⑴ 蜜罐技術的簡介
首先我們要弄清楚一台蜜罐和一台沒有任何防範措施的計算機的區別,雖然這兩者都有可能被入侵破壞,但是本質卻完全不同,蜜罐是網路管理員經過周密布置而設下的「黑匣子」,看似漏洞百出卻盡在掌握之中,它收集的入侵數據十分有價值;而後者,根本就是送給入侵者的禮物,即使被入侵也不一定查得到痕跡……因此,蜜罐的定義是:「蜜罐是一個安全資源,它的價值在於被探測、攻擊和損害。」
設計蜜罐的初衷就是讓黑客入侵,藉此收集證據,同時隱藏真實的伺服器地址,因此我們要求一台合格的蜜罐擁有這些功能:發現攻擊、產生警告、強大的記錄能力、欺騙、協助調查。另外一個功能由管理員去完成,那就是在必要時候根據蜜罐收集的證據來起訴入侵者。 蜜罐是用來給黑客入侵的,它必須提供一定的漏洞,但是我們也知道,很多漏洞都屬於「高危」級別,稍有不慎就會導致系統被滲透,一旦蜜罐被破壞,入侵者要做的事情是管理員無法預料的,例如,一個入侵者成功進入了一台蜜罐,並且用它做「跳板」(指入侵者遠程式控制制一台或多台被入侵的計算機對別的計算機進行入侵行為)去攻擊別人,那麼這個損失由誰來負責?設置一台蜜罐必須面對三個問題:設陷技術、隱私、責任。
設陷技術關繫到設置這台蜜罐的管理員的技術,一台設置不周全或者隱蔽性不夠的蜜罐會被入侵者輕易識破或者破壞,由此導致的後果將十分嚴重。
由於蜜罐屬於記錄設備,所以它有可能會牽涉到隱私權問題,如果一個企業的管理員惡意設計一台蜜罐用於收集公司員工的活動數據,或者偷偷攔截記錄公司網路通訊信息,這樣的蜜罐就已經涉及法律問題了。
對於管理員而言,最倒霉的事情就是蜜罐被入侵者成功破壞了。有人也許會認為,既然蜜罐是故意設計來「犧牲」的,那麼它被破壞當然合情合理,用不著小題大做吧。對,蜜罐的確是用來「受虐」的,但是它同時也是一台連接網路的計算機,如果你做的一台蜜罐被入侵者攻破並「借」來對某大學伺服器進行攻擊,因此引發的損失恐怕只能由你來承擔了。還有一些責任是誰也說不清的,例如,你做的一台蜜罐不幸引來了Slammer、Sasser、Blaster等大名鼎鼎的「爬蟲類」病毒而成了傳播源之一,那麼這個責任誰來負擔? 世界上不會有非常全面的事物,蜜罐也一樣。根據管理員的需要,蜜罐的系統和漏洞設置要求也不盡相同,蜜罐是有針對性的,而不是盲目設置來無聊的,因此,就產生了多種多樣的蜜罐……
3.1.實系統蜜罐
實系統蜜罐是最真實的蜜罐,它運行著真實的系統,並且帶著真實可入侵的漏洞,屬於最危險的漏洞,但是它記錄下的入侵信息往往是最真實的。這種蜜罐安裝的系統一般都是最初的,沒有任何SP補丁,或者打了低版本SP補丁,根據管理員需要,也可能補上了一些漏洞,只要值得研究的漏洞還存在即可。然後把蜜罐連接上網路,根據目前的網路掃描頻繁度來看,這樣的蜜罐很快就能吸引到目標並接受攻擊,系統運行著的記錄程序會記下入侵者的一舉一動,但同時它也是最危險的,因為入侵者每一個入侵都會引起系統真實的反應,例如被溢出、滲透、奪取許可權等。
3.2.偽系統蜜罐
什麼叫偽系統呢?不要誤解成「假的系統」,它也是建立在真實系統基礎上的,但是它最大的特點就是「平台與漏洞非對稱性」。
大家應該都知道,世界上操作系統不是只有Windows一家而已,在這個領域,還有Linux、Unix、OS2、BeOS等,它們的核心不同,因此會產生的漏洞缺陷也就不盡相同,簡單的說,就是很少有能同時攻擊幾種系統的漏洞代碼,也許你用LSASS溢出漏洞能拿到Windows的許可權,但是用同樣的手法去溢出Linux只能徒勞。根據這種特性,就產生了「偽系統蜜罐」,它利用一些工具程序強大的模仿能力,偽造出不屬於自己平台的「漏洞」,入侵這樣的「漏洞」,只能是在一個程序框架里打轉,即使成功「滲透」,也仍然是程序製造的夢境——系統本來就沒有讓這種漏洞成立的條件,談何「滲透」?實現一個「偽系統」並不困難,Windows平台下的一些虛擬機程序、Linux自身的腳本功能加上第三方工具就能輕松實現,甚至在Linux/Unix下還能實時由管理員產生一些根本不存在的「漏洞」,讓入侵者自以為得逞的在裡面瞎忙。實現跟蹤記錄也很容易,只要在後台開著相應的記錄程序即可。
這種蜜罐的好處在於,它可以最大程度防止被入侵者破壞,也能模擬不存在的漏洞,甚至可以讓一些Windows蠕蟲攻擊Linux——只要你模擬出符合條件的Windows特徵!但是它也存在壞處,因為一個聰明的入侵者只要經過幾個回合就會識破偽裝,另者,編寫腳本不是很簡便的事情,除非那個管理員很有耐心或者十分悠閑。 既然蜜罐不是隨隨便便做來玩的,管理員自然就不會做個蜜罐然後讓它賦閑在家,那麼蜜罐做來到底怎麼用呢?
