Cristian Munteanu
Istraživač, Maks Plank Institut za informatiku
UVOD
Honeypot-ovi su dugo služili kao nezamenljivi alati u domenu sajber bezbednosti, nudeći sredstva za otkrivanje, praćenje i razumevanje neovlašćenih pokušaja napada na informacione sisteme. Tokom godina, korišćeni su za karakterizaciju zlonamernog softvera, kao što je ozloglašeni Mirai, kao i za određivanje tačaka interesovanja na meti uljeza.
U ovom članku predstavljamo revolucionarnu studiju koja pruža vredne uvide i prednosti koje proizilaze iz velike operativne honeyfarm — mreže sastavljene od honeypot-ova strateški raspoređenih širom sveta, s centralizovanim prikupljanjem podataka.
GLOBALNI DOMET
Naše istraživanje obuhvata period od 15 meseci, analizirajući zapanjujući obim od 400 miliona sesija prikupljenih iz 221 honeypot-a raspoređenih u 55 zemalja (pogledaj Sliku 1). Ovakva globalna perspektiva nam omogućava da otkrijemo značajne razlike u aktivnostima koje su posmatrali ovi honeypot– ovi. Neki su preplavljeni milionima pokušaja ostvarivanja kontakta, dok drugi tiho posmatraju samo nekoliko hiljada sesija.
SKENERI, IZVIĐAČI I ULJEZI
Iako su sve kontaktne sesije koje beleže honeypot– ovi neželjene i ne treba im verovati, trebalo bi da napravimo jasnu razliku između tri uočena tipa interakcije — skenera, izviđača i uljeza.
Kao što im ime kaže:
- Skeneri su entiteti koji nisu pokušali da se prijave ili izvrše bilo koju komandu u snimljenim sesijama
- Izviđači su entiteti koji su pokušali da se prijave barem jednom u snimljenim sesijama, ali nisu u tome uspeli
- Uljezi su entiteti koji su se uspešno prijavili i ostvarili pristup za izvršavanje komandi u snimljenim sesijama
Naša analiza počinje osnivanjem nove honeyfarm-e, koja nudi jedinstvenu perspektivu njenog razvoja tokom 15 meseci.
Dok ulazimo u analizu podataka, primećujemo da nivoi skeniranja i izviđanja blisko odražavaju aktivnosti upada tokom početnih faza. Međutim, tokom vremena dolazi do značajne promene, pri čemu skeniranje i izviđanje prevazilaze aktivnost upada, pokazujući evolutivni fokus napadača (vidi Sliku 2).
Drugo najvažnije zapažanje ovog istraživanja je da primećujemo da značajan broj entiteta (klijentskih IP adresa koji su pokrenuli vezu sa honeypot-om) ima više uloga, npr. mogu biti i skeneri i izviđači, ili skeneri i uljezi. Ovo nijansirano razumevanje dinamike honeyfarm-e je od suštinskog značaja za prilagođavanje strategija i jačanje odbrane.
PONAŠANJE ULJEZA I RAZNOLIKOST DATOTEKA
Analiza ponašanja uljeza otkriva da oni generišu mnoštvo različitih datoteka.
Zanimljivo je da nijedan honeypot nije primetio više od 5% svih jedinstvenih fajlova, naglašavajući važnost skaliranja i raznolikosti u primeni honeyfarm-e da bi se ušlo u trag nekom od intrigantnijih upada.
Dok su mnogi napadi zasnovani na hešovima vidljivi tokom dužeg perioda, njihove varijacije i pojava novih napada na dnevnoj bazi predstavaljaju izazov za lako otkrivanje (vidi Sliku 3).
Neki napadi dosledno ciljaju na isti podskup honeypot-ova sa nekoliko klijentskih IP adresa, što predstavlja relativno jednostavnu priliku za uklanjanje. Nasuprot tome, napadi koji koriste mnoge klijentske IP adrese, verovatno sa velikih botnetova, predstavljaju veći izazov, ali mogu ponuditi dragocene uvide za praćenje botneta.
HONEYFARM-e I BEZBEDNOSNE REALNOSTI
Naša analiza podataka otkriva upečatljivu stvarnost — većina honeypot-ova u mreži posmatra kampanje napada visokog profila.
Neke kampanje koje traju nedeljama pa i mesecima dobro su organizovane i uključuju brojne IP adrese. Međutim, takođe identifikujemo produžene kampanje koje traju više od pola godine, a potiču od samo nekoliko IP adresa (vidi Tabelu 1).
Ono što zabrinjava je očigledan nedostatak akcije da se blokiraju ove IP adrese koje učestvuju u proširenim kampanjama. Naši nalazi ukazuju na to da mrežni i cloud provajderi mogu biti neadekvatno informisani ili da nemaju potrebne filtere kako bi sprečili klijentske IP adrese da se uključe u izviđanje, upad ili interakciju sa potencijalno ranjivim hostovima.
POZIV NA SARADNJU
Zalažemo se za zajedničke napore unutar istraživačke i bezbednosne zajednice kako bi se rešili kritični nedostaci u odbrani mreže.
Dok se honeyfarm-e pokazuju veoma efikasnim u otkrivanju kampanja napada, one su samo jedna od karika u lancu odbrane. Udružene honeyfarm-e, sa zajedničkim podacima i obaveštajnim podacima, imaju potencijal da ponude sveobuhvatniju odbranu od sajber pretnji.
Premošćivanjem jaza između individualnih honeyfarm-i i udruživanjem uvida, možemo raditi na otpornijoj infrastrukturi sajber bezbednosti.
IMPLIKACIJE I ZAKLJUČAK
Otkriće višenamenskih klijentskih IP adresa koje obavljaju različite zadatke koji ugrožavaju bezbednost naglašava evoluirajuću prirodu sajber pretnji.
Dugotrajno proučavanje naše honeyfarm-a, koja obuhvata ceo njen životni vek, pruža vredan uvid u otpornost napadača i izazove koje postavljaju distribuirani honeypot-ovi.
Kako nastavljamo sa istraživanjem, postaje očigledno da su napori saradnje sa honeyfarm-ama i produženo prikupljanje podataka imperativ da bismo ostali korak ispred u tekućoj borbi protiv sajber pretnji.
Naši nalazi ne doprinose samo akademskom znanju, već nude i praktične implikacije za jačanje informacionih sistema protiv nemilosrdne i prilagodljive prirode savremenih sajber protivnika.
Ako želite da saznate više o ovom istraživanju, pročitajte naš rad predstavljen na AMC IMC 2023 >>
Izvor: Global Cyber Alliance >>