘使惡意程式對系統進行
攻擊,藉此捕捉到惡意程式(如圖 3)。ClamAV(ClamAV,2009)是一套為 UNIX 而設的
GPL (General Public License)防毒軟體,主要的優點是每天會多次更新病毒碼與支援
RAR、ZIP、Tar、MSSZDD 等的相關檔案。當本研究捕捉到的惡意程式時,將會呼叫
ClamAV 掃描,先作第一步驟的惡意程式判斷,掃描完成後會再將相關資料紀錄於資料
Host AInfected Host B
Victim
Collect information
Probe
Attack
Self-Propagate
庫上。
圖 3 Nepenthes 模擬的 445 port 正被 123.204.225.21 連線中。
3.2 被動式偵測與資料庫分析 為了避免因為主動式偵測而被攻擊者的 IDS/IDP 發現,因此本系統採用被動式偵測
方法,本研究所架構的系統使用 p0f(p0f,2006),利用 TCP 3-Way Handshake(如圖 4) 完成前的 SYN 數據封包來實作操作系統的檢測技術,被動的接受目標系統的數據來分析。
假如蠕蟲進行散播活動時,可以藉由 SYN 等相關封包擷取到所需要的資訊(例如:系統
資訊、網路型態與距離),並將相關資料儲存到資料庫。
圖 4 TCP 3-Way Handshake 3.3 資料庫整合與地理資訊系統分析
利用 Nepenthes 所搜集到的 IP 資訊,向 GeoIP(IP 地理資訊資料庫) (GeoIP,2009)作查詢,經由這個資料可以查詢到 IP 的地理資訊,藉此反查出惡意程式的來源(例如:
國家、城市與經緯度)。
4. 系統開發與實驗測試分析 4.1. 開發工具與環境
程式開發部份,本研究使用 Python 作為開發語言,Python 是一種物件導向的直譯
式電腦程式語言,具有十多年的發展歷史,擁有非常簡潔而架構清楚的語法優點,並且
具有跨平台的特性,近來還可以搭配 Django 開發 Google Apps 平台上的系統。表三為本
研究所使用的硬體、軟體資料與網路環境狀況。
表三 開發工具與環境
系統硬體 Intel(R) Atom(TM) CPU N270 1.60Ghz 2G RAM PC
系統軟體 1. CentOS 5.2
2. p0f 2.0.8與p0f-db 3. Nepenthes 0.2.2 4. Apache2.2.3-22 5. MySQL 5.0.5 6. ClamAV 0.95.2
程式語言 及工具
1. Python 2.6 2. GeoIP1.4.6
網路環境 1. SEEDNet光世代10M/2M 2. 固定IP 123.204.51.222
4.1.1 資料處理流程
Nepenthes 會產生兩個重要的 log,分別是 logged_downloads 與 logged_submissions,所以處理這兩個 log 的資訊尤為重要,因此本研究使用 Python 語言,撰寫兩個程式(如圖 5)常駐於系統內,當這兩個檔案有新 log 增加時,程式會即時更新 log 資訊於 MySQL資料庫。
圖 5 處理 Nepenthes log 之即時常駐程式
這兩個程式也會自動呼叫 ClamAV 作掃毒,並且將 IP 資料與 GeoIP 資料庫作比對,
利用這個方法,可以得到惡意程式的病毒代號、來源國家、來源城市與經緯度等,如圖
利 6。
圖 6 Nepenthes log_submissions 整理後資料分析結果
P0f 資料部份,使用 p0f-db 這個工具,會即時將新產生資料新增至 MySQL 資料庫
內,資料內容紀錄:來源 IP、來源系統判斷、是否經過 NAT (Network Address Translation)、是否經過防火牆、網路型態與距離節點數。
4.1.2 系統功能
本研究所設計之系統主要提供五大功能:(1)系統現有惡意程式統計報表 (2)惡意程
式活動(請輸入 IP) (3)已知惡意程式活動追查(請輸入病毒名稱) (4)未知惡意程式活動追
查(請輸入 MD5 檔名) (5)系統現有惡意程式詳細資訊。如圖 7 為執行畫面,圖 8 為整個
程式選單架構。
圖 7 主選單畫面資訊
圖 8 程式選單架構
各部份細項如:(1)系統現有惡意程式統計報表:本系統可以列出 IP、惡意程式、
國家、作業系統、協定等統計排名 (2) 系統現有惡意程式詳細資訊:本系統可以列出所
有資料、IP 相關資料、惡意程式相關資料、MD5 檔名相關資料搜尋。希望透過這些資
料統合,找到惡意程式活動的資訊。 4. 2. 資料統計結果
表四到表七為本系統於 2009/7/28 ~2009/9/27 所收集到的統計資訊,透過表四可知
攻擊來源仍然是以同一子網段為主,沒有國家的概念區別,另外在作業系統部份以
Windows 與 Linux 為主。
表四 IP 惡意程式來源統計(總共 717 次)
來源 IP 國別 城市 次數
1 123.204.127.134 Taiwan Taipei 101
2 123.204.141ung.10 Taiwan Taipei 78
3 123.204.158.193 Taiwan Taipei 56
4 123.103.168.59 Japan unknow 53
5 123.204.69.230 Taiwan Taichung 45
6 123.204.137.143 Taiwan Taipei 43
7 123..204.158.76 Taiwan Taipei 43
8 123.204.217.122 Taiwan Taipei 37
