現(xiàn)如今Web攻擊已經(jīng)成為了互聯(lián)網(wǎng)安全的一個(gè)主要威脅，人們對(duì)它進(jìn)行了很多研究，特別詳細(xì)地分析了攻擊是如何進(jìn)行，如何傳播的。但是，對(duì)于當(dāng)Web被攻陷時(shí)的攻擊者的典型行為研究卻很少。本文描述了一個(gè)設(shè)計(jì)、執(zhí)行、配置有500個(gè)完整功能的蜜罐技術(shù)網(wǎng)站，從而可以提供多種不同服務(wù)，目的就是要吸引攻擊者，采集攻擊者在攻擊過程中和攻擊后的行為信息。在100天的實(shí)驗(yàn)過程中，我們的系統(tǒng)自動(dòng)采集、處理和規(guī)整了85000個(gè)在大概6000次攻擊后留下的文件，并把攻擊者的攻擊路線標(biāo)記成了不同類別，以區(qū)分它們?cè)诿看卫肳eb應(yīng)用漏洞過程中的行為。

一、引言

Web攻擊是對(duì)人們經(jīng)濟(jì)和知識(shí)財(cái)產(chǎn)造成破壞的主要原因之一。去年，這種攻擊的數(shù)量不斷在增長，復(fù)雜程度也在增加，并且目標(biāo)多是政府和高利潤的公司，竊取個(gè)人信息的同時(shí)造成了數(shù)百萬歐元的經(jīng)濟(jì)損失。使用臺(tái)式機(jī)、筆記本和智能手機(jī)上網(wǎng)的人數(shù)的不斷增加，這就有了很吸引人的攻擊目標(biāo)，從而使他們走上了犯罪的道路。

這種趨勢(shì)也已經(jīng)成為了學(xué)術(shù)研究之一。事實(shí)上，快速的看下前些年發(fā)表的論文，會(huì)發(fā)現(xiàn)與Web攻擊和防守相關(guān)的文章很多。這些研究大多數(shù)關(guān)注于一些普通的與Web應(yīng)用、Web服務(wù)器或是瀏覽器相關(guān)的漏洞，通過這些漏洞來拿下目標(biāo)。其余的剖析了針對(duì)內(nèi)部構(gòu)件的特殊攻擊活動(dòng)[5,13,17]，或是提出新的保護(hù)機(jī)制來減少現(xiàn)有的攻擊。

結(jié)果就是幾乎所有的Web攻擊場(chǎng)景都被詳細(xì)的研究了：攻擊者是怎么掃描Web和使用Google dorks發(fā)現(xiàn)可以應(yīng)用的漏洞的，他們是怎樣進(jìn)行自動(dòng)攻擊的，以及他們是怎樣給最終用戶傳遞惡意內(nèi)容的。然而，這些工作還是留下了很多的謎題。實(shí)際上，沒有一篇學(xué)術(shù)文章提到一般的攻擊者在完成攻擊過程中以及之后的詳盡活動(dòng)。有時(shí)候，攻擊者只是為了要得到存儲(chǔ)在服務(wù)器上的信息，例如通過使用SQL注入來盜取用戶的證書。然而，在大多數(shù)情況下，攻擊者想要維持這些機(jī)器的訪問并把它們作為更大的惡意設(shè)備的一部分(例如制造僵尸網(wǎng)絡(luò)或是給訪問這個(gè)網(wǎng)頁的用戶傳遞惡意文件)。

但是現(xiàn)在的文獻(xiàn)大多關(guān)注的是如何使人上當(dāng)?shù)闹黝}，如路過式下載和黑帽式SEO，而這些只是冰山一角?，F(xiàn)實(shí)生活中，互聯(lián)網(wǎng)每天都在發(fā)生著大量的惡意行為，這些吸引媒體眼球和安全企業(yè)注意的高利潤網(wǎng)絡(luò)犯罪的目的亦各不相同。

基于以上方向的研究之所以沒有完成是因?yàn)閹缀跛许?xiàng)目中的蜜罐中所使用的都是虛假或偽造的應(yīng)用。這就意味著沒有真實(shí)的攻擊被完整執(zhí)行，通常情況下，攻擊者在漏洞“消失”前往往都會(huì)完成所有的攻擊步驟。

為了了解不同類型攻擊者的動(dòng)機(jī)，殺毒軟件公司大多是依靠他們客戶報(bào)告的信息。如最近由Commtouch和StopBadware組織的調(diào)查，就是由600個(gè)被攻陷的網(wǎng)站的所有者填寫的問卷完成，問卷內(nèi)容是關(guān)于攻擊者拿下網(wǎng)站做了什么。結(jié)果非常有意思，但是調(diào)查過程不是自動(dòng)的，且很難重復(fù)進(jìn)行，且無法保證用戶(多數(shù)時(shí)候是非安全行業(yè))能夠成功地識(shí)別攻擊類型。

本文第一次全面地分析了Web攻擊者的行為，我們把分析的重點(diǎn)放在兩個(gè)方面：1)滲透攻擊階段，我們主要研究在應(yīng)用程序被攻下前攻擊者的表現(xiàn);2)后滲透攻擊階段，我們測(cè)試攻擊者在拿下目標(biāo)后會(huì)做什么。第一階段是分析攻擊Web應(yīng)用的方法和技術(shù)(即：怎么做)，然而第二階段是來推斷這些攻擊的原因和目的(即：為什么)。

因此，本文中我們沒有分析一般的SQL注入攻擊或是跨站點(diǎn)腳本漏洞。我們的蜜罐技術(shù)被應(yīng)用于吸引和監(jiān)控那些要控制Web應(yīng)用的行為。我們的結(jié)果有個(gè)有意思的趨勢(shì)是大部分攻擊者的表現(xiàn)都很狂野，例如我們鑒定了4個(gè)不同的時(shí)期以及13個(gè)攻擊者夢(mèng)寐以求的目標(biāo)。我們也提供了一些在蜜罐行為甄別中發(fā)現(xiàn)的有趣的攻擊場(chǎng)景詳情。

本文的其他內(nèi)容如下：在第2節(jié)，我們探索了當(dāng)前Web蜜罐技術(shù)的現(xiàn)狀和Web攻擊的檢測(cè)與分析。第3節(jié)，描述了我們配置的蜜罐服務(wù)的網(wǎng)絡(luò)架構(gòu)。第4節(jié)，詳細(xì)的介紹了系統(tǒng)的配置和在實(shí)驗(yàn)過程中收集數(shù)據(jù)的方法。最后，第5和第6節(jié)總結(jié)了我們?cè)跐B透攻擊階段和后滲透攻擊階段中攻擊者行為的研究結(jié)果。第7節(jié)，總結(jié)全文和對(duì)未來這個(gè)方向的展望。#p#

二、相關(guān)工作

目前，蜜罐作為檢測(cè)Web攻擊和可疑行為的工具，他們被分成兩類：客戶端蜜罐，它主要是通過主動(dòng)訪問網(wǎng)站或是執(zhí)行文件來檢測(cè)漏洞。服務(wù)器端蜜罐，使用一個(gè)或是更多的漏洞服務(wù)來吸引攻擊者。

在這個(gè)研究中，我們主要關(guān)心第2類，因?yàn)槲覀兊哪康木褪且芯抗粽咴谀孟抡军c(diǎn)后的行為。過去的幾年里幾個(gè)服務(wù)器端蜜罐已經(jīng)被建議使用，使用蜜罐來提供真實(shí)和可能的服務(wù)。其實(shí)我們可以將蜜罐分為兩類：低交互蜜罐和高交互蜜罐。第一種蜜罐提供模擬服務(wù)，所以能觀察攻擊但是不能被攻擊者利用。這種蜜罐的能力是有限的，但是能夠收集關(guān)于Web探針信息和自動(dòng)攻擊行為。相關(guān)研究有honeyd[21]，Leurre.com[20]和SGNET[16]，能夠仿真運(yùn)行系統(tǒng)和服務(wù)。另一方面，高交互蜜罐[19]為攻擊者提供了一個(gè)能被利用的全功能環(huán)境。蜜罐技術(shù)可以更好地用來洞察攻擊者的手法，但是這需要更高要求的設(shè)備及維護(hù)費(fèi)用。由于可以利用用虛擬機(jī)配置高交互蜜罐，所以在被攻擊后可以恢復(fù)到初始狀態(tài)。

對(duì)于Web應(yīng)用的攻擊常常是通過配置Web蜜罐。Google Hack Honeypot[3]作為低交互Web蜜罐的一種(設(shè)計(jì)成用來吸引通過搜索引擎來發(fā)現(xiàn)Web漏洞的攻擊者)，Glastopf[24]和DShieldWeb Honeypot project[4]通過使用模板來仿制Web攻擊應(yīng)用。John等[14]人使用了另外一種低交互的Web蜜罐，使用輔助搜索引擎日志，這個(gè)系統(tǒng)能夠通過搜索標(biāo)準(zhǔn)來觀察和鑒定來自攻擊者的惡意查詢并配置蜜罐頁面。不幸的是使用低交互方法采集結(jié)果時(shí)，限制了爬蟲和自動(dòng)腳本的訪問。任何手動(dòng)注入都會(huì)被錯(cuò)過，因?yàn)槿藗兡軌蚩焖俦鎰e出系統(tǒng)是一個(gè)陷阱，不是一個(gè)具有真實(shí)功能的應(yīng)用。除此之外，這個(gè)研究收集了一些有意思的關(guān)于自動(dòng)攻擊的詳情[14]。例如使用引擎蜘蛛爬過后，作者發(fā)現(xiàn)蜜罐頁面被攻擊的平均時(shí)間是12天，本地文件泄漏的漏洞在攻擊后很容易看到，剩余40%的惡意請(qǐng)求是通過請(qǐng)求蜜罐接收的。其他很常見的攻擊模式包括試圖訪問特定文件(例如：Web安裝腳本)，尋找有漏洞的遠(yuǎn)程文件。所有的模式的共同特點(diǎn)是都適用于自動(dòng)攻擊，因?yàn)樗鼈冎恍枰佑|一些特定的路徑或是在URL查詢的字符串中注入計(jì)算好的數(shù)據(jù)。作者也提出了適合本文的設(shè)備，但這些設(shè)備沒有被使用，因?yàn)樗麄冴P(guān)注的是攻擊者使用攻擊后的蜜罐服務(wù)器作為其他攻擊跳板。我們將在3.1處解釋如何處理這些。

