CC BY
75
ПРОЕКТИРОВАНИЕ СИСТЕМЫ ПАССИВНОГО СБОРА СТАТИСТИКИ ОБ ИНФИЦИРОВАНИИ ВРЕДОНОСНЫМ
КОДОМ
А.А. Калашникова, Д.А. Калинин, А.В. Клейменов Научный руководитель - д.т.н., профессор Л.Г. Осовецкий
Полнота и актуальность сигнатурных баз антивирусных продуктов - наиболее критичный параметр с точки зрения обеспечиваемой ими защищенности. В этой ситуации антивирусным компаниям приходится использовать все возможности по сбору образцов вредоносного кода (ВК). В данном исследовании проектируется модель системы пассивного сбора статистики об инфицировании ВК (honeypot) на основе анализа недостатков и требований, предъявляемых к подобным системам, производится оценка возможности реализации подобной системы на основе существующих программных решений.
Введение
Сегодня вопрос сбора статистики о распределении различных образцов вредоносного кода по регионам, частота инфицирования отдельными образцами, а также сбор in-the-wild образцов стоит наиболее острым образом [1]. С этой целью антивирусные компании создают honeynet - сети распределенных honeypot, систем пассивного сбора статистики об атаках и инфицировании вредоносным кодом, самих образцов ВК. Также подобные системы используются различными компаниями в комплексе с другими средствами обеспечения сетевой безопасности для предупреждения атак (в том числе вирусных) на ресурсы корпоративных компьютерных сетей, борьбу с внутренними угрозами, защиты от спама [2].
Для решения подобных задач существует множество как открытых, так и коммерческих программных решений, предоставляющих различный инструментарий в зависимости от решаемых ими задач, организации, принципов работы. Однако у подобных систем существует ряд фундаментальных недостатков, влияние которых не позволяет использовать их наиболее эффективным образом.
Подобное состояние вопроса и послужило доказательством необходимости проектирования системы, использующей все плюсы вышеназванной технологии, с учетом поставленных для нее задач, выявленных в ходе исследования требований и попыткой минимизировать отрицательное влияние недостатков технологии.
Основы и классификация honeypot систем
Использовать систему-приманку для исследования безопасности различных систем, поиска уязвимостей и изучения действий злоумышленников, пытающихся ее взломать, было предложено довольно давно. Со временем подобные системы получили свое неповторимое название - honeypot (англ. горшочек меда). Сейчас системы honeypot и сети honeynet распространены довольно широко. Существует множество проектов, решающих различные задачи с использованием сетей honeynet.
Идея использовать honeypot для сбора именно актуальных образцов ВК не получила такого широкого распространения, хотя ее потенциал очень велик. По сути дела, honeypot - это система (основанная на реальной или эмулируемой), реализующая некий функционал, позволяющий злоумышленникам взломать ее и неким способом использовать в своих целях. Та степень функциональности, которую подобная система предоставляет в соответствии с заявленной для нее платформой, операционной системой (ОС) и набором неких сервисов для злоумышленника (как реального, так и некой программы), называется интерактивностью.
Основные возможности honeypot можно охарактеризовать так:
(1) сбор малых объемов информации высокой значимости. В отличие от обычных систем сбора статистики, honeypot система собирает только информацию о реальных попытках взлома и атаках, причем реальных, а не ложных. К тому же владелец системы сам решает, какого характера воздействия необходимо регистрировать;
(2) получение информации об атаках, основанных на ранее неизвестных уязвимостях, для их изучения, своевременного устранения и соответственного обновления других систем безопасности, таких как фаейерволы, межсетевые экраны, систем обнаружения вторжения;
(3) сбор инструментов, использованных злоумышленником для использования уязвимо-стей системы (эксплойты) или образцов ВК.
При этом организация таких систем не требует больших затрат ресурсов, а выгода от их использования становится очевидной в довольно короткие сроки [2].
Классификация систем honeypot может проводиться по различным параметрам, но степень интерактивности, пожалуй, является наиболее важным, так как влияет на то, какие возможности инфицирования будут доступны, на какие типы ВК будут направлены, уязвимости каких платформ и ОС будет охватывать.