9 123.204.166.5 Taiwan Taich 33
10 123.204.29.13 Taiwan Taoyuan 21
表五 惡意程式下載次數(總共 1537 次)
惡意程式_MD5 檔名 ClamAV 判斷結果 下載次數
1 524bc0f75c12683f73ce0ceed70faab8 Trojan.VanBot-366 284
2 fcab6c9d17b2a3330f20ee2194c869fa Worm.Waledac-953 223
3 56e4b087b5ba1197798e9852b7534228 unknow 140
4 bcbbe9ccbb3a77a90de3b94b9177e209 unknow 111
5 8ee03596d5b68caa9c069d6745902140 unknow 102
6 e269d0462eb2b0b70d5e64dcd7c676cd Trojan.SdBot-9861 59
7 2fa0e36b36382b74e6e6a437ad664a80 Trojan.SdBot-9861 48
8 df51e3310ef609e908a6b487a28ac068 Trojan.VanBot-366 41
9 a2bf71ed94580d2e957b550c9aae1490 Trojan.SdBot-9861 41
10 1bbf323c6560ffa2a00285f26947e084 Trojan.Crypt-232 36
表六 來源 IP 之作業系統排名(總共 4998 次)
作業系統 次數
1 Windows 2000 SP4, XP SP1+ 2993
2 Windows 2000 SP2+, XP SP1+ (seldom 98) 569
3 Windows 98 (9) 504
4 Windows XP/2000 (RFC1323+, w+, tstamp-) 247
5 Windows XP SP1+, 2000 SP3 212
6 Windows 2000 SP4, XP SP1+ (2) 154
7 Windows 98 (10) 53
8 Linux 2.4-2.6 52
9 Linux 2.6 (newer, 3) 44
10 Windows XP/2000 32
表七 下載惡意程式所用的協定(總共 10311 次)
協定 次數
1 ftp 8052
2 link 1490
3 tftp 434
4 creceive 200
5 http 76
6 blink 59
4. 3. 研究與分析
經由統計資訊,我們觀察到下列資訊,(1) 惡意程式擴散的主要來源是同一子網路 (文偉平、卿斯漢、蔣建春、王業君,2004) (2)多數透過 ftp 與 link 方式下載檔案 (3)感染的作業系統來源以 Windows 居多。因此我們針對某些惡意程式與 IP 資訊作分析,
可以了解惡意程式的網路特性。
圖 9 惡意程式網路活動分析流程 利用完成的資料庫,可以知道同樣的惡意程式目前活躍於哪些國家,或者感染哪些
IP 受到感染,我們利用圖 9 流程,這個流程協助找出惡意程式感染 IP 的來源與網路狀
況。 4.3.1 分析方法 1:惡意程式網路活動分析
利用「已知惡意程式活動追查 (請輸入病毒名稱 )」的功能,從表五輸入
「Trojan.VanBot-366」後,得到如表八資訊,觀察這些資訊可以發現,與本實驗主機同
一子網路地址下的 IP 是優先被擴散的,也符合殭屍網路傳播模型(諸葛建偉、韓心慧、
周勇林、葉志遠、鄒維,2008)。
表八 Trojan.VanBot-366 來源相關資訊 程式下載時間 來源IP 國家 城市 作業系統 Google map2009/8/2 17:03 123.204.29.13 Taiwan Taoyuan Windows XP SP1+, 2000 SP3 http://mapof.it/24.9869003295898,121.3056030273442009/8/2 22:00 123.204.29.13 Taiwan Taoyuan Windows XP SP1+, 2000 SP3 http://mapof.it/24.9869003295898,121.3056030273442009/8/2 22:25 123.204.29.13 Taiwan Taoyuan Windows XP SP1+, 2000 SP3 http://mapof.it/24.9869003295898,121.305603027344
2009/8/16 19:50 123.204.29.247 Taiwan Taoyuan Windows XP SP1+, 2000 SP3 http://mapof.it/24.9869003295898,121.3056030273442009/8/16 20:07 123.204.29.247 Taiwan Taoyuan Windows XP SP1+, 2000 SP3 http://mapof.it/24.9869003295898,121.3056030273442009/8/22 15:20 123.165.159.100 China Harbin Windows 2000 SP2+, XP SP1+ (seldom 98) http://mapof.it/45.75,126.6500015258792009/8/23 01:11 123.204.38.104 Taiwan Taipei Windows 98 (9) http://mapof.it/25.0391998291016,121.5250015258792009/8/23 01:11 123.204.38.104 Taiwan Taipei Windows XP SP1+, 2000 SP3 http://mapof.it/25.0391998291016,121.5250015258792009/8/24 22:16 123.200.202.128 Australia Sydney Windows 2000 SP2+, XP SP1+ (seldom 98) http://mapof.it/-33.88330078125,151.216705322266