如果對(duì)研究攻擊者的真正活動(dòng)感興趣，就要基于高交互蜜罐并采用不同的方式。在這方面的最初的嘗試是使用HIAT工具[18]。不幸的是在對(duì)這個(gè)工具進(jìn)行評(píng)估時(shí)沒有什么有意思的發(fā)現(xiàn)，因?yàn)樗贿\(yùn)行了幾天時(shí)間，這個(gè)蜜罐僅受到了8000次點(diǎn)擊，大多數(shù)還是通過良性爬蟲。據(jù)我們所知，這是第一次大規(guī)模評(píng)估后滲透攻擊階段攻擊者Web行為的研究。

然而，一些類似的工作如根據(jù)交互性shell在運(yùn)行SSH[19,23]的高交互蜜罐上的攻擊者行為劃分已經(jīng)有人做了。這個(gè)研究中的一些有意思的發(fā)現(xiàn)是攻擊者關(guān)注他們的機(jī)器，因?yàn)樘貏e的任務(wù)(例如在機(jī)器上運(yùn)行的掃描和SSH暴力破解攻擊和他們通常用的攻擊是不同的)。并且他們中的很多人不是很懂攻擊，僅使用很簡(jiǎn)單的攻擊方法和一系列的命令，這意味著大多數(shù)的攻擊者僅僅是按照入門級(jí)教程上的攻擊步驟來進(jìn)行操作的。于此同時(shí)，在SSH蜜罐上使用的命令需要針對(duì)軟件配置進(jìn)行，并嘗試安裝惡意軟件，例如僵尸腳本。我們會(huì)在第6節(jié)進(jìn)行。

最后我們的研究關(guān)注的是把分類的文件上傳到蜜罐，一些已經(jīng)發(fā)表的關(guān)于如何偵測(cè)相似源代碼文件的的文章，特別是抄襲檢測(cè)的[6,26]。其他一些相似的框架也被提出來，用來檢測(cè)圖片和其他多媒體格式，也是為了達(dá)到相同的目的。不幸的是我們看到了一堆文件上傳到蜜罐，并且他們大多數(shù)存在源代碼、二進(jìn)制數(shù)據(jù)或是文檔混淆的現(xiàn)象(就體現(xiàn)了大多數(shù)的抄襲檢測(cè)是無效的)。而且很多抄襲檢測(cè)工具和算法對(duì)資源的要求很高，很難應(yīng)用到大的數(shù)據(jù)庫上。這些原因使得抄襲檢測(cè)不能滿足我們的需求，任何類似指紋文件及分類問題，在取證領(lǐng)域都得到了研究。特別是基于上面想法的很多相似的文章在過去的幾年中也得到了發(fā)表[15，25]。這個(gè)方法被證實(shí)是有效、快速的，在偵測(cè)這類相似性問題上，這些是基于字節(jié)流來表示數(shù)據(jù)的。我們選擇使用這種方式，在我們的研究過程中使用的是在文獻(xiàn)[15,25]中提到的兩種工具。#p#

三、HoneyProxy

我們的蜜罐系統(tǒng)由很多的網(wǎng)站組成(我們的實(shí)驗(yàn)中是500)，每一個(gè)都包含5種最常見或是眾所周知有漏洞的內(nèi)容管理系統(tǒng)。17個(gè)預(yù)裝了PHPWebshell，還有一個(gè)是靜態(tài)網(wǎng)站。

我們解決了在我們的設(shè)備上托管的所有Web應(yīng)用大規(guī)模獨(dú)立安裝管理的問題。7臺(tái)隔離的虛擬機(jī)使用的是VMWare服務(wù)器。在主機(jī)提供商那里，我們只安裝了一個(gè)ad-hoc代理腳本(HoneyProxy)來將所有接收到的流量傳到我們服務(wù)器上的VM上。這就能夠讓我們集中采集數(shù)據(jù)，而且還能夠區(qū)分來自主機(jī)的不同響應(yīng)。圖1展示了系統(tǒng)的高階預(yù)覽。

PHP代理加入兩個(gè)自定義頭到每個(gè)訪問者的請(qǐng)求中：

X-Forwarded-For：這是用于代理的標(biāo)準(zhǔn)頭文件，用來設(shè)置客戶端的真實(shí)IP地址。如果客戶端的頭文件已經(jīng)設(shè)置，最后X-Forwarded-For會(huì)列出所有以前看到的IP，并且維持和追蹤所有客戶通過的代理。

X-Server-Path：這個(gè)自定義頭是通過PHP代理來設(shè)置，以讓我們能夠在分析虛擬機(jī)上的請(qǐng)求日志時(shí)了解請(qǐng)求域名的來源。例如：X-Server-Path: http://sub1.site.com/。

這兩個(gè)頭文件只在主機(jī)提供者的網(wǎng)站和蜜罐的虛擬服務(wù)器上追蹤目標(biāo)，對(duì)于蜜罐的使用者并不可見。

3.1、容器

每臺(tái)虛擬機(jī)都需要進(jìn)行合理的配置，以容納攻擊者攻擊的同時(shí)避免被攻擊者對(duì)蜜罐造成損害。尤其是，我們阻斷了對(duì)外連接(否則可能會(huì)導(dǎo)致外部主機(jī)被被攻擊)，修補(bǔ)了有漏洞的博客和論壇程序源代碼，從而隱藏垃圾郵件發(fā)送者發(fā)布的郵件(可能導(dǎo)致的惡意廣告鏈接)，并且調(diào)整了文件系統(tǒng)的權(quán)限讓攻擊者能夠攻擊他們，但無法控制機(jī)器或是改變每個(gè)應(yīng)用程序的主要源代碼。盡管如此，攻擊者上傳的惡意文件仍然存在著危險(xiǎn)，我們通過在固定的時(shí)間間隔內(nèi)還原每個(gè)虛擬機(jī)到原始狀態(tài)來處理這一問題。

下面，我們簡(jiǎn)要的介紹在蜜罐機(jī)上可能進(jìn)行的濫用行為，并展示我們自己的阻止或緩解方法。

圖1、系統(tǒng)的高階結(jié)構(gòu)分布

獲得機(jī)器最高權(quán)限。我們使用安裝了更新軟件和安全補(bǔ)丁的虛擬機(jī)來處理這個(gè)問題。在每臺(tái)虛擬機(jī)上，Web服務(wù)和所有對(duì)外服務(wù)均使用非特權(quán)用戶身份來運(yùn)行。當(dāng)然，這個(gè)解決方案無法阻止0-day攻擊，但是我們會(huì)盡量來限制攻擊面，在僅有3個(gè)服務(wù)(apache、sshd、mysqld)的機(jī)器上運(yùn)行，其中只有Web服務(wù)器暴露在互聯(lián)網(wǎng)下。我們考慮了利用0-day遠(yuǎn)程對(duì)apache進(jìn)行攻擊的可能性，也可能成為現(xiàn)實(shí)，屆時(shí)絕大多數(shù)互聯(lián)網(wǎng)應(yīng)用皆會(huì)受其影響。

使用蜜罐作為墊腳石來發(fā)動(dòng)攻擊和郵件活動(dòng)。這可能是在配置一個(gè)功能齊全的蜜罐之前要部署最為重要的部分。在我們的例子中，我們常常使用iptables規(guī)則來阻止(和記錄)除了已經(jīng)建立的連接以外的虛擬機(jī)的出站流量。IRC端口(6667)的規(guī)則是個(gè)例外，在第4和第6節(jié)會(huì)有詳細(xì)的介紹。

托管和發(fā)布非法內(nèi)容(如：釣魚頁面)。在有遠(yuǎn)程文件上傳漏洞時(shí)，威脅是很難避免的。然而，通過限制上傳目錄內(nèi)容的權(quán)利，通過防止改變所有現(xiàn)有的HTML和PHP文件，這些能夠降低發(fā)布非法內(nèi)容的風(fēng)險(xiǎn)。此外，我們也可以檢測(cè)到每個(gè)VM文件系統(tǒng)的改變，當(dāng)檢測(cè)到了一個(gè)文件改變，系統(tǒng)就會(huì)儲(chǔ)存下這個(gè)快照。然后虛擬機(jī)以規(guī)定的時(shí)間間隔來恢復(fù)到原始狀態(tài)，從而防止?jié)撛趦?nèi)容傳給受害人或是被搜索引擎收錄。

推銷非法產(chǎn)品和服務(wù)(如：垃圾郵件鏈接)。另一個(gè)問題是由應(yīng)用程序引發(fā)的，作為它們基本工作的一部分，允許用戶編寫并發(fā)表評(píng)論。任何的博客和論壇CMS都存在這個(gè)問題。這些應(yīng)用很容易成為垃圾郵件的目標(biāo)，我們會(huì)在5.3.1節(jié)中進(jìn)行說明，此外托管蜜罐時(shí)確保由機(jī)器人發(fā)出的鏈接和帖子不會(huì)被任何最終用戶訪問或被搜索引擎檢索是很重要的。我們通過修改包括論壇應(yīng)用的源代碼來解決這個(gè)問題(也就是Wordpress和Simple Machines Forum)，注釋掉負(fù)責(zé)顯示帖子內(nèi)容的代碼。利用這個(gè)改進(jìn)，攻擊者仍然有發(fā)布消息的可能(用來采集這些消息)，但是導(dǎo)航的帖子和評(píng)論只能顯示空白消息。

這些措施限制了我們從蜜罐上采集的信息(例如，攻擊者上傳的反向連接腳本會(huì)被我們的防火墻阻止)，但是我們認(rèn)為這是防止我們的設(shè)備被惡意利用的必要手段。#p#

3.2、數(shù)據(jù)采集和分析

我們使用兩個(gè)信息來研究攻擊行為：來自HTTP請(qǐng)求的日志，和攻擊者獲取受害主機(jī)權(quán)限后修改或是生成的文件。

我們開發(fā)了一些分析HTTP請(qǐng)求日志的工具，使我們能夠識(shí)別出已知的良性爬蟲，對(duì)我們的Web應(yīng)用進(jìn)行的已知攻擊，同時(shí)獲得詳細(xì)統(tǒng)計(jì)數(shù)據(jù)(接受請(qǐng)求數(shù)量和類型、User-Agent、IP地址、每個(gè)訪問者的地理信息、Referer頭的分析，和請(qǐng)求間時(shí)間間隔的分析)。我們的分析工具也能夠把相對(duì)應(yīng)時(shí)區(qū)攻擊者的時(shí)間標(biāo)準(zhǔn)化，檢測(cè)攻擊中可能存在的聯(lián)系(例如一個(gè)自動(dòng)腳本感染后的Web應(yīng)用程序上傳了一個(gè)文件，緊接著另一個(gè)IP地址訪問了這個(gè)上傳文件)。我們也開發(fā)了一個(gè)對(duì)于最常見的使用PHP Webshell的HTTP請(qǐng)求日志的解析器，使我們能夠提取請(qǐng)求命令并了解攻擊者在我們系統(tǒng)上的所作所為。