4.1.迷惑入侵者,保護伺服器
一般的客戶/伺服器模式里,瀏覽者是直接與網站伺服器連接的,換句話說,整個網站伺服器都暴露在入侵者面前,如果伺服器安全措施不夠,那麼整個網站數據都有可能被入侵者輕易毀滅。但是如果在客戶/伺服器模式里嵌入蜜罐,讓蜜罐作為伺服器角色,真正的網站伺服器作為一個內部網路在蜜罐上做網路埠映射,這樣可以把網站的安全系數提高,入侵者即使滲透了位於外部的「伺服器」,他也得不到任何有價值的資料,因為他入侵的是蜜罐而已。雖然入侵者可以在蜜罐的基礎上跳進內部網路,但那要比直接攻下一台外部伺服器復雜得多,許多水平不足的入侵者只能望而卻步。蜜罐也許會被破壞,可是不要忘記了,蜜罐本來就是被破壞的角色。
在這種用途上,蜜罐不能再設計得漏洞百出了。蜜罐既然成了內部伺服器的保護層,就必須要求它自身足夠堅固,否則,整個網站都要拱手送人了。
4.2.抵禦入侵者,加固伺服器
入侵與防範一直都是熱點問題,而在其間插入一個蜜罐環節將會使防範變得有趣,這台蜜罐被設置得與內部網路伺服器一樣,當一個入侵者費盡力氣入侵了這台蜜罐的時候,管理員已經收集到足夠的攻擊數據來加固真實的伺服器。
採用這個策略去布置蜜罐,需要管理員配合監視,否則入侵者攻破了第一台,就有第二台接著承受攻擊了……
4.3.誘捕網路罪犯
這是一個相當有趣的應用,當管理員發現一個普通的客戶/伺服器模式網站伺服器已經犧牲成肉雞的時候,如果技術能力允許,管理員會迅速修復伺服器。那麼下次呢?既然入侵者已經確信自己把該伺服器做成了肉雞,他下次必然還會來查看戰果,難道就這樣任由他放肆?一些企業的管理員不會罷休,他們會設置一個蜜罐模擬出已經被入侵的狀態,做起了姜太公。同樣,一些企業為了查找惡意入侵者,也會故意設置一些有不明顯漏洞的蜜罐,讓入侵者在不起疑心的情況下乖乖被記錄下一切行動證據,有些人把此戲稱為「監獄機」,通過與電信局的配合,可以輕易揪出IP源頭的那雙黑手。
⑵ 如何檢測惡意腳本
本質上說,網頁惡意腳本依賴於瀏覽器,利用漏洞下載木馬,並向用戶傳播。因此傳統的反木馬檢測方法在檢測網頁惡意腳本時存在比較大的缺陷。那麼,如何檢測惡意腳本呢
小編了解到,常見的網頁惡意腳本的檢測技術包括客戶端蜜罐技術,靜態代碼檢測和動態行為檢測。
1) 客戶端蜜罐技術。客戶端蜜罐主要是針對客戶端軟體存在的漏洞,主動尋找可能的攻擊行為。在與伺服器的交互過程中,客戶端蜜罐時刻監測系統的變化,引入各種檢測方法來判定是否有惡意攻擊行為的發生。這種方法的缺陷是需要花大量時間,分析性能的提升也比較困難。北大的張慧琳等提出基於網頁動態視圖的網頁惡意腳本檢測方法,主要是重構網頁動態視圖,檢測方法基於客戶端蜜罐技術,模擬存在漏洞的插件被攻擊,從而通過捕獲這些攻擊行為達到檢測的目的。
2) 靜態代碼檢測。靜態代碼檢測技術是根據已知網頁惡意腳本樣本庫程序代碼本身的特點來檢測未知網頁程序是否為網頁惡意腳本程序,主要是對網頁進行解析,提取網頁中的靜態內嵌鏈接和本地腳本,再通過一定的技術篩選特徵集,構建相應的模型,檢測未知網頁程序的代碼特徵,並將這些特徵和篩選出的特徵集進行比較,若代碼特徵相匹配則將網頁程序定義為網頁惡意腳本,反之,則為普通網頁程序。
另外,裕祥安全網溫馨提示:防治惡意腳本,應該採取以下措施 :
第一,上網時開啟殺毒軟體的八大監控。
第二,不要輕易瀏覽不良網站。
第三,如果懷疑自己感染了惡意腳本,可以登陸免費查毒網站,對自己的電腦進行全面掃描。
更多網路病毒小知識,比如怎樣檢測清除腳本病毒,請繼續關注裕祥安全網。