接著我們可以發現表八的 123.204.38.104,來自不同作業系統。我們使用「惡意程
式活動(請輸入 IP)」的功能輸入 IP:123.204.38.104 得到表九,可以知道該 IP 使用環境
為DSL (Digital Subscriber Line)網路並且使用PPPoE (Point-to-Point Protocol over Ethernet)上網,有經過 NAT,所以顯示出內部區域網路電腦已經變成殭屍網路的一員。經清查資
料後,可以發現這個 IP 仍然不斷的對研究主機作散播動作,即可以確定這個 IP 已在殭
屍網路的掌控之中。圖 10 為表八 Google Maps 連結的地理資訊地圖。
表九 123.204.38.104 網路資訊 程式下載時間 下載協定 作業系統 網路使用狀況 是否有 NAT
2009/8/23 01:11:04 Link Windows 98 (9) pppoe(DSL) Yes 2009/8/23 01:11:04 Link Windows 98 (9) pppoe(DSL) Yes 2009/8/23 01:11:04 Link Windows XP SP1+,2000 SP3 pppoe(DSL) Yes 2009/8/23 01:11:04 Link Windows XP SP1+,2000 SP3 pppoe(DSL) Yes 2009/8/23 01:11:12 Link Windows XP SP1+,2000 SP3 pppoe(DSL) Yes 2009/8/23 01:11:12 Link Windows 98 (9) pppoe(DSL) Yes 2009/8/23 01:11:12 Link Windows XP SP1+,2000 SP3 pppoe(DSL) Yes
圖 10 123.165.159.100 之 Google Maps 畫面連結 4.3.2 分析方法 2:未知程式檔名分析
收集到的惡意程式經 ClamAV 掃描後,若無法判斷出惡意程式的病毒名稱,也無法
確定這個是否為惡意程式,但是我們一樣可以利用圖 9 流程,找出這個未知程式散佈的
檔名與網路活動。 利用「系統現有惡意程式詳細資訊」功能選單,我們輸入表三之第二名的未知惡意
程式 MD5 檔名「 8ee03596d5b68caa9c069d6745902140 」,得到感染 IP 來源為
123.204.233.132,使用「惡意程式活動(請輸入 IP)」輸入 IP:123.204.233.132,得到 IP所下載的相關實際資訊如表八,雖然我們無法確認 ClamAV 偵測不到的原因,但我們可
以利用防火牆的 Block File 功能,將此惡意程式檔名予以封鎖。因此利用此方法可以
搜集到惡意程式的相關資訊,也可以利用 4.3.1 的方法找到其它網路活動資訊。
表八 123.204.233.132 所下載的原始惡意程式名稱
國家 城市 原始惡意程式名稱
Taiwan Taichung wmsoft51836.exe
Taiwan Taichung wmsoft64053.exe
5. 結論與未來發展 本系統對於產生的 log 資料,經即時處裡後再輸入到資料庫內,利用這個方法來分
析收集到的網路資訊,經過分析找出被感染的主機,如果將這個方法建置於企業內部網
路,即使是防毒程式與 IDS/IDP 無法判斷的惡意程式,也可以經由這個方法分析與判斷,
將感染的主機隔離。 由於本研究使用 Python 語言,所以開發的程式都有跨平台的特性,未來可以利用
分散式建構方法,將本系統佈署於各網段之中,再利用資訊分析,統計分析出目前已被
惡意程式感染或控制的網段區域。未來期望可以利用這些資訊,將分析流程自動化,方
便網路管理人員使用,以達到積極防禦的目標。
參考文獻
1. 文偉平、卿斯漢、蔣建春、王業君,2004「網絡蠕蟲研究與發展」軟件學報,第 15卷,第 8 期:1208-1219 頁。
2. 孫彥東、李東,2006「殭屍網路綜述」,中國計算機應用,第 26 卷,7 月:1628-1633頁。
3. 財團法人國家實驗研究院科技政策研究與資訊中心,2009,MPack 惡意程式分析,
國家實驗研究院科學資料中心。 4. 黃培生、楊中皇,2009「結合入侵偵測和蜜罐之分散式預警系統的設計與實現」,
2009 年第十二屆資訊管理學術暨警政資訊實務研討會,中央警察大學。 5. 葉昭熙、楊中皇,2007「以開放原始碼為基礎的蜜罐系統設計與實現」,開放原始
碼技術與應用研討會。 6. 諸葛建偉、韓心慧、周勇林、葉志遠、鄒維,2008「殭屍網路研究」,軟件學報,
第 19 卷,第三期:702-715 頁。 7. 賴明豐,2007「蜜罐技術的分析與應用」,資通安全分析專論,國家實作研究院科
技政策與研究與資訊中心。 8. APWG:Phishing Active Trend report 2nd half 2008.
