在热带有一种叫做猪笼草的植物,它通过身体一个像“罐”状的部分分泌蜜汁来吸引小昆虫,然后诱捕它们,作为食物。可是您知道吗?在现在的网络中也有着一个相似的东西,它就是网络蜜罐。
杀毒软件厂商如何获得最新病毒
也许你时常听到这样的消息,××蠕虫攻击网络,该蠕虫样本被××公司首先截获,××病毒爆发,该病毒在国内首次为××组织所发现……凡此种种,好学的读者一定时常会发出疑问,这些杀毒厂商,安全组织和安全公司是如何截获到病毒或蠕虫的呢?为什么他们总是要先于一般用户察觉到呢?于是大家在困惑中不自觉加入了无限幻想,时常将安全组织,杀毒公司的技术人员看成神通广大的网络侠客。
其实,这些东西往往是因为我们的臆想而变得神秘离奇。安全公司或杀毒公司获取信息的手段无外乎如下几种:
第一,通过和国外同行交流信息,获得发生在国外“险情”的第一手资料;
其二,派出人员在一些黑客或病毒组织的论坛、聊天室“潜伏”;
其三,也就是本文要介绍的,采取搭建蜜罐(honeypot)获取信息。
也许你很快发现,前两个手段似乎并不十分有效,毕竟它们接受信息的方式是被动的,那么重任似乎只有落到蜜罐这个东东身上了。不过究竟什么是蜜罐呢?它又是如何工作?如何帮助安全人员获取黑客和毒客的信息的呢?
什么是蜜罐? 这恐怕要从蜜罐的起源讲起。很早以前,安全界人士为研究黑客行为,发现一些没有公开的攻击手段,就想出了蜜罐这种方法。所谓蜜罐往往是一个故意设计的有缺陷的系统,通常用来对入侵者的行为进行警报、诱骗以及记录。传统的蜜罐一般情况下往往通过软件架设一些虚拟的
操作系统,同时故意保留一些常见漏洞。
这样,无论是黑客还是毒客,只要它们将自己的病毒或有害程序通过互联网扩散,都会很快被这些蜜罐接收到。而这些蜜罐架设者(往往是杀毒公司,安全公司或安全组织)则会马上组织技术人员对这些程序或攻击行为进行分析,并及时作出安全响应,提出解决办法。
也许你可能产生疑问了,这样“撞大运”的方法能有多大效用呢?笔者从一份国外的资料中发现了这样一个有趣的数据,一个默认安装,没有做过安全设置的Red Hat 6.2
服务器的平均寿命是72小时,有时网络上的蜜罐机器会在架设好后的8小时之内就遭到攻击。你要知道无论病毒蠕虫还是“hacker”往往都是具有较强攻击性的。他们经常持续地扫描并且攻击各种各样的系统,一旦发现可乘之机,就会趁虚而入。
当然正所谓道高一尺,魔高一丈,一些水平较高的hacker往往会通过一些方法发现蜜罐的存在,那么恼羞成怒后的结果往往会使虚拟系统陷于瘫痪,甚至所在主机遭受攻击。
因而,时之今日,现在的蜜罐系统大多都是标准的机器,上面运行的也大多是真实完整的操作系统及应用程序。不再刻意地模拟某种系统漏洞。这样蜜罐仅仅是将系统放置于互联网上,并且等待外部攻击。可以说蜜罐已经向着Honeynet①的方向发展。它已经演变为一个学习工具,蜜罐往往会被架设成一个网络系统,而并非某台单一的主机,所有外来数据都受到捕获及控制分析。这些被捕获的数据可以帮助我们研究分析入侵者使用的工具、方法及动机。
不过也许你不会想到,建立蜜罐最主要目的是了解、学习并且分享一些安全的经验。一般这些蜜罐架设者会把获取的一些信息发送给权威机构如CERT以及SANS等,他们的口号是——研究就是研究(蜜罐架设往往不愿意为了法律事物而影响太多精力。而那些蠕虫病毒或入侵者也在蜜罐过得逍遥,这一切似乎达到了和自然界相同的和谐统一)。
也许有人会怀疑蜜罐的效果,不过事实说明了一切,现今对蠕虫和病毒的响应往往就是通过蜜罐首先捕捉到样本后才完成的。同时对入侵者团体使用的工具、策略和动机以及这些组织信息资源的收集,最主要的方法就是通过使用蜜罐来收集。比如最近发现的samba服务(一个linux下的共享磁盘和打印机的服务)的漏洞,就是从蜜罐中的一个hacker入侵记录中发现的(要知道这个漏洞已经存在了十年了,如果没有蜜罐也许这个漏洞还要被那个hacker利用下去……)。
同时,网上还有一些公开的蜜罐项目,他们会提供蜜罐收集的数据。这些数据的公开无疑提高了公众对Internet上存在威胁和漏洞的认识程度,这些项目通过对入侵者怎样控制实际系统的演示来提高人们的安全意识。(有许多人不相信入侵的事情会发生在他们身上,但这些演示会改变他们的想法。)
其实关于蜜罐这东东小特也询问过国内的几个杀毒软件厂商,结果告诉小特的全是手工收集病毒、木马。主要方法就是有专人去论坛、网站进行收集,与国外大厂商合作,用户上报等,但没有一个厂商提出是采用蜜罐方式进行自动收集的。是什么原因?技术?水平?不想做?就当是商业机密吧。
名词解释
Honeynet: 其实Honeynet是一种特殊的Honeypot。首先它是一个网络系统,而这个网络是隐藏在
防火墙之后的,所有进出的信息都会受到监控。而且在Honeynet中的系统也都是标准的电脑,而不会使用Honeypot那样的虚拟设备。而且也没有故意地去模仿某些环境或是让系统不安全。Honeynet主要是用于学习如何入侵系统的工具。