了解你的敌人：Sebek.docVIP

了解你的敌人：Sebek 一个基于内核的数据捕获工具The Honeynet Project??最后更新：2003/11/17 介绍 有一个问题至今还在困扰蜜罐研究者：怎样在不被入侵者察觉的情况下监视他们？蜜罐设计的目的是为了观察入侵者在一些普通系统里的所作所为，所以我们要确保让他们没有感觉到被监视。传统的做法是记录相关活动的网络数据，这种做法对入侵者来说是不可见的。但是黑帽子们是越来越精明了，他们越来越多的使用加密工具来保护他们的传输通道。如果目标机器没有安装加密服务，那么他们也会自己安装上如SSH、加密的GUI客户端或者SSL等服务。如果没有密钥，基于网络的数据捕获工具将无法察看传输的数据。为了观察入侵者使用加密的会话，研究者必须找到破解加密会话的方法，不过许多组织已经证明这是非常困难的。强攻不行就只能智取，Honeynet项目开始尝试在蜜罐机器安装基于内核的rootkit来捕获感兴趣的数据。这些实验的结果导致开发出一个叫Sebek的工具，它是运行在内核空间的一段代码，记录系统用户存取的一些或者全部数据。这个工具有这些功能：记录加密会话中击键，恢复使用SCP拷贝的文件，捕获远程系统被记录的口令，恢复使用Burneye保护的二进制程序的口令还有其它的一些入侵分析任务相关的作用。这篇文章讨论Sebek版本2，当然也覆盖Sebek的内容。下面将详细讨论Sebek，包括它如何工作和有什么价值。我们会介绍它的结构和关键组成，演练如何执行以及操作的技术细节。最后，我们会给出Sebek包括它最新的Web接口在内的使用例子。Sebek最初是在Linux系统开发的，现在它已经移植到Win32、Solaris和OpenBSD等操作系统上。这篇文章介绍的是Linux版本的Sebek，但是许多讨论到的概念也适合其它移植版本。 Sebek简介 Sebek是一个数据捕获工具。所有数据捕获工具的目的都是用捕获的数据准确的给我们重现蜜罐上的事件。我们需要通过这些信息来确定入侵者是什么时候攻破系统的，他们是怎么做的，以及在获得访问权限后又做了什么。这些信息还可能告诉我们谁是入侵者，他们的动机是什么，以及他们和谁一起工作。为了确定入侵者获得访问权限后所作的事情，我们需要捕获的数据能够提供入侵者的击键记录和攻击的影响。如果没有使用加密，那么用ethereal等工具重组网络上捕获数据的TCP流就可以得到会话的内容，从而监视入侵者的击键。这种技术不但可以得到入侵者输入的信息，也可以得到入侵者看到的输出。当会话没有被加密的时候，流重组技术是捕获入侵者动作的理想方法。但是会话被加密的时候，流重组也只能得到加密的会话内容，破解加密会话内容是非常困难的。加密的信息如果要使用就肯定会在某些地方不是被加密的，绕过进程就可以捕获未加密的数据。这是解密工作的基本机制，然后获得访问未保护的数据。使用二进制木马程序是对付加密的首次尝试。当入侵者攻破蜜罐，他可能会使用如SSH的加密工具来登陆被攻陷的主机，登陆的时候肯定要输入命令，这时木马shell程序会记录他们的动作。二进制木马程序隐蔽性不高，而且入侵者可能会安装他们自己的二进制程序。从操作系统内核访问数据将是一个很好的捕获方法。不管入侵者使用什么二进制程序，我们都可以从内核捕获数据并且可以记录他们的行为。而且，由于用户空间和内核空间是分开的，所以在技术上我们还可以实现对所有包括root在内的用户隐藏自己的动作。第一个版本的Sebek设计成直接从内核搜集击键数据。这些早期版本参考了Adore Rootkit，通过替换sys_read系统调用来捕获击键，然后把击键记录到一个隐藏文件并通过网络模拟成其它如NetBIOS等UDP数据传输把它发送出去。这样就能满足我们监视入侵者击键的要求了，但是它很复杂，而且只需使用包嗅探器就可以简单的检测到，并且效率不高。最后还发现除了击键，其它数据记录很困难。在下一个版本，也就是当前的Sebek版本2，它不但可以记录击键，还记录所有通过sys_read的数据。收集到所有数据，我们就可以监视蜜罐的所有动作，不再局限于击键。比如有一个文件拷贝到蜜罐，Sebek能够发现并记录它，产生一个同一的拷贝。如果入侵者使用IRC或邮寄客户端，Sebek也能看见那些消息。第二个重要的改变是Sebek变得更难检测出来，我们改进了日志数据传输，对黑帽子来说是完全隐藏。现在他们用嗅探器检测不到Sebek的数据传输。Sebek现在还没有对TCP会话重组，只是用来对付加密。相比以前的黑盒子技术，Sebek使得对蜜罐内部工作的监视变得透明。比如入侵者安装了一个恶意软件，然后退出，现在我们还可以继续追踪恶意程序的本地行为，即使它没有访问网络。 结构 Sebek有两个组成部分：