Speaker Hom-Jay HomDate20100513.ppt

Speaker: Hom-Jay Hom Date:2010/05/13 Honeypot Detection in Advanced Botnet Attacks International Journal of Information and Computer Security 2010 - Vol. 4, No.1 ?pp.?30 – 51 Ping Wang, Lei Wu, Ryan Cunningham,Cliff C. Zou Outline * * Introduction Honeypot Detection in Hierarchical Botnets Experiment Evaluation Honeypot Detection in P2P-Structured Botnets Defense Against Honeypot-Aware Attacks Related Work Conclusion Introduction (1) 在過去的10年，網際網路用戶不斷遭受四面八方而來的攻擊，如:電子郵件病毒和蠕蟲等…。 攻擊者已經轉向影響和控制受害者的電腦，這一有利可圖的攻擊主題，使大量的殭屍電腦出現在網路上。 殭屍網路，是網路上受害電腦被安裝惡意程式進而被 攻擊者所控制。稱為bot，透過網路接受命令從 botnet的擁有者，或稱“botmaster”。 Botmaster可利用botnet，進行如：DDoS、SPAM-mail、鍵盤側錄，等…攻擊。 * * Introduction (2) Honeypot 是一種特殊構造的電腦或網路陷阱，用來吸引攻擊者，以便在背後收集檢測惡意攻擊。 隨著越來越多的人開始使用honeypot監測 和防禦系統，botmasters將設法避免botnet掉入陷阱中。 本文我們提出了botmasters如何試圖掉入蜜罐陷阱，與他們的殭屍網路建設和維護。 這種知識對安全人員是有用的，以便準備迎接，更先進的殭屍網路攻擊。 * * Introduction (3) honeypot檢測方法一般是根據硬體或和軟體：安全人員建立honeypot有責任不能使攻擊造成他人的損害，而botmasters不需要遵循這一限制。 基於這個原則，我們提出了一個新的honeypot檢測技術，其簡單且有效。 並以實驗表明，且對於honeypot和honeynet目前的標準提出一些建議與相關事項。 * * Introduction (4) 在階層式的殭屍網路如果要檢測一controller是否正常 ，botmasters可執行命令到botnet，再透過sensor檢視就可得知controller是否正確執行。 目前比較流行的是 P2P殭屍網路，由於分散式並不集中所以，更難以監測和消滅。 本文提出一個簡單而有效的P2P殭屍網路技術“Two-stage reconnaissance worm”的蠕蟲攻擊，也是有能力檢測honeypot。 * * Hierarchical botnets introduction * * 階層式botnet之架構圖： Detection of honeypot bots (1) 原則上要有一受感染的電腦或冒牌的惡意流量到連結到遠端botmaster實際控制的電腦上。 這些遠端電腦既是botmaster的sensor。 如果sensor從受害者的電腦收到完整及正確的資訊，則此電腦被視為正常的bot，而不是honeypot。 由於honeypot管理者不知道哪個電腦是botmaster的sensor哪些是無辜的電腦，他們無法抵禦這檢測技術，而不危害到那些無辜的電腦。 * * Detection of honeypot bots (2) 檢測bot是否為honeypot的步驟： * * Detection through infection 一些honeypot計畫會使受感染的電腦不斷在網路上攻擊其他電腦，因此在種種情況下honeypot必須修改或限制，如：GenII honeynets。 GenII honeynets是加入了NIPS來限制流量出入。 所以botmaster須利用其他方式，如：MD5特徵碼來驗證。 因此如果沒有詳細的binary code分析，將無法判定哪些IP屬於 botmaster的sensor。 * * Detection through other illicit activities 基於一般偵測honeypot的方法： Low rate port scanning : 透過隱藏的sensor IP在port-scan IP list的方式來判別是否在honeypot環境。 例如GenII honeynet