揭秘!防毒軟體公司的誘捕蜜罐

2021-04-02 13:25:11 字數 2445 閱讀 6596

揭秘!防毒軟體公司的誘捕蜜罐

在熱帶有一種叫做豬籠草的植物,它通過身體乙個像「罐」狀的部分分泌蜜汁來吸引小昆蟲,然後誘捕它們,作為食物。可是您知道嗎?在現在的網路中也有著乙個相似的東西,它就是網路蜜罐。

防毒廠商如何獲得最新病毒

也許你時常聽到這樣的訊息,××蠕蟲攻擊網路,該蠕蟲樣本被××公司首先截獲,××病毒爆發,該病毒在國內首次為××組織所發現……凡此種種,好學的讀者一定時常會發出疑問,這些防毒廠商,安全組織和安全公司是如何截獲到病毒或蠕蟲的呢?為什麼他們總是要先於一般使用者察覺到呢?於是大家在困惑中不自覺加入了無限幻想,時常將安全組織,防毒公司的技術人員看成神通廣大的網路俠客。

其實,這些東西往往是因為我們的臆想而變得神秘離奇。安全公司或防毒公司獲取資訊的手段無外乎如下幾種:第一,通過和國外同行交流資訊,獲得發生在國外「險情」的第一手資料;其二,派出人員在一些黑客或病毒組織的論壇、聊天室「潛伏」;其三,也就是本文要介紹的,採取搭建蜜罐(honeypot)獲取資訊。

也許你很快發現,前兩個手段似乎並不十分有效,畢竟它們接受資訊的方式是被動的,那麼重任似乎只有落到蜜罐這個東東身上了。不過究竟什麼是蜜罐呢?它又是如何工作?如何幫助安全人員獲取黑客和毒客的資訊的呢?

什麼是蜜罐?

這恐怕要從蜜罐的起源講起。很早以前,安全界人士為研究黑客行為,發現一些沒有公開的攻擊手段,就想出了蜜罐這種方法。所謂蜜罐往往是乙個故意設計的有缺陷的系統,通常用來對入侵者的行為進行警報、誘騙以及記錄。傳統的蜜罐一般情況下往往通過軟體架設一些虛擬的作業系統,同時故意保留一些常見漏洞。

這樣,無論是黑客還是毒客,只要它們將自己的病毒或有害程式通過網際網路擴散,都會很快被這些蜜罐接收到。而這些蜜罐接收到。而這些蜜罐架設者(往往是防毒公司,安全公司或安全組織)則會馬上組織技術人員對這些程式或攻擊行為進行分析,並及時作出安全響應,提出解決辦法。

也許你可能產生疑問了,這樣「撞大運」的方法能有多大效用呢?筆者從乙份國外的資料中發現了這樣乙個有趣的資料,乙個預設安裝,沒有做過安全設定的red hat 6.2伺服器的平均壽命是72小時,有時網路上的蜜罐機器會在架設好後的8小時之內就遭到攻擊。你要知道無論病毒蠕蟲還是「hacker」往往都是具有較強攻擊性的。他們經常持續地掃瞄並且攻擊各種各樣的系統,一旦發現可乘之機,就會趁虛而入。

當然正所謂道高一尺,魔高一丈,一些水平較高的hacker往往會通過一些方法發現蜜罐的存在,那麼惱羞成怒後的結果往往會使虛擬系統陷於癱瘓,甚至所在主機遭受攻擊。

因而,時之今日,現在的蜜罐系統大多都是標準的機器,上面執行的也大多是真實完整的作業系統及應用程式。不再刻意地模擬某種系統漏洞。這樣蜜罐僅僅是將系統放置於網際網路上,並且等待外部攻擊。可以說蜜罐已經向著honeynet①的方向發展。它已經演變為乙個學習工具,蜜罐往往會被架設成乙個網路系統,而並非某台單一的主機,所有外來資料都受到捕獲及控制分析。這些**獲的資料可以幫助我們研究分析入侵者使用的工具、方法及動機。

不過也許你不會想到,建立蜜罐最主要目的是了解、學習並且分享一些安全的經驗。一般這些蜜罐架設者會把獲取的一些資訊傳送給權威機構如cert以及sans等,他們的口號是——研究就是研究(蜜罐架設往往不願意為了法律事物而影響太多精力。而那些蠕蟲病毒或入侵者也在蜜罐過得逍遙,這一切似乎達到了和自然界相同的和諧統一)。

也許有人會懷疑蜜罐的效果,不過事實說明了一切,現今對蠕蟲和病毒的響應往往就是通過蜜罐首先捕捉到樣本後才完成的。同時對入侵者團體使用的工具、策略和動機以及這些組織資訊資源的收集,最主要的方法就是通過使用蜜罐來收集。比如最近發現的samba服務(乙個linux下的共享磁碟和印表機的服務)的漏洞,就是從蜜罐中的乙個hacker入侵記錄中發現的(要知道這個漏洞已經存在了十年了,如果沒有蜜罐也許這個漏洞還要被那個hacker利用下去……)。

同時,網上還有一些公開的蜜罐專案,他們會提供蜜罐收集的資料。這些資料的公開無疑提高了公眾對internet上存在威脅和漏洞的認識程度,這些專案通過對入侵者怎樣控制實際系統的演示來提高人們的安全意識。(有許多人不相信入侵的事情會發生在他們身上,但這些演示會改變他們的想法。)

呵呵,相信一些讀者已經看得心裡癢癢了吧;想不想自己架設乙個蜜罐呢?你可以去這個**看看(http://project.honeynet.org),那裡會有你需要的東西,不過要提醒的是,架設蜜罐要有一定技術根底,否則會有風險,千萬要謹慎喲!

小特侃侃:其實關於蜜罐這東東小特也詢問過國內的幾個防毒軟體廠商,結果告訴小特的全是手工收集病毒、木馬。主要方法就是有專人去論壇、**進行收集,與國外大廠商合作,使用者上報等,但沒有乙個廠商提出是採用蜜罐方式進行自動收集的。是什麼原因?技術?水平?不想做?就當是商業機密吧* ^。

名詞解釋

honeynet

其實honeynet是一種特殊的honeypot。首先它是乙個網路系統,而這個網路是隱藏在防火牆之後的,所有進出的資訊都會受到監控。而且在honeynet中的系統也都是標準的電腦,而不會使用honeypot那樣的虛擬裝置。而且也沒有故意地去模仿某些環境或是讓系統不安全。honeynet主要是用於學習如何入侵系統的工具

防毒軟體實時防毒的奧秘

防毒軟體實時防毒的奧秘 define device main include ifshook.h undef device main typedef eventhdl pevent pev,pioreq pir typedef struct monitored files monitored fil...

現在的防毒軟體靠軟體名防毒?

我不知道現在的防毒軟體是怎麼來識別病毒的,每家防毒軟體廠商在廣告上都說自己有什麼樣的技術,這個技術怎麼樣的好,可是我卻發現有的防毒軟體居然根據檔名來判斷病毒,我的天,這樣的話還學要防毒軟體嗎?我曾經寫過一篇自己動手防禦u盤和行動硬碟的方法 http blog.csdn.net washingto a...

防毒軟體的簡單實現

define debugmsg include include include include include include psapi.h pragma ment lib,psapi.lib define erron getlasterror define five 50 define high...