我們采用兩種方式檢測(cè)上傳和修改文件：Web服務(wù)日志和來自監(jiān)控的文件快照。Web服務(wù)日志上有上傳文件的記錄，每個(gè)通過我們蜜罐上傳文件的過程都會(huì)在apache的mod_secruity記錄上。在虛擬機(jī)的監(jiān)控目錄的文件快照是修改或生產(chǎn)的原文件以及系統(tǒng)上的被解壓的壓縮文檔或加密文件記錄的主要來源。我們能夠從這些原中提取的文件有85567個(gè)，其中的34259個(gè)文件是唯一的。

由于我們收集了大量的唯一文件，手動(dòng)文件分析變得不太可行。因此，為了減輕分析所采集數(shù)據(jù)的壓力，我們首先根據(jù)它們的類型歸到一起，來看下它們和其他文件有什么事實(shí)上的不同。這就需要我們進(jìn)行類似地下產(chǎn)業(yè)那樣相同的做法，例如在改變用戶名、登錄憑證、或是植入后門后，重新進(jìn)行相同的攻擊或是釣魚攻擊。

首先，我們使用Linux file工具對(duì)文件進(jìn)行分類，把他們放到10個(gè)宏觀的類里：源代碼、圖片、可執(zhí)行文件、數(shù)據(jù)、文檔、文本、HTML文件、鏈接、多媒體等。

然后我們對(duì)同一類型諸多文件進(jìn)行查看，這些文件只是少數(shù)字節(jié)不同(由于剪切和粘貼會(huì)產(chǎn)生空白)或是源代碼注釋中存在不同。因此，要提高我們的對(duì)比結(jié)果，我們要提前處理每個(gè)文件并把它轉(zhuǎn)成規(guī)范形式。作為規(guī)整化的一部分，我們刪除所有的雙空格、制表符、換行符以及所有的注釋(C類型和bash類型)，最后進(jìn)行標(biāo)準(zhǔn)化處理新行，并在代碼中分離出電子郵箱地址。對(duì)于HTML文件，我們使用html2text工具來分離出所有的HTML標(biāo)簽。

PHP文件使用了一個(gè)附加前處理的步驟。我們發(fā)現(xiàn)大量的PHP文件上傳到我們的蜜罐上，導(dǎo)致了與Web應(yīng)用的混淆。這種形式的文件即使是使用自動(dòng)工具也很難檢測(cè)到用不同方式編碼的相似文件的相同之處。為了克服這個(gè)問題，我們建立了一個(gè)基于evalhook PHP[10]擴(kuò)展的PHP自動(dòng)反混淆工具，包含動(dòng)態(tài)代碼評(píng)估功能的模塊，來實(shí)現(xiàn)一步一步對(duì)PHP代碼的反混淆。我們?cè)跊]有Web應(yīng)用的時(shí)候在虛擬機(jī)上部署了我們的工具(避免發(fā)生遠(yuǎn)程計(jì)算機(jī)攻擊或是掃描，因?yàn)橐恍┗煜哪_本可能會(huì)實(shí)現(xiàn)遠(yuǎn)程連接或是攻擊)，同時(shí)對(duì)每個(gè)文件進(jìn)行至少一級(jí)的反混淆操作(例如，嵌套調(diào)用eval())，并保存反混淆代碼。

我們的方法可以讓我們反混淆幾乎所有已混淆的PHP文件(例如，gzip和base64編碼和解碼，使用eval()函數(shù)的動(dòng)態(tài)評(píng)估)。我們唯一不能反混淆的PHP文件是帶有錯(cuò)誤終止(往往是因?yàn)檎Z法錯(cuò)誤)以及使用專門的商業(yè)編碼工具的文件，如Zend Optimizer或是ionCube PHP Encoder。但是我們觀察到僅有3個(gè)樣本使用了這些工具進(jìn)行編碼。

總的來說，我們成功的反混淆了1217個(gè)截然不同的文件，占到我們收集的源代碼的24%。有意思的是，每個(gè)文件都被正常的編碼多次，需要平均9次反混淆操作還原PHP代碼(有些樣本需要驚人的101次)。

3.2.1、相似性歸類

一旦規(guī)整化步驟完成，就可以計(jì)算在相同類型文件中兩兩之間的相似性，我們使用了2種進(jìn)行相似性檢測(cè)的標(biāo)準(zhǔn)化工具ssdeep[15]和sdhash[25]。然后，我們使用簡(jiǎn)單的分類算法對(duì)所有的文件進(jìn)行分類，相似值大于0.5的被分到同一個(gè)組中。

在我們不能找到類似的元素時(shí)，就會(huì)放棄該文件。對(duì)于其余的部分，我們進(jìn)行手動(dòng)分析，根據(jù)他們的不同目的分成不同的類別。因?yàn)槲募呀?jīng)根據(jù)相似性進(jìn)行分組，對(duì)每個(gè)組的文件進(jìn)行分析就成必須(如打開和檢查內(nèi)容)。在這個(gè)階段里，我們能夠定義多個(gè)文件類別，能夠讓我們更好地了解攻擊者的意圖。另外，這一步讓我們對(duì)有趣的攻擊有了新的見解，其中的一些會(huì)在下面的部分通過深入的例子進(jìn)行介紹。#p#

四、配置系統(tǒng)

500個(gè)蜜罐代理部署到了共享主機(jī)計(jì)劃上，這些主機(jī)選用了8個(gè)國際上最流行的互聯(lián)網(wǎng)虛擬主機(jī)提供商的主機(jī)(來自美國、法國、德國和荷蘭)。為了讓蜜罐代理能夠正常工作，每個(gè)供應(yīng)商必須支持通過PHP使用cURL庫，同時(shí)支持除了80和443端口以外的其他端口對(duì)外連接。

為了能使用戶登錄我們的蜜罐網(wǎng)頁，我們?cè)贕oDaddy.com上購買了100域名，同時(shí)帶有隱私保護(hù)。這些域名被平均分配在.COM、.ORG和.net頂級(jí)域名中，并均勻地分配給提供商主機(jī)。對(duì)于每個(gè)提供商，我們?yōu)槊總€(gè)域名配置了4個(gè)附加的子域名，這樣就有了5個(gè)不同的網(wǎng)站(為保證蜜罐的匿名性，我們叫它們www.site.com、sub1.site.com、sub2.site.com、sub3.site.com和sub4.site.com)，最后，我們?cè)谑醉撋瞎歼@500個(gè)域名，在研究小組的網(wǎng)站上以透明的方式進(jìn)行連接，這種方法已經(jīng)由MUTER[18]等出于類似目的提出。

我們使用修改后的ftp-deploy腳本[11]分批上傳我們給500個(gè)網(wǎng)站定制的PHP代理。這就簡(jiǎn)化了發(fā)布和更新PHP代理的操作，并統(tǒng)一了上傳文件到服務(wù)器上的操作。由于與.htaccess、ModRewrite以及cURL的結(jié)合，我們可以把用戶的請(qǐng)求透明地轉(zhuǎn)發(fā)到對(duì)應(yīng)虛擬機(jī)的適當(dāng)URL上。任何嘗試讀取一個(gè)不存在的資源，或是訪問代理頁面都會(huì)顯示空白頁面給用戶。在不考慮賬戶的時(shí)間線攻擊或是入侵主機(jī)提供商服務(wù)器前提下，訪問者無法知道他們?cè)L問的是代理。

安裝在每個(gè)網(wǎng)站上的蜜罐系統(tǒng)都是由索引文件、PHP代理腳本和配置文件組成的。索引文件是網(wǎng)站的主頁，它會(huì)連接到存在漏洞的Web應(yīng)用上或是其他蜜罐網(wǎng)站，這些是根據(jù)配置文件的內(nèi)容來定的。

每個(gè)子域名的連接結(jié)構(gòu)是不同的，如圖1(a)中所示。實(shí)際上，同一個(gè)域名下的每個(gè)子域最多和其他2個(gè)不同的子域名連接。我們建立的連接圖就是為了檢測(cè)來自系統(tǒng)的可能導(dǎo)致自動(dòng)連接和執(zhí)行自動(dòng)攻擊或掃描的流量。

4.1、安裝Web應(yīng)用

我們?cè)?臺(tái)虛擬機(jī)上總共安裝了5個(gè)有漏洞的CMS，這些CMS是最知名的內(nèi)容管理系統(tǒng)，同時(shí)在我們開始部署時(shí)就具有漏洞。對(duì)于每個(gè)CMS我們都選擇了一個(gè)有大量漏洞的版本，或者至少有一個(gè)能讓攻擊者完全控制的應(yīng)用程序漏洞。我們也限制選擇發(fā)布時(shí)間不超過5年的CMS版本，來保證我們網(wǎng)站可以吸引攻擊者。

我們這樣選擇的目的是出于攻擊者選擇低門檻目標(biāo)的想法。另一方面，我們的蜜罐可能會(huì)錯(cuò)過精致而不落俗套的攻擊，這些攻擊主要針對(duì)著名機(jī)構(gòu)或是知名網(wǎng)站。然而，這些攻擊不容易通過蜜罐來研究，因此不在我們研究的范圍內(nèi)。

表1描述了安裝在7臺(tái)虛擬機(jī)上的應(yīng)用漏洞、發(fā)布的時(shí)間、應(yīng)用特點(diǎn)以及存在的漏洞。我們已經(jīng)安裝了WordPress 2.8的兩個(gè)實(shí)例，一個(gè)使用CAPCHA來保護(hù)評(píng)論，另一個(gè)沒有使用CAPCHA保護(hù)，這是為查看是否有攻擊者會(huì)手動(dòng)注冊(cè)虛假賬號(hào)，還是系統(tǒng)自動(dòng)解決CAPCHA。但似乎沒有這種情況，因?yàn)槲覀儧]有接收到任何被CAPTCHA保護(hù)的博客上的評(píng)論。因此我們不會(huì)討論在文章其余部分討論的這部分內(nèi)容。

4.2、收集數(shù)據(jù)

從2011年12月23日開始，我們收集了運(yùn)行了100天虛擬機(jī)上的日志。所有的結(jié)果出自這7臺(tái)機(jī)器的日志。

總的來說，我們收集了9.5千兆的原始HTTP請(qǐng)求，由大概11.0M的GET和1.9M的POST。我們的蜜罐被超過了73000個(gè)不同的IP地址訪問過，這些IP地址跨越了178個(gè)國家和超過11，000的用戶代理。這要比之前John等人在低交互蜜罐上[14]觀察到的幅值上大一倍。此外，我們還提取超過85，000個(gè)在攻擊我們的網(wǎng)址過程中上傳或是修改的文件。

