Sammelwerkzeug mwcollect

Honeywall, das Honeynet der neuesten Generation

Praxis & Tipps | Praxis

Seite 3: Sammelwerkzeug mwcollect

Wer noch einen Schritt weiter gehen möchte, sollte einen Blick auf ein weiteres Open-Source-Werkzeug werfen: mwcollect ist ein kleines, auf Linux/BSD-Systemen laufendes Tool, das Windows-Schwachstellen simuliert und somit Viren, Würmer und andere elektronische Ferkeleien ("Malware") sammeln kann (siehe Kasten So arbeitet mwcollect).

Die Idee dahinter ist, dass ein unter Windows laufender Honeypot zwar ohne großen Aufwand in der Lage ist, die fast ausschließlich hier auftretenden Viren und Würmer zu "fangen", jedoch nach einem Virenbefall oft komplett neu aufgesetzt oder ein sauberes Image zurückgespielt werden muss.

mwcollect hingegen öffnet bestimmte, oft von Malware verwendete Ports (zum Beispiel 2745, einen der "Bagle"-Ports), simuliert dort bestimmte Dienste, nimmt Netzwerkverbindungen auf diesen Ports an und zeichnet sämtliche ankommenden Pakete auf. Eine sehr einfache integrierte Shell-Umgebung bietet sogar die Möglichkeit, über FTP/TFTP andere Dateien, meist ausführbaren Exploit-Code, nachzuladen.

Da das Tool nicht unter Windows läuft, kann der Honeypot nicht kompromittiert werden, die aufgezeichneten Pakete lassen sich jedoch äußerst effektiv analysieren. Versucht ein Angreifer beispielsweise von einem FTP-Server ein Angriffstool nachzuladen, erlaubt mwcollect das und schreibt die heruntergeladene Datei in eine eigene, die man zum Auswerten nun nicht mehr mühselig extrahieren muss. Man kann sie anschließend etwa über den Dienst VirusTotal auf Virenbefall untersuchen – und ganz nebenbei erhält man aus der Logdatei von mwcollect Account- und Passwortinformationen von FTP-Servern, auf denen Angriffstools zum Download angeboten werden (s. Kasten So arbeitet mwcollect).

So arbeitet mwcollect

(…)
[3 22-06-2005 19:01:37] Starting mwcollectd2, have fun!
[3 22-06-2005 19:11:04] Bagle session with invalid auth string: 6D
[3 22-06-2005 23:23:32] Unknown Shell Command: "Minx.pif"
[3 22-06-2005 23:23:32] Downloading of ftp://**********:45872/Minx.pif failed with error code 7.
[3 22-06-2005 23:23:32] Unknown Shell Command: "Minx.pif"
[3 23-06-2005 00:50:52] Unknown Shell Command: "memesystem.exe"
[3 23-06-2005 00:50:52] Downloading of ftp://**********:21/memesystem.exe failed with error code 6.
[3 23-06-2005 00:50:52] Unknown Shell Command: "memesystem.exe"
[3 23-06-2005 00:51:27] Unknown Shell Command: "memesystem.exe"
[3 23-06-2005 00:51:27] Downloading of ftp://**********:21/memesystem.exe failed with error code 6.
[3 23-06-2005 00:51:27] Unknown Shell Command: "memesystem.exe"
[3 23-06-2005 00:55:44] Unknown Shell Command: "run.exe"
[3 23-06-2005 00:55:46] Unknown Shell Command: "run.exe"
[3 23-06-2005 00:55:47] Downloading of ftp://**********:5192/run.exe (ftp://**********:5192/run.exe) successful.
[3 23-06-2005 08:19:30] Unknown Shell Command: "bling.exe"
[3 23-06-2005 08:19:30] Downloading of ftp://**********:1762/bling.exe failed with error code 7.
[3 23-06-2005 08:19:30] Unknown Shell Command: "SMBsvs.exe"
[3 23-06-2005 14:28:37] Unknown Shell Command: "@echo off "
(…)

mwcollect läuftauf Linux/BSD-Systemen und simuliert Windows-Schwachstellen. Dadurch kann es Informationen über Viren, Würmer und weitere Schadprogramme sammeln, ohne von ihnen kompromittiert zu werden.

Die hier beschriebene Honeywall wurde mehrere Wochen in einer Laborumgebung eingesetzt und intensiv getestet. Als Honeypot diente ein mit einer einer IP-Adresse versehener, nicht mehr produktiv benutzter Rechner, der über die Honeywall – aber ansonsten ungeschützt – ins Internet gestellt wurde. Die IP-Adresse war bis dahin unbenutzt und wurde auch anschließend nirgends veröffentlicht.

Der Honeypot lief zunächst unter Windows 2000 (SP 4), die letzten Security Patches sowie Antiviren-Definitionen waren ungefähr ein Jahr alt. Nach wenigen Stunden zeigten sich die ersten Netzwerkverbindungen zu dem Honeypot, kurze Zeit später wurden Port- und Schwachstellenscanner auf ihn aufmerksam und nach cirka zwei Wochen war der Rechner komplett übernommen. Der erheblich zunehmende Netzwerkverkehr zum Honeypot zeigte dabei sehr deutlich, dass die IP-Adresse offenbar in mindestens einer Hacker-Datenbank als "kompromittiert" registriert war.

Mehrere Trojaner und Würmer wurden in dieser Zeit (teils automatisiert, teils manuell) auf dem Honeypot installiert, wie die Roo-Auswertungen schnell zeigten. Der Honeypot versuchte nun, mehrere tausend E-Mails pro Minute zu verschicken, was die Honeywall durch entsprechende Konfiguration verhinderte. Auch zahlreiche weitere versuchte Netzwerkverbindungen blockiert sie.

Da der Honeypot nicht mehr zu "reparieren" war, wurde unter derselben IP-Adresse ein neuer, nun unter OpenBSD 3.7, aufgesetzt. Das System erhielt den Kernelpatch Sebek sowie mwcollect, um weitere Auswertungen unter Roo durchführen zu können.

Da das System offenbar noch immer als kompromittiert gehandelt wurde, trat zunächst ungefähr dieselbe Anzahl an versuchten Netzwerkverbindungen auf. Tatsächlich dauerte es nur sechs Stunden, bis mwcollect den ersten Wurm gefangen hatte. Weitere Würmer sollten in den nächsten Tagen folgen.

Das Honeywall-Werkzeug zeigt alle aufgelaufenen Verbindungen an und setzt sie miteinander in Verbindung

Nach mehreren Tagen unter OpenBSD waren immer weniger Netzwerkverbindungen zum Honeypot zu beobachten, bis schließlich fast ausschließlich das "Grundrauschen" aus dem Internet übrig blieb. Ein weiteres Indiz dafür, dass Rechner nicht nur zufällig missbraucht werden.

Während der kompletten Testphase überwachte die Honeywall, zwischen Honeypot und Internet lauschend, den kompletten Netzwerkverkehr. Zahlreiche Auswertungen konnten durchgeführt werden, und das System lief schon in der Betaversion ausgesprochen stabil. Und obwohl auf der Honeywall ein Intrusion-Detection-System läuft (genauer: mit snort und snort-inline zwei IDS), gehen ihre Warnungen vom Informationsgehalt über "reine" Snort-Warnungen hinaus und enthalten überdies deutlich weniger Fehlalarme ("false positives") als alle kommerziellen IDS-Produkte. Es erfolgten auch Angriffe auf die Honeywall selbst, beziehungsweise auf das Management-Interface, sie blieben aber aufgrund des gehärteten Betriebssystems erfolglos.

Anzeige