С точки зрения интерактивности системы honeypot принято делить на две группы:
(1) низко-интерактивные (low-interaction) honeypot эмулируют различные сервисы, приложения и ОС. К ним можно отнести следующие продукты honey d (http://www.honeyd.org/), nepenthes (http://www.mwcollect.org/), honeytrap (honeytrap.mwcollect.org). Их легче установить и настроить, но и объем собираемой информации значительно меньше, однако важно понимать, что это не всегда является минусом;
(2) высоко-интерактивные (high-interaction) honeypot основаны на предоставлении уяз-вимостей реальных сервисов, приложений, ОС на реальных компьютерных системах. Собирают больше информации, однако их установка и обслуживание занимает больше времени.
Недостатки honeypot
Несмотря на явные преимущества применения систем honeypot, существует ряд фундаментальных недостатков:
(1) ограниченная область видения - honeypot осуществляют мониторинг деятельности, которая направлена только против них;
(2) возможность раскрытия honeypot - не так критично c точки зрения сбора образцов ВК, в меньшей мере подвержены honeypot низкой степени интерактивности;
(3) риск взлома honeypot и использование его злоумышленниками в своих целях (например, для рассылки спама или атаки различных узлов сети, участие в бот-сетях и т.п.) - в меньшей мере подвержены honeypot низкой степени интерактивности [3].
Также в связи с решаемой проблемой недостатком является:
(1) ограниченный тип предоставляемых уязвимостей: ему подвержены оба типа систем honeypot, так как различный ВК рассчитан не только на различные уязвимости сервисов и приложений, но также и на платформы, ОС, и даже версии установленных для них обновлений;
(2) безопасность самой системы honeypot от загружаемых или внедряющихся образцов ВК [4].
Задачи, решаемые системой
Пассивный сбор статистики об инфицировании ВК. При успешном использовании ВК предоставляемого функционала (инфицировании системы) этот факт фиксиру-
ется, после чего вся сопутствующая информация передается на сервер для дальнейшей обработки. В случае неудачи должны быть зафиксированы ее причины (отсутствие уязвимости в списке имеющегося функционала системы, отсутствие уязвимости для данной конфигурации системы). Таким образом, для этой задачи сбору и передачи подлежит следующая информация:
(1) реквизиты системы honeypot (так речь идет о сборе статистики то предполагается использовании сети honeynet на основе проектируемой системы) - к ним относится расположение системы;
(2) информация об успешной атаке (инфицировании) или неудаче - дата и время, использованные уязвимости, текущие параметры конфигурации системы.
Сбор образцов ВК. Все образцы ВК, тем или иным образом попавшие в систему, сохраняются в ней так, чтобы исключить возможность их исполнения, нарушения работы системы, взаимного влияния. В дальнейшем они передаются на сервер для их анализа дальнейшей классификации.
Анализ и обработка полученной информации. Вся собранная информация обрабатывается и сохраняется в специальной базе данных. На ее основе составляются отчеты о частоте инфицирования различными образцами ВК, о распределении различных образцов ВК по регионам и т.д. Образцы вредоносного кода же исследуются на вредоносный функционал, к примеру, с использованием так называемых сервисов sandbox (песочница), которые запускают ВК в некой специальной среде и регистрируют всю его вредоносную активность, впоследствии предоставляя отчет. В данном исследовании вопрос анализа собранного ВК является вторичным и подробно не рассматривается.