有兩種不同的方式來處理我們收集的數(shù)據(jù)：一是通過看Web日志來確定和研究攻擊;另一種是通過分析攻擊者上傳和修改的文件來盡量和目標(biāo)建立關(guān)聯(lián)。接下來的兩節(jié)會(huì)從這兩個(gè)視角進(jìn)行描述。#p#

五、滲透攻擊和后滲透攻擊行為

為了能單純的使用蜜罐來更好的分析攻擊者的行為，我們決定把攻擊分為4個(gè)不同的階段：發(fā)現(xiàn)、偵察、滲透攻擊和后滲透攻擊。發(fā)現(xiàn)階段描述攻擊者如何找到他們的目標(biāo)，例如通過搜索引擎查詢或是通過簡(jiǎn)單的IP地址掃描。偵察階段包括被訪問網(wǎng)頁的相關(guān)信息，如使用自動(dòng)爬蟲或是手動(dòng)接入一個(gè)匿名的代理。在滲透攻擊階段，我們描述了對(duì)我們的Web應(yīng)用程序進(jìn)行攻擊的數(shù)量和類型。有些攻擊達(dá)到了他們的最終目標(biāo)(如使一個(gè)網(wǎng)頁重新指向一個(gè)惡意網(wǎng)站)，但是一些只是進(jìn)行了上傳操作。在這種情況下，上傳的文件通常是Webshell，攻擊者利用該文件稍后進(jìn)行手動(dòng)登入被攻擊系統(tǒng)并繼續(xù)進(jìn)行攻擊行為。我們把這之后的階段叫做后滲透攻擊階段。

表1簡(jiǎn)要說明安裝到蜜罐虛擬機(jī)上的應(yīng)用程序特點(diǎn)和可以利用的漏洞列表。

 

表1、蜜罐虛擬機(jī)上安裝的應(yīng)用程序

要呈現(xiàn)所有可能行為的組合是很難的。并不是每一次攻擊都會(huì)出現(xiàn)這幾個(gè)階段(如偵察和滲透攻擊可能在一個(gè)階段中執(zhí)行)，而一些訪問并不會(huì)導(dǎo)致任何實(shí)質(zhì)性的攻擊，有時(shí)甚至不能將來自不同IP地址的同一個(gè)攻擊者的不同行為關(guān)聯(lián)在一起。但是，通過在每個(gè)階段中收集的數(shù)據(jù)中提煉常見模式，我們能夠在我們的實(shí)驗(yàn)觀察中識(shí)別出“典型的攻擊形態(tài)”。這些信息可以進(jìn)行如下概括：

1、69.8%的攻擊者使用搜索機(jī)器人來訪問頁面。這樣的搜索經(jīng)常試圖隱藏User-Agent，或是偽裝成合法的瀏覽器或是搜索引擎爬蟲。

2、當(dāng)偵察鑒定這是攻擊目標(biāo)后的幾秒鐘，第二階段的自動(dòng)系統(tǒng)會(huì)訪問該頁面并執(zhí)行真正的滲透攻擊。這通常是單獨(dú)的一個(gè)不能偽造用戶代理的腳本，因此，常常出現(xiàn)例如libwww/perl的字符串。

3、如何漏洞允許攻擊者上傳文件，在這種情況下，46%的滲透攻擊機(jī)器人會(huì)上傳Webshell。此外，大多數(shù)的攻擊者會(huì)成冪次方的上傳相同的文件(平均9，有時(shí)多達(dá)30)，大致可以肯定攻擊是成功的。

4、平均在3小時(shí)26分鐘后，攻擊者通過之前上傳的shell登錄機(jī)器。這個(gè)和攻擊者進(jìn)行交互的平均登錄時(shí)間是5分37秒。

雖然這代表了從我們數(shù)據(jù)庫中提取的最常見的行為，但我們也觀察到了很多其他行為組合，我們會(huì)在其余的章節(jié)中進(jìn)行描述。最后，要提的是攻擊者行為會(huì)隨著應(yīng)用和利用漏洞的不同而發(fā)生改變。因此，我們應(yīng)該說之前的描述總結(jié)了針對(duì)osCommerce 2.2的最常見攻擊行為(迄今為止在我們蜜罐上遭受攻擊次數(shù)最多的Web應(yīng)用)。

圖2對(duì)每個(gè)階段的特征進(jìn)行了快速的總結(jié)。在余下的章節(jié)中有更多的信息和統(tǒng)計(jì)數(shù)據(jù)。然后，根據(jù)在滲透攻擊或后滲透攻擊時(shí)期上傳和修改文件的分析，我們?cè)诘?節(jié)將會(huì)根據(jù)實(shí)驗(yàn)觀察來努力總結(jié)不同的攻擊目標(biāo)和動(dòng)機(jī)。

圖2、攻擊的四個(gè)階段

圖3、研究過程中蜜罐系統(tǒng)接收到的HTTP請(qǐng)求量

圖4、來自各國的請(qǐng)求數(shù)量

#p#

5.1、發(fā)現(xiàn)階段

第一次HTTP請(qǐng)求進(jìn)入我們的蜜罐代理是在我們配置好蜜罐后的10分鐘里，來自Google機(jī)器人。第一次直接請(qǐng)求我們的虛擬機(jī)(在8002端口)是在搭建后的1小時(shí)50分鐘。

在最初的幾天里，多數(shù)流量是由良性Web爬蟲造成，因此我們?cè)O(shè)計(jì)了一個(gè)簡(jiǎn)單的解決方法，在余下的流量里篩選出良性爬蟲產(chǎn)生的流量。因?yàn)閱为?dú)的HTTP頭文件是不可信的(如攻擊者常常在他們所用的腳本里使用“Googlebot”的User-Agent)，我們收集了機(jī)器人的公開信息，我們把這些信息與日志中提取的信息結(jié)合并在WHOIS結(jié)果中進(jìn)行確認(rèn)，以鑒別來自已知公司的爬蟲。通過結(jié)合User-Agent字符串和關(guān)聯(lián)到已知企業(yè)范圍的IP地址，我們可以鑒定14種來自1965個(gè)不同的IP地址的不同爬蟲。盡管這不并非完整的爬蟲列表(如約翰等人[14]使用了一個(gè)更復(fù)雜的技術(shù)來鑒定16種Web爬蟲)，但足夠成功過濾由爬蟲產(chǎn)生的流量。

在圖3中顯示了關(guān)于請(qǐng)求的統(tǒng)計(jì)學(xué)數(shù)據(jù)。良性爬蟲的請(qǐng)求相對(duì)穩(wěn)定，但是隨著時(shí)間的流逝，蜜罐會(huì)被搜索引擎索引并被連接到黑客論壇或是連接到鏈接養(yǎng)殖場(chǎng)上，惡意僵尸或是爬蟲的請(qǐng)求數(shù)量同時(shí)也呈線性增加。

當(dāng)繪制這些統(tǒng)計(jì)數(shù)據(jù)時(shí)，我們?cè)谠L問模式上也確定了一些可疑的流量，在一些情況下，短短的幾個(gè)小時(shí)我們的應(yīng)用就被一些特別的IP地址訪問(和每天平均192次相比)，這清晰地表明一個(gè)僵尸網(wǎng)絡(luò)正在掃描我們的網(wǎng)站。

有趣的是，在系統(tǒng)搭建好后的2小時(shí)10分鐘，當(dāng)論壇開始接受一些自動(dòng)注冊(cè)時(shí)我們就觀察到了第一個(gè)可疑行為。然而，論壇上的第一個(gè)帖子出現(xiàn)在4天后的12月27號(hào)。更令人驚奇的事實(shí)是，從爬蟲的第一次訪問恰好帶來了第一次攻擊：在我們的蜜罐配置好后的4小時(shí)30分鐘。在波蘭的瀏覽器訪問了我們的osCommerce應(yīng)用程序并通過文件上傳漏洞上傳了惡意PHP腳本到蜜罐。圖4總結(jié)了我們的蜜罐收到的訪問(良性爬蟲除外)，并通過地理地址將它們進(jìn)行了劃分。

5.1.1、Referer分析

分析HTTP頭中的Referer(無論何時(shí)都可用)可以幫助我們確定訪問者是怎么在Web上發(fā)現(xiàn)蜜罐的。根據(jù)結(jié)果我們可以區(qū)分兩類主要的用戶：使用搜索引擎來尋找應(yīng)用程序漏洞的攻擊者，和通過郵件或是公共論壇上發(fā)帖來進(jìn)行釣魚的受害者(我們將在6.8節(jié)介紹這個(gè)現(xiàn)象)。

Referer集中共有66449人次訪問了我們的蜜罐頁面。出現(xiàn)的最頻繁的是搜索引擎，其次是是Web郵件和公共論壇。其中來自Google的記錄有17156條，攻擊者用來尋找我們網(wǎng)站時(shí)所使用的其他搜索引擎有Yandex(1016條)、Bing(263條)、Yahoo(98條)。最后，其他的15746次請(qǐng)求來自幾個(gè)公共的Web論壇，部分論壇屬于黑客組織，部分來源是垃圾郵件機(jī)器人。

最后我們通過從網(wǎng)頁搜索引擎上的Referer集提取了搜索查詢(當(dāng)用于惡意目的時(shí)也叫做“dorks”)。我們的分析表明攻擊者使用的搜索條件高度依賴于部署在蜜罐上的應(yīng)用。例如，訪問Joomla應(yīng)用最常用的dork包含有‘joomla allows you’字樣，同時(shí)Simple Machines Forum可以通過搜索‘powered by SMF’來查到。我們的機(jī)器包含的公開Webshell也可以通過類似‘inurl:c99.php’、‘[cyber anarchy shell]’甚至是‘[ftp buteforcer][security info][processes][mysql][php-code][encoder][backdoor][back-connection][home][enumerate][md5-lookup][word-lists][milw0rm it!][search] [selfkill][about]’來搜索到。后面的查詢盡管很長，但仍然有超過150次的Web shell訪問來自于它。更可能的搜索來源是通過‘intitle’：因?yàn)槟_本的名字和標(biāo)題常會(huì)被攻擊者自定義，相比搜索固定的url類型或是網(wǎng)頁主題，搜索它們的文字內(nèi)容更可能返回更多結(jié)果。一些專用的搜索引擎也有被用到，如devilfinder.com，有141次訪問Web shell是通過該搜索引擎。這個(gè)搜索引擎聲稱和一般的搜索引擎比會(huì)顯示更多低排名的結(jié)果，且不會(huì)儲(chǔ)存任何搜索數(shù)據(jù)，相同的Web頁面最多可以返回多達(dá)300條記錄，這就很適合攻擊者尋找dorks和長長的漏洞網(wǎng)站列表。