http://www.antiphishing.org/reports/apwg_report_H2_2008.pdf 9. Autoruns, http://www.sysinternals.com 10. Artaila, H., Safab, H., Sraja, M., Kuwatlya,I. and Al-Masria, Z. “A hybrid honeypot
framework for improving intrusion detection systems in protecting organizational networks, “ Computers & Security, Volume 25, Issue 4, June 2006, Pages 274-288. http://www.antiphishing.org/reports/apwg_report_H2_2008.pdf
11. Burns, B., Granick J.S., Manzuik, S., Guersch, P., Killion, D., Beachesne, N., Moret, E., Sobrier, J., Lynn, M., Markham, E., Iezzoni, C. and Biondi, P. “Security Power Tools.“ O’Reilly publishing, 2008, pp.52-53.
12. Capture-BAT, https://www.honeynet.org/node/315 13. ClamAV, http://www.clamav.net 14. GeoIP, http://www.maxmind.com/app/ip-location
15. Inoue, D. Yoshioka, K. Eto, M. Hoshizawa,Y. and Nakao, K. ”Malware Behavior Analysis in Isolated Miniature Network for Revealing Malware's Network Activity,” Communications, 2008. ICC '08. IEEE International Conference on, May 2008, Bejing ,pp. 1715-1721.
16. Inoue, D. Yoshioka, K. Eto, M. Hoshizawa,Y. and Nakao, K. “Automated Malware Analysis System and its Sandbox for Revealing Malware's Internal and External Activities,“ IEICE Transactions on Information and Systems , 2009, Volume E92-D No.5 pp.945-954.
17. Nmap, http://insecure.org/nmap/ 18. P0f, http://freshmeat.net/projects/p0f 19. Taiwan Honeynet Project, ”Collecting Malewae with Honeypots Part I”, Mar. 2009. 20. Taiwan Honeynet Project, http://www.honeynet.org.tw/ 21. Websense Security Labs:stat of internet security, Q3-Q4 2008.
http://securitylabs.websense.com/content/Assets/WSL_ReportQ3Q4FNL.PDF
The Detection and Analysis of Malware Activities in Network Affect in Honeypot System
Chih-Hung Lin1 Chung-Huang Yang2
1Graduate Institute of Information & Computer Education, National Kaohsiung Normal University Kaohsiung, Taiwan, [email protected]
2Graduate Institute of Information & Computer Education National Kaohsiung Normal University Kaohsiung, Taiwan, [email protected]
Abstract
Today in this boundless Internet world, users are vulnerable to get threats from all over the world, such as Malware, Botnet, Virus and Worn ,etc. According to Websenses In 2008, the third and fourth quarters of the survey found (Websense, 2008), the first among the 100 sites, 77% of the legitimate sites contain malicious software, and the APWG (Anti - Phishing Working Group) (APWG, 2008) of the December 2008 survey said the global hidden malware sites the top ten were the United States (55.75%), China (12.32%), Sweden (9.30%), Germany (4.73%), Canada (4.03%), Rep. Korea (3.33%), France (2.94%), Russia (2.88%), UK (2.63%) and Netherlands (2.09%). Therefore, people can easily to find out the fact is, these threats that cause damages in users’ system come from the whole world.
In order to detects these threats through the internet from the whole world and to reduce the detection cost. In this study, the researcher uses the Open Source Software to collect and analyze malicious network behaviors from the internet. By using this program, Network Administrators can easily to analyze the internal situation in Network, and to help Network Administrators or IT staffs to control the current situation and manage to against the malicious programs effetely. This specific system combines the Nepenthes, p0f and ClamAV ,etc., and they are source from the Honeypot System, the Passive Detection, and the Antivirus Tool. Nepenthes and p0f will be used to collect the real-time log information about the Malware attacking. The Python is charge of classify and process these data that are collected, and Python also provides and analysis the data for the researcher to reorganize programs to analysis Malware attacks information. And exploit the information that is found in sources of Malware attacks to reconfirm perhaps the source client is invaded by Malware.
Keywords: Malware, P0f, Nepenthes, Honeypot