Требования к проектируемой системе
Исходя из решаемых задач и необходимости снижения влияния как фундаментальных, так и выявленных недостатков, проектируемая система должна отвечать следующим требованиям:
(1) расширяемость, модульная организация - система должна быть легко расширяема для внедрения новых уязвимостей (в том числе для различных платформ и ОС), новых возможностей по сбору и анализу ВК, дополнительному или служебному функционалу, что обеспечивает удобную и эффективную с ней работу, получение правдивой и актуальной информации. Модульная организация - наиболее адекватный способ организации подобной системы, так как позволяет легко конфигурировать систему под различные условия, делает ее более гибкой и универсальной, применимой к возможному расширению спектра решаемых задач;
(2) наличие виртуальной среды для хранения образцов ВК, защита от возможности их исполнения и взаимного влияния - одно из наиболее важных условий, так как от этого зависит функционирование всей системы;
(3) организация в соответствии с принципами клиент\сервер - необходим центр, куда поступала бы и где обрабатывалась бы вся собираемая информация. Также подобный централизованный узел необходим для управления всеми контролируемыми системами honeypot, их удаленного конфигурирования;
(4) обеспечение активности - по исследованиям различных антивирусных компаний, наибольшее количество ВК принадлежит к классу троянских программ, на втором месте выступают черви. В соответствии со способами проникновения данных типов ВК в систему была выявлена необходимость в обеспечении различного вида сетевой активности системой (посещение различных сайтов, использование почтовых клиентов, использование различных обменных сетей, irc-протокола) [5];
(5) защищенный канал между honeypot и сервером - вся информация между honeypot системой и сервером должна передаваться по защищенному каналу, во избежание ее перехвата и использования злоумышленниками;
(6) ограничение исходящего трафика - необходимо для пресечения возможного использования системы злоумышленниками в преступных целях.
Модель спроектированной системы
На основе поставленных задач и с учетом выявленных требований была построена модель системы, которая представлена на рисунке.
Рисунок. Модель спроектированной системы honeypot Возможность реализации на основе существующих программных решений
Для оценки возможности реализации на основе существующих программных решений были выбраны 3 приложения: honeyd (http://www.honeyd.org/), nepenthes platform (http://www.mwcollect.org/), specter (http://www.specter.com), одно из которых является коммерческим (specter) [6]. Системы honeypot с высокой степенью интерактивности не рассматривались, так как они не отвечают требованию расширяемости и модульности.
Так как подробное сравнение этих продуктов потребовало бы написания отдельной статьи, в таблице приводится лишь соответствие рассматриваемых продуктов поставленным к системе требованиям.
Подводя итоги оценки, очевидно, что платформа Nepenthes отвечает всем поставленным требованиям и, кроме того, обладает наиболее богатым потенциалом и функциональными возможностями по сравнению с остальными. Кроме того, она в своих свойствах сочетает достоинства низко-интерактивных и высоко-интерактивных систем honeypot (при номинальном отношении к системам низкого уровня интерактивности), что и позволяет ей отвечать всем требованиям. Соответственно, платформа Nepenthes выбрана для дальнейшей реализации спроектированной системы [last].
Требования/Продукты Specter Nepenthes platform Honeyd
расширяемость, модульная организация + + +
наличие виртуальной среды для хранения образцов ВК, защита от исполнения, и взаимного влияния - + -
организация в соответствии с принципами клиент\сервер + + +
обеспечение активности - + потенциально да
защищенный канал между Иопеуро1 и сервером + + потенциально да
ограничение исходящего трафика + + +
Таблица. Соответствие продуктов поставленным требованиям
Заключение
В результате исследования были проанализированы фундаментальные недостатки систем honeypot, выделены требования к проектируемой системе. Была спроектирована система пассивного сбора статистики об инфицировании ВК с учетом минимизации недостатков и в соответствии с поставленными требованиями. Произведена оценка возможности реализации модели спроектированной системы с помощью существующих программных решений на примере трех систем honeypot.
Непосредственная реализация будет выполнена в ходе дальнейшей работы.
Литература
1. Касперский Е. Вирусы и средства борьбы с ними - М., 2005
2. The Honeynet Project . - Режим доступа: http://www.honeynet.org
3. Developments of the Honeyd Virtual Honeypot. - Режим доступа: http://www.honeyd.org/
4. Nepenthes - finest collection. - Режим доступа: http://nepenthes.mwcollect.org
5. Лаборатория Касперского. - Режим доступа: http://www.viruslist.com/ru/analysis
6. Specter: Коммерческое Honeypot-решение для Windows. - Режим доступа: http://www.securitylab.ru/analytics/216274.php