5.2、偵察階段

在移除良性爬蟲流量后，我們的蜜罐接收到的大部分流量都來源不明，其中許多是源于自動(dòng)的HTTP請(qǐng)求。在研究過程中，我們發(fā)現(xiàn)這些請(qǐng)求大部分是針對(duì)我們蜜罐的攻擊或垃圾郵件。

然而，區(qū)分攻擊者是手動(dòng)訪問還是自動(dòng)訪問還是很難的。我們把下面的三個(gè)準(zhǔn)則作為自動(dòng)請(qǐng)求的標(biāo)志：

間隔時(shí)間。如果請(qǐng)求來自相同的IP地址，到達(dá)的頻率高于某個(gè)閥值。我們就會(huì)認(rèn)為流量來源于一個(gè)可能的惡意機(jī)器。

圖片請(qǐng)求。自動(dòng)化系統(tǒng)特別需要優(yōu)化其請(qǐng)求速度，幾乎從來不會(huì)要求來自系統(tǒng)的圖像或是演示相關(guān)的內(nèi)容。掃描訪問者的Web日志，那些從來沒有請(qǐng)求圖像或是CSS內(nèi)容是自動(dòng)掃描的一個(gè)簡(jiǎn)單特點(diǎn)。

子域名訪問模式。如第4節(jié)中說，我們配置的每個(gè)網(wǎng)站都包含很多根據(jù)預(yù)定的模式相互連接的子域名。如果在很短的時(shí)間里有相同的IP訪問，根據(jù)我們的模式，那么這很有可能是一個(gè)自動(dòng)化的爬蟲。

例如，在移除良性爬蟲流量之后，系統(tǒng)在不接收?qǐng)D片請(qǐng)求的情況總共接收到了9.5M的訪問量，與之相比，系統(tǒng)被請(qǐng)求圖片和演示內(nèi)容時(shí)才接收到1.8M訪問量。相反，只有641個(gè)IP地址(對(duì)于13.4K的訪問量)是按照精確的訪問連接訪問網(wǎng)站的，其中60%的訪問遵循廣度優(yōu)先的原則。

85%自動(dòng)化請(qǐng)求是針對(duì)我們的論壇應(yīng)用程序，都是注冊(cè)虛假用戶信息和發(fā)布垃圾郵件的請(qǐng)求。余下的1.4M請(qǐng)求直接指向剩余的6個(gè)蜜罐應(yīng)用程序，95K是模仿已知搜索引擎User-Agent的流量，還有264K的流量是在多個(gè)User-Agent相互切換訪問的結(jié)果。余下的請(qǐng)求不包含任何可疑的用戶代理字符串，沒有按照域名路徑，也不請(qǐng)求圖片，所以我們把它們歸類為機(jī)器人請(qǐng)求。#p#

5.3、滲透攻擊階段

首要的工作是通過解析、搜索日志文件中的攻擊痕跡來檢查滲透攻擊企圖。幸運(yùn)的是在已經(jīng)知曉Web應(yīng)用程序漏洞的情況下，我們可以通過一系列正則表達(dá)式在日志中快速、穩(wěn)定的檢索攻擊信息。

總體而言，我們記錄了444種不同的滲透攻擊會(huì)話。一個(gè)有趣發(fā)現(xiàn)是其中的310種使用了兩個(gè)或是多個(gè)User-Agent字符串，正如第5節(jié)所說，這種情況在使用偵察機(jī)器人和自動(dòng)攻擊腳本來提高攻擊速度并快速尋找目標(biāo)時(shí)便會(huì)發(fā)生。特別是，我們所觀察的三分之二(294個(gè))的滲透攻擊會(huì)話所使用的User-Agent與LibWWW Perl庫(libwww/perl)相關(guān)。

在這樣的一些滲透攻擊會(huì)話中，攻擊者試圖掩飾他使用的良性機(jī)器人工具和瀏覽器。在滲透攻擊會(huì)話中常被使用的一些爬蟲User-Agent字符串是：FreeWebMonitoring、Gigabot/3.0、gsa-crawler、IlTrovatore-Setaccio/1.2、bingbot/2.0和Googlebot/2.1。

每個(gè)滲透攻擊會(huì)話最顯著的副作用是上傳或修改受害主機(jī)上的文件。特別奇怪的是，我們注意到滲透攻擊會(huì)話中上傳文件時(shí)平均會(huì)上傳9.75次。這種奇怪的現(xiàn)象可以用這樣的事實(shí)來解釋，大多數(shù)滲透攻擊工具都是自動(dòng)執(zhí)行的，攻擊者無法實(shí)時(shí)查看攻擊是否成功，多次上傳相同的文件可以增加文件上傳成功的幾率。

圖5、攻擊會(huì)話的時(shí)間分布

使用3.2節(jié)所介紹的方法，我們將上傳到蜜罐的文件自動(dòng)歸類為漏洞利用服務(wù)的結(jié)果。然后，我們把滲透攻擊會(huì)話信息和收集文件的分類結(jié)果進(jìn)行關(guān)聯(lián)，這個(gè)階段的分析結(jié)果顯示攻擊會(huì)話所上傳文件的構(gòu)成：45.75%的文件是Webshell，17.25%的文件是釣魚文件(簡(jiǎn)單的HTML頁面或是完整的釣魚攻擊包)，1.75%的文件是自動(dòng)下載和遠(yuǎn)程URL執(zhí)行文件，1.5%的文件是本地信息搜集文件。最終，32.75%的上傳文件無法用我們的系統(tǒng)進(jìn)行歸類，因?yàn)樗鼈兣c我們所觀察的其他文件沒有相似之處，或者是與我們研究無關(guān)的多媒體文件和圖片(例如，用于篡改頁面的圖片或音樂)。

圖5顯示了我們的蜜罐遭受攻擊的規(guī)整時(shí)間，該值是計(jì)算機(jī)根據(jù)IP地址所在地理位置的時(shí)區(qū)調(diào)整后的數(shù)值。同樣，這些數(shù)值無法反應(yīng)攻擊者在代理情況下使用不同IP地址進(jìn)行攻擊的正確數(shù)值。然而，該圖顯示了在滲透攻擊和后滲透攻擊階段在白天進(jìn)行的明顯趨勢(shì)。尤其是我們觀察到的交互會(huì)話中只有很少發(fā)生在凌晨4點(diǎn)到上午10點(diǎn)，可能是因?yàn)楣粽咭残枰菹⒌木壒省Ｓ腥さ氖窃跐B透攻擊階段絕大多數(shù)自動(dòng)化攻擊的時(shí)間分布上也顯示了類似的趨勢(shì)(盡管不清晰)。這可能受感染的僵尸主機(jī)進(jìn)行掃描的結(jié)果，而這些主機(jī)在晚上便會(huì)被用戶關(guān)掉。

搜索我們攻擊日志來得到關(guān)于直接訪問我們虛擬機(jī)的攻擊者信息，這些攻擊者沒有通過蜜罐代理訪問，我們發(fā)現(xiàn)這種攻擊數(shù)量不多，但仍然有相當(dāng)數(shù)量的攻擊是直接攻擊蜜罐的IP:PORT。特別是，我們發(fā)現(xiàn)這種攻擊中的25次是針對(duì)蜜罐上的電子商務(wù)應(yīng)用，19次是針對(duì)主機(jī)上的webshell和靜態(tài)網(wǎng)站。在這兩種情況下，攻擊者可以使用之前的漏洞來提取我們機(jī)器的IP地址(保存在被許多攻擊者經(jīng)常下載的osCommerce配置文件中，或是通過交互shell來檢查機(jī)器)，并在之后的攻擊中用到這些信息。

5.3.1、發(fā)帖

在第一天的運(yùn)行后，我們的論壇應(yīng)用程序收到大量的訪問流量，大部分流量是虛假注冊(cè)和垃圾郵件機(jī)器人發(fā)出的。我們分析了機(jī)器數(shù)據(jù)庫的每一個(gè)快照，目的是提取論壇帖子和嵌入其中的每一條URL信息。這讓我們鑒別和分類了幾種垃圾郵件和鏈接養(yǎng)殖場(chǎng)，同時(shí)發(fā)現(xiàn)了一些惡意出售論壇賬號(hào)的行為。

在我們的研究中，共有68201條唯一信息被發(fā)布，這些信息來自15753個(gè)用戶使用的3144唯一IP地址。每天論壇的數(shù)據(jù)體現(xiàn)出高流量留言板是典型的媒介：平均每天發(fā)帖604條(最高達(dá)3085條)，在高峰時(shí)刻平均有232個(gè)用戶在線(最多達(dá)403個(gè))。

更讓人吃驚的是論壇注冊(cè)者的數(shù)量要比發(fā)帖的數(shù)量大的多：平均每天1907次注冊(cè)，在2012年3月23日達(dá)到最大的14400次。這種現(xiàn)象非常常見，在我們論壇上進(jìn)行操作的33.8%IP地址都至少創(chuàng)建了一個(gè)虛假賬戶，但是從來不發(fā)帖，這表明對(duì)于犯罪者來說或許有完成自動(dòng)注冊(cè)的某種激勵(lì)，或許這比垃圾郵件活動(dòng)更能獲得價(jià)值。我們?cè)O(shè)想這些虛假論壇賬號(hào)可以在黑市上進(jìn)行出售。我們確實(shí)發(fā)現(xiàn)了1260個(gè)賬號(hào)是由同一個(gè)IP地址創(chuàng)建的，幾天之后使用其他的IP來發(fā)布消息，這不一定能證實(shí)我們的推論，但是至少說明論壇垃圾信息已經(jīng)成為一種復(fù)雜的生態(tài)體系，且在一次垃圾信息或鏈接養(yǎng)殖場(chǎng)的幕后找出其中某個(gè)人員現(xiàn)如今是非常難的。

進(jìn)一步查看注冊(cè)用戶和發(fā)布垃圾信息的IP地址發(fā)現(xiàn)，這些IP大部分來自于美國或東歐國家(主要是俄羅斯、烏克蘭、波蘭、拉脫維亞、羅馬尼亞)。在我們的論壇上活躍著6687個(gè)不同的IP地址(至少發(fā)了一個(gè)帖子或是注冊(cè)了一個(gè)或是多個(gè)賬號(hào))，其中，36.8%來自美國，24.6%來自東歐。如果只考慮至少在論壇上發(fā)一次帖子的IP地址，那么國家的覆蓋率就會(huì)徹底不同，這種情況下，來自美國的IP地址占了62.3%(東歐的IP地址占21.2%)。

最后，我們把論壇上的所有帖子根據(jù)關(guān)鍵字進(jìn)行了簡(jiǎn)單分類。這樣就可以讓我們快速鑒別常見的垃圾郵件主題和活動(dòng)。通過這種方法，我們能夠自動(dòng)分類63763條信息(占總數(shù)的93.5%)。

我們提取出來的主題信息趨勢(shì)說明最常見的主題類型是藥品(占分類消息的55%，最高每天有2000條信息)，其次是搜索引擎優(yōu)化(SEO)和電子產(chǎn)品(11%)、成人內(nèi)容(8%)、衛(wèi)生保健和家庭安全(6%)。

我們使用了兩種自動(dòng)的分析工具來對(duì)所有帖子中的鏈接進(jìn)行一個(gè)深入分析來檢測(cè)惡意網(wǎng)頁，即Google安全瀏覽器[22]和Wepawet[8]。這兩種工具的檢測(cè)結(jié)果說明我們從論壇上提取的221423個(gè)URL中只是很少的一部分(2248條，大概1%)包含惡意或是可能有害的鏈接。

5.4、后滲透攻擊階段

后滲透攻擊階段主要是分析攻擊者和被感染的機(jī)器之間的聯(lián)系。在我們的實(shí)驗(yàn)中，是通過在滲透攻擊階段安裝Webshell，或是通過訪問預(yù)先安裝到我們的虛擬機(jī)上的公開Web shell增加收集的數(shù)據(jù)。

后滲透攻擊階段分析中值得特別關(guān)注，因?yàn)樵诮换?huì)話中攻擊者可以發(fā)出任意指令。然而，這些Webshell不會(huì)有任何會(huì)話概念：它們僅僅是無狀態(tài)條件下通過HTTP請(qǐng)求接收命令并提供響應(yīng)而已。

在我們的實(shí)驗(yàn)中，我們總共接收到了74497次shell命令。這些命令從簡(jiǎn)單文件系統(tǒng)中衍變而來對(duì)文件進(jìn)行檢查和編輯，以及復(fù)雜到上傳新文件和執(zhí)行Web掃描等任務(wù)。

為了更好的理解這個(gè)數(shù)字代表了什么，我們決定將每次接收的來自同一個(gè)IP地址的獨(dú)立命令在虛擬“交互會(huì)話”中組合起來，同時(shí)連續(xù)命令之間的時(shí)間間隔少于5分鐘。

根據(jù)這個(gè)定義，我們注冊(cè)了232個(gè)交互會(huì)話作為滲透攻擊的結(jié)果，我們預(yù)裝了8268個(gè)shell，平均每個(gè)會(huì)話持續(xù)5分37秒，然而，其中我們注冊(cè)的9個(gè)會(huì)話用時(shí)都在一個(gè)小時(shí)以上。依據(jù)系統(tǒng)命令的響應(yīng)，最長的會(huì)話來自沙特阿拉伯，該會(huì)話向shell發(fā)送了663條命令，包括幾個(gè)文件的手動(dòng)編輯。

有趣的是，在攻擊過程中最常見的一個(gè)行為是上傳自定義的shell，即使攻擊者攻入系統(tǒng)時(shí)使用的是在系統(tǒng)上已經(jīng)存在的shell。因?yàn)楣粽咧朗褂闷渌税惭b的shell含有后門并泄露他們信息的可能性更高。除了我們工具所提供的17個(gè)shell，我們還定義了HTTP模式來匹配攻擊者上傳的常見自定義shell，由此我們可以分析他們發(fā)出的命令。

在83%的情況下，攻擊者試圖使用至少一個(gè)主動(dòng)命令(上傳或是編輯文件、更改文件權(quán)限、創(chuàng)建文件或是目錄、掃描主機(jī)、關(guān)閉進(jìn)程、連接數(shù)據(jù)庫、發(fā)送郵件等)。其余的會(huì)話純粹是被動(dòng)行為，攻擊者僅僅是瀏覽我們的系統(tǒng)、下載源碼和配置文件。

最后，在61%的會(huì)話中攻擊者會(huì)上傳一個(gè)新文件，50%的會(huì)話會(huì)試圖修改機(jī)器上已存在的文件(其中的13%是頁面篡改)。對(duì)于這些獨(dú)立命令，最常用的是讀取和列出文件和目錄，隨后是在系統(tǒng)上編輯文件、上傳文件、運(yùn)行命令、列出運(yùn)行中進(jìn)程以及下載文件。#p#

六、攻擊目標(biāo)

在本節(jié)中，我們把關(guān)心的重點(diǎn)從攻擊方法轉(zhuǎn)向攻擊動(dòng)機(jī)。換句話說，我們會(huì)試圖去了解攻擊者在拿下網(wǎng)站后會(huì)做什么。他們是否會(huì)安裝僵尸服務(wù)，他們是否會(huì)試圖獲取主機(jī)的管理員權(quán)限，他們是否會(huì)在應(yīng)用程序中插入代碼、植入后門或是惡意的iFrame。

表2、分類結(jié)果

圖6、基于特殊文件上傳的攻擊行為

為了回答這些問題，我們分析了在滲透攻擊階段上傳的文件，和在后滲透攻擊時(shí)期創(chuàng)建和修改的文件。正如我們?cè)诘?節(jié)中提到的我們對(duì)每個(gè)文件的內(nèi)容進(jìn)行了規(guī)整，根據(jù)它們的相似性進(jìn)行了歸類。最后，我們手動(dòng)標(biāo)記了每個(gè)類型，以區(qū)分這些文件的目的。表2總結(jié)了歸類的結(jié)果，我們的蜜罐收集了86.4%的單一文件。關(guān)于這些文件，圖6展示了文件目的的類別。例如，在實(shí)驗(yàn)中我們觀察到的1.7%文件是用來升級(jí)在感染的機(jī)器上提升權(quán)限，這不同于說1.7%的攻擊者要提升機(jī)器權(quán)限。不幸的是，我們并不是總能將這些文件和攻擊者的攻擊行為對(duì)應(yīng)起來。因此，我們通過鑒別在攻擊期間上傳特定文件的每個(gè)特定IP地址所完成的特定行為對(duì)攻擊者行為進(jìn)行評(píng)估。僅僅通過攻擊者的IP地址來鑒別攻擊者并不總是正確，但是這還是提供了一個(gè)近似的合理性。因此如果我們說某一類攻擊的預(yù)計(jì)攻擊概率有20%，這就意味著一個(gè)攻擊者在他/她的操作中所上傳的5個(gè)文件中至少有一個(gè)文件屬于這類攻擊。

只有14%的攻擊者上傳了至少屬于兩個(gè)不同類別的多個(gè)文件。這就意味著大多數(shù)的攻擊者都有一個(gè)精確的目標(biāo)，或是攻擊者在常常的改變他們的IP地址，使我們很難跟蹤他們。

在本節(jié)的其余部分我們將簡(jiǎn)要介紹這13個(gè)攻擊類別。

6.1、收集信息

唯一文件比率：1.8%

預(yù)計(jì)攻擊者比率：2.2%

這些文件主要包含在分析受攻擊系統(tǒng)的自動(dòng)腳本中，常用于手動(dòng)攻擊的第一個(gè)階段，其中在使用惡意操作之前，攻擊者試圖收集被攻擊系統(tǒng)的信息。一般情況下，我們觀察到有一些攻擊者使用腳本來搜索、存檔和下載一些系統(tǒng)配置文件。

例如，在2012年4月7號(hào)一名攻擊者便使用這種工具來攻擊我們的蜜罐。攻擊者使用普通瀏覽器和馬來西亞IP地址，上傳一個(gè)叫allsoft.pl的腳本。一旦腳本被執(zhí)行，它會(huì)掃描包含CMS(如Wordpress、Joomla、WHM、phpBB、vBulletin)配置文件列表的系統(tǒng)，創(chuàng)建了一個(gè)能夠找到的包含所有文件的tar歸檔，同時(shí)給攻擊者返回一個(gè)指向所創(chuàng)建的文檔文件的鏈接，這樣很容易進(jìn)行下載。這個(gè)腳本在用戶和系統(tǒng)上的多個(gè)主目錄之間迭代運(yùn)行，以盡可能多的在受攻擊機(jī)器上收集賬戶信息。#p#

6.2、路過式下載

唯一文件比率：1.2%

預(yù)計(jì)攻擊者比率：1.1%

我們目擊到了一些創(chuàng)建Web下載的攻擊，通過在我們的蜜罐服務(wù)上插入自定義的漏洞HTML代碼，上傳含有已知瀏覽器漏洞的文件，這種行為是為了對(duì)訪問網(wǎng)站的用戶機(jī)器進(jìn)行滲透攻擊，將用戶機(jī)器變?yōu)楣粽叩慕┦瑱C(jī)器，之后用于大范圍的非法活動(dòng)。

這種攻擊方式的一個(gè)例子是在2012年2月28日上傳到我們蜜罐的intu.html文件。當(dāng)網(wǎng)頁被打開后，頁面顯示“正在交易，載入您的訂單，請(qǐng)稍等”。后臺(tái)惡意的avaScript加載iFrame同時(shí)指向托管在twistedtarts.net的文檔。該文檔是惡意程序且含有兩個(gè)漏洞，CVE-2010-0188和CVE-2010-1885。Wepawet[8]在這個(gè)頁面上傳到我們蜜罐服務(wù)器的同一天將這個(gè)文檔報(bào)告為了惡意軟件。

6.3、第二階段

唯一文件比率：37.2%

預(yù)計(jì)攻擊者比率：49.4%

這種類型攻擊包括下載者(設(shè)計(jì)用來下載同時(shí)執(zhí)行其他文件的程序)、上傳者(能夠?qū)崿F(xiàn)遠(yuǎn)程上傳文件的網(wǎng)頁)、Webshell和搭載后門的文檔。這些是供攻擊者選擇完成基于Web方式攻擊的工具，因?yàn)檫@些工具允許上傳任何文件到受害者機(jī)器，或者在攻擊者登錄服務(wù)器終端后執(zhí)行任意命令。大多數(shù)登錄我們蜜罐的攻擊采用混合Webshell和自定義腳本的方式來試圖破解機(jī)器并在上面安裝惡意軟件。

這種行為的一個(gè)例子是在2012年1月1號(hào)6點(diǎn)50，一個(gè)來自美國科羅拉多州恩格爾伍德市的IP地址，其User-Agent設(shè)置為“blackberry8520_ver1_subvodafone”，該IP地址直接連接到運(yùn)行著osCommerce的蜜罐上來，并利用文件上傳漏洞上傳了幾種不同的PHP腳本，它們中大多數(shù)啟動(dòng)IRC機(jī)器人連接到不同的IRC服務(wù)器上。同一個(gè)人也上傳了PHP shell來下載機(jī)器上的CMS配置文件。

事實(shí)上，攻擊者并沒有通過我們蜜罐代理進(jìn)行連接，而是直接連接到了我們不常用的IP地址，從而引起了我們的關(guān)注。在我們的攻擊日志上進(jìn)行后向搜索，我們發(fā)現(xiàn)在不到24小時(shí)前，一個(gè)使用科羅拉多州恩格爾伍德市的另一個(gè)IP地址且用戶代理設(shè)置為“bingbot/2.0”的自動(dòng)系統(tǒng)連接到了我們的網(wǎng)站，并利用漏洞下載了osCommerce配置文件，該文件中包含了運(yùn)行osCommerce虛擬機(jī)的真實(shí)IP地址。

6.4、提升權(quán)限

唯一文件比率：1.7%

預(yù)計(jì)攻擊者比率：2.2%

權(quán)限提升在計(jì)算機(jī)安全史上是一種最古老的漏洞，但是它仍然很受人們的喜歡，因?yàn)樗试S攻擊者獲得管理員權(quán)限并控制完整的機(jī)器。在共享Web托管環(huán)境的服務(wù)器中成功利用權(quán)限提升漏洞能夠使攻擊者修改在服務(wù)器上托管的每個(gè)站點(diǎn)的文件，如此可能讓數(shù)百甚至上千個(gè)網(wǎng)站同時(shí)遭受攻擊。

這類攻擊的實(shí)例發(fā)生在2012年2月9日。一個(gè)使用匈牙利IP地址的攻擊者在一臺(tái)托管有Webshell的主機(jī)上上傳了一個(gè)名為mempodipper.c的文件，并使用其中一個(gè)shell來嘗試用gcc來編譯它的源碼。本機(jī)沒有可用的編譯器，因此，在5分鐘后，攻擊者上傳了一個(gè)預(yù)編譯的名為mempodipper的二進(jìn)制ELF文件，同時(shí)試圖通過使用shell來執(zhí)行它。我們發(fā)現(xiàn)這個(gè)漏洞利用程序利用了一個(gè)使用了近來才被披露的漏洞——在這個(gè)攻擊發(fā)生不到20天前發(fā)布的CVE-2012-0056。在攻擊時(shí)這個(gè)漏洞利用程序通過已經(jīng)被公開可用[27]的SUID /proc/PID/mem Write來提升Linux的本地權(quán)限。然而，我們虛擬機(jī)的內(nèi)核并沒有該漏洞。

6.5、掃描器

唯一文件比例：2.3%

預(yù)計(jì)攻擊者比率：2.8%

這中活動(dòng)的進(jìn)行是為了能發(fā)現(xiàn)其他地方或是有遠(yuǎn)程漏洞的可以被攻擊者利用的目標(biāo)網(wǎng)站。如FTP掃描，使用“dorks”的查尋掃描，或是試圖列出所有的在管理機(jī)上屬于這個(gè)分類的域名稱。

一個(gè)具體的例子是trdomain.php頁面，該文件在12月16日上傳到我們蜜罐，其IP地址來自土耳其。它包含一個(gè)本地域名稱掃描器，從本地配置文件(如named.conf)拉取域名稱配置信息，并從Google獲得PageRank，以及文件根目錄、用戶名，并返回一個(gè)包含這些信息列的網(wǎng)頁。頁面的標(biāo)題是“Domain ve User ListeLiyici —— by W£ßRooT”。截至目前，在網(wǎng)上搜索這些標(biāo)題仍有許多結(jié)果，說明這種攻擊很普通并被廣泛傳播。

6.6、頁面篡改

唯一文件比率：28.1%

預(yù)計(jì)攻擊者比率：27.7%

這種攻擊在我們的蜜罐上是最常見的。在這種攻擊中，攻擊者修改蜜罐上存在的頁面或是上傳新的頁面用于聲明網(wǎng)站遭受攻擊由他們負(fù)責(zé)。通常，但是不總是，聲明和宗教或是政治宣傳有關(guān)，或是為了搞笑或是令人震驚的畫面。很多執(zhí)行這些攻擊的攻擊者甚至連接到他們的個(gè)人網(wǎng)站或是Facebook頁面上，在這里我們可以看到這些人主要是青少年在追求出名和在朋友面前吹噓。

一次頁面篡改的攻擊發(fā)生在格林威治標(biāo)準(zhǔn)時(shí)間3月6日晚上8點(diǎn)，有人使用德國的IP地址連接后發(fā)現(xiàn)在我們機(jī)器管理的一個(gè)靜態(tài)網(wǎng)頁上藏著shell，并用它編輯了機(jī)器上的靜態(tài)HTML頁面。這個(gè)頁面代碼是使用復(fù)制和粘貼來使用Webshell上傳。這個(gè)被篡改的頁面包括一個(gè)來自作者的簡(jiǎn)短口號(hào)，使用JavaScript動(dòng)畫文本緩緩拉開的葡萄牙引語，和一組鏈接到黑客成員中每個(gè)人的Twitter頁面，其中一些人的賬戶有超過1000個(gè)tweet和幾百名跟隨者?？焖贋g覽下這些內(nèi)容，我們會(huì)發(fā)現(xiàn)所有成員都在個(gè)人網(wǎng)站上貼出他們篡改的網(wǎng)頁。顯然，他們這樣就是了為了建立一些聲譽(yù)。這些都是從他們的個(gè)人Twitter的URL確定的——一個(gè)來自zone-h.org網(wǎng)站頁面——報(bào)告他們之前篡改的頁面統(tǒng)計(jì)。這些數(shù)據(jù)讓人印象相當(dāng)深刻，從2011年7月20日到現(xiàn)在寫下了所有成員已經(jīng)篡改的41600個(gè)網(wǎng)站，其中500是享有盛名的重要網(wǎng)站(政府網(wǎng)站，大學(xué)，或是跨國公司等)。

由于像這樣的攻擊，我們發(fā)現(xiàn)這是很常見的攻擊做法，公開展示頁面篡改的成果來宣傳他們攻擊的網(wǎng)站，就像在zone-h.org網(wǎng)站上展現(xiàn)的那些站點(diǎn)。似乎有些人是真正為了競(jìng)爭(zhēng)在黑客網(wǎng)站上炫耀他們的技術(shù)，我們的蜜罐域名經(jīng)常被他們作為戰(zhàn)利品進(jìn)行報(bào)道。#p#

6.7、僵尸服務(wù)

唯一文件比率：28.1%

預(yù)計(jì)攻擊者比率：27.7%

一些攻擊者在利用我們的蜜罐后，通過上傳專用PHP或是Perl腳本使我們的服務(wù)器加入到IRC僵尸網(wǎng)絡(luò)中。

兩個(gè)蜜罐虛擬機(jī)有這些最嚴(yán)重的服務(wù)漏洞，可以讓攻擊者在服務(wù)器上上傳并運(yùn)行任意文件，并允許通過6667端口建立對(duì)外連接。我們這么做是為了監(jiān)聽從我們機(jī)器發(fā)起攻擊的IRC僵尸網(wǎng)絡(luò)活動(dòng)。我們只允許在6667端口上進(jìn)行連接，讓僵尸服務(wù)運(yùn)行在標(biāo)準(zhǔn)IRC端口上連接到他們管理的聊天室。為了避免被僵尸牧人追查，每個(gè)連接到IRC端口的通道都通過私有保護(hù)的VPN來匿名我們的真實(shí)IP地址。之所以不允許本機(jī)有其他的出站連接，是為了避免我們的機(jī)器對(duì)其他主機(jī)發(fā)起攻擊或被其他主機(jī)掃描。

我們的預(yù)測(cè)被證明是正確的，我們確實(shí)發(fā)現(xiàn)我們的兩臺(tái)機(jī)器連接到了IRC命令與控制服務(wù)器。對(duì)這些包的分析顯示出了一些有趣信息。

起初，我們認(rèn)為IRC僵尸網(wǎng)絡(luò)是很少見的，相比在黑市中流通的大量基于Web的滲透攻擊包。然而，上傳到我們蜜罐上的文件的分析呈現(xiàn)相反的趨勢(shì)，約200個(gè)不同的腳本啟動(dòng)了IRC僵尸主機(jī)。

另一個(gè)有意思的現(xiàn)象是從IRC日志可以得知這些IRC僵尸網(wǎng)絡(luò)都是被青少年操控的。一些僵尸牧人甚至放置鏈接到他們的Facebook或是Twitter賬號(hào)資料中來向他們的朋友進(jìn)行炫耀。雖然被青少年操作，但是我們大多數(shù)的日志顯示IRC容納了成百上千的僵尸主機(jī)(我們觀察到的最大的僵尸網(wǎng)絡(luò)由11900個(gè)僵尸主機(jī)組成)。

一些日志顯示一些僵尸主機(jī)的控制者攻擊了在其他IRC服務(wù)器上的對(duì)手(我們認(rèn)為這是典型的腳本小子的做法)，同時(shí)我們很關(guān)心這些年輕人是怎么處理錢的，且他們能夠使用(而且可能由他們自己開發(fā))自動(dòng)化工具在搜索引擎上搜索并利用漏洞。我們收到了一些執(zhí)行Dos攻擊的命令，使用dorks進(jìn)行引擎搜索，自動(dòng)化滲透攻擊，并根據(jù)指令報(bào)告用戶名和密碼，以及從攻陷的網(wǎng)站中竊取的信用卡憑證。

最后的一個(gè)有意思的發(fā)現(xiàn)是，根據(jù)IRC日志中所用的語言以及上傳IRC腳本的IP地址分析，大多數(shù)僵尸主機(jī)都來自東南亞的國家(主要是馬來西亞和印度尼西亞)。

6.8、釣魚攻擊

唯一文件比率：7.3%

預(yù)計(jì)攻擊者比率：6.3%

釣魚攻擊是當(dāng)前Web犯罪最危險(xiǎn)的活動(dòng)。我們發(fā)現(xiàn)了很多嘗試在我們的蜜罐上安裝釣魚網(wǎng)頁或是釣魚網(wǎng)頁攻擊的證據(jù)。這些行為都是利益相關(guān)的，大多數(shù)的釣魚網(wǎng)站都是網(wǎng)上銀行副本，但是我們也收集到了一些網(wǎng)上電子郵件門戶網(wǎng)站的釣魚例子，甚至有極少數(shù)的網(wǎng)頁冒充互聯(lián)網(wǎng)服務(wù)供應(yīng)商和航空公司的網(wǎng)頁。

在蜜罐運(yùn)行的100天里，我們的蜜罐總共收集了470個(gè)釣魚網(wǎng)頁相關(guān)的文件，其中129是完整的釣魚攻擊包(文檔中常含有一個(gè)完整的Web釣魚網(wǎng)站安裝文件，包含圖片、CSS文件，以及Web釣魚腳本)。尼日利亞是這個(gè)攻擊最活躍的國家，我們的蜜罐記錄的來自尼日利亞的攻擊中有45%是釣魚攻擊。

在我們的蜜罐上一個(gè)有趣的事件記錄開始于3月27日。通過分析我們的蜜罐所接受的請(qǐng)求來源頭，我們發(fā)現(xiàn)了來自1762個(gè)不同的IP地址的4776個(gè)請(qǐng)求，訪問我們網(wǎng)頁的請(qǐng)求來源設(shè)置的是sfr.fr的郵件服務(wù)器，一個(gè)法國主要的ISP之一。檢查Web服務(wù)日志，我們發(fā)現(xiàn)所有的HTTP請(qǐng)求來源中都包含有來自sfr.fr請(qǐng)求的兩個(gè)PNG圖片文件。在3月24日這兩個(gè)文件就上傳到了我們的蜜罐，當(dāng)來自SFR的第一波訪問達(dá)到時(shí)，虛擬機(jī)已經(jīng)被清理好幾次了，但是我們還是在上傳文件的快照中發(fā)現(xiàn)了圖片的原始版本。奇怪的是，這些圖片顯示一條類似與SFR客戶服務(wù)定期溝通的信息。所有請(qǐng)求來源為sfr.fr的用戶在訪問我們的蜜罐之后都會(huì)收到一條包含連接到那兩個(gè)png文件的釣魚郵件，而他們的Web客戶端只是試圖下載和顯示這些郵件的內(nèi)容。

6.9、垃圾郵件和消息洪水攻擊

唯一文件比率：7.8%

預(yù)計(jì)攻擊者比率：9.3%

很多用戶似乎還在使用垃圾郵件這一技術(shù)在互聯(lián)網(wǎng)上獲利。我們發(fā)現(xiàn)的一些腳本確實(shí)是郵件程序，即用自動(dòng)化方式使用腳本將垃圾郵件發(fā)送量給眾多收件人。其他的一些腳本是來自郵件或是短信洪水發(fā)送者，從而代替發(fā)動(dòng)Dos攻擊。

我們的蜜罐收集到了大概600個(gè)這樣的腳本。如在2月21日，一個(gè)叫做a1.php的腳本通過尼日利亞的IP地址上傳到我們蜜罐，這個(gè)腳本是一個(gè)高度自定義的郵件發(fā)送程序，并允許給一個(gè)純文本或是HTML格式列表的收件人發(fā)送垃圾郵件，并且該程序具有很多選項(xiàng)。它也能夠被配置用來登錄遠(yuǎn)程的SMTP服務(wù)器，目的是為了通過身份驗(yàn)證來發(fā)送郵件，在達(dá)到發(fā)送郵件的一個(gè)特定的閥值時(shí)能斷開和重新連接到服務(wù)器，還有可能是為了避免被阻止。#p#

6.10、鏈接養(yǎng)殖場(chǎng) & 黑帽SEO

唯一文件比率：2.7%

預(yù)計(jì)攻擊者比率：1.0%

鏈接養(yǎng)殖場(chǎng)是一個(gè)相互連接的網(wǎng)站集合，通常是一個(gè)有密集鏈接結(jié)構(gòu)的網(wǎng)頁，它的目標(biāo)是提升網(wǎng)站群在搜索引擎的排名。相比之下，黑帽SEO是指使用非法或不道德的技術(shù)，如偽裝，提升在搜索引擎的排名，或是處理搜索引擎及其爬蟲查看和分類一個(gè)網(wǎng)頁的方式。如果我們排除在論壇Web應(yīng)用上自動(dòng)發(fā)帖——一種通過高比率發(fā)帖連接到鏈接養(yǎng)殖場(chǎng)的行為，這種行為在我們的蜜罐上并沒有被頻繁觀察到。

在3月19日，一個(gè)在我們的蜜罐上創(chuàng)建了很多網(wǎng)頁的有趣攻擊出現(xiàn)了。有人安裝了完整功能的CMS，生成了數(shù)以百計(jì)的的靜態(tài)HTML頁面。所有生成的頁面都安裝在我們電子商務(wù)Web應(yīng)用的子目錄images/rf/下，包含俄文文本，以及用來展現(xiàn)的相關(guān)圖像、CSS和JavaScript文件。這個(gè)網(wǎng)頁結(jié)構(gòu)是通過博客或是CMS引擎創(chuàng)建的，因?yàn)樗械木W(wǎng)頁都有著稠密的連接結(jié)構(gòu)并指向另一個(gè)使用絕對(duì)鏈接(已經(jīng)定制和包含我們蜜罐站點(diǎn)的域名)。我們認(rèn)為這是連接到鏈接養(yǎng)殖場(chǎng)的一部分，或是一些仿制品的市場(chǎng)營銷活動(dòng)，因?yàn)槲覀兎治龅拇蠖鄶?shù)網(wǎng)頁上都有銷售手表的廣告。

最后，在小規(guī)模范圍內(nèi)，我們也看到了一些攻擊者創(chuàng)建的帶有廣告的頁面或是在合作者的網(wǎng)站上傳頁面內(nèi)插入連接。這樣做的目的是要獲得超出廣告的利潤，或是改善他們的伙伴在搜索引擎上的排名。

6.11、代理和流量重定向

唯一文件比率：0.6%

預(yù)計(jì)攻擊者比率：0.6%

Web犯罪分子總是尋找可靠的方式來隱藏他們的蹤跡，隨著時(shí)間的推移，只是通過開放的代理服務(wù)、TOR、開放重定向網(wǎng)頁來進(jìn)行惡意活動(dòng)變的很難。事實(shí)上，這些服務(wù)通常都有超負(fù)荷的(惡意)流量，同時(shí)其平均表現(xiàn)也很糟糕，很有可能被有關(guān)當(dāng)局監(jiān)控著。在這種情況下，通過受攻擊主機(jī)進(jìn)行隧道通信就變得難能可貴，因?yàn)楹苋菀装岩粋€(gè)Web服務(wù)變成一個(gè)代理，而且通常運(yùn)行Web服務(wù)的主機(jī)提供商都有著高帶寬保證，從而使這些主機(jī)成為很有價(jià)值的目標(biāo)。我們發(fā)現(xiàn)有些攻擊者在蜜罐上上傳代理腳本或是使用流量重定向系統(tǒng)，從而實(shí)現(xiàn)流量匿名的重定位或是將用戶重定向到惡意來源或相關(guān)網(wǎng)站。

一個(gè)例子是，在2012年2月22日，一個(gè)蜜罐系統(tǒng)被上傳了一個(gè)504KB的文檔。這個(gè)文檔里包含一個(gè)名為VPSProxy的代理工具，可以在http://wonted.ru/programms/vpsproxy/上獲得，這是一個(gè)通過GUI客戶端進(jìn)行完全控制的PHP代理。就它具有的功能而言，如果被安裝到多臺(tái)服務(wù)器上，該工具會(huì)很容易被用于對(duì)接兩個(gè)不同的連接。我們相信這樣的工具可以幫助犯罪分子隱藏他們?cè)诨ヂ?lián)網(wǎng)上的痕跡。

6.12、定制化攻擊

唯一文件比率：1.9%

預(yù)計(jì)攻擊者比率：2.6%

這種類型的攻擊或是利用特定的服務(wù)漏洞或是利用其他無相匹配的類型服務(wù)的漏洞。例如，這一類攻擊包括在服務(wù)器上掃描和利用Web服務(wù)漏洞的程序，如在4月9日上傳到我們服務(wù)器一個(gè)Web網(wǎng)站的config.php腳本。這個(gè)PHP腳本提供了一個(gè)發(fā)現(xiàn)和攻擊9個(gè)最知名管理系統(tǒng)的面板：即使被機(jī)器發(fā)現(xiàn)了，攻擊者還能夠自動(dòng)修改它的配置。這個(gè)工具也包含其他腳本來利用本地和遠(yuǎn)程漏洞。

6.13、DOS & 暴力破解工具

唯一文件比率：4.6%

預(yù)計(jì)攻擊者比率：2.9%

這一類型包含拒絕服務(wù)程序或是針對(duì)特定應(yīng)用和服務(wù)的暴力破解攻擊(如暴力破解工具、UDP和TCP洪水腳本)。

這一行為的有趣例子是在2012年4月7日上傳到我們蜜罐上的暴力破解Web郵件的腳本。一個(gè)來自阿塞拜疆的IP使用Webshell上傳了一個(gè)名為n.php的文件和一個(gè)名為WORD.TXT的1508個(gè)字詞庫。這個(gè)n.php文件一旦被執(zhí)行，它就會(huì)使用cURL PHP庫連接到box.az郵件接口，同時(shí)使用這個(gè)詞典來暴力破解在程序里使用硬件編碼的用戶名的密碼。我們的蜜罐實(shí)際上被登錄后在三個(gè)不同的域名上傳了多次n.php。攻擊者試圖多次執(zhí)行腳本(在16分鐘內(nèi)進(jìn)行了10次)，并對(duì)其進(jìn)行編輯(4次)，像是在代碼中尋找錯(cuò)誤。實(shí)際上腳本的流量被我們的防火墻進(jìn)行了簡(jiǎn)單地阻止。

七、結(jié)論

在本文中，我們介紹了基于多種有漏洞的真實(shí)Web應(yīng)用的蜜罐服務(wù)實(shí)施和配置。通過采集的數(shù)據(jù)，我們研究了攻擊者在拿下目標(biāo)前、攻擊過程中以及攻擊之后的行為。

我們研究的結(jié)果給人們提供了一個(gè)在Web上當(dāng)前狀態(tài)下利用漏洞行為的有趣見解。一方面，我們能夠證實(shí)某個(gè)類型攻擊的趨勢(shì)，如東歐國家垃圾評(píng)論的活動(dòng)，同時(shí)有很多的騙局和釣魚Web活動(dòng)在非洲進(jìn)行著[12]。藥品廣告似乎是垃圾郵件和垃圾評(píng)論中中最常見的主題，正如最近的研究發(fā)現(xiàn)的那樣[9]。

另一方面，我們也能夠觀察和研究大量的人工攻擊，以及把感染目標(biāo)從Web服務(wù)變成IRC僵尸服務(wù)。這說明通常認(rèn)為已經(jīng)過時(shí)的攻擊行為還仍然很流行(特別在年輕的犯罪者中)且占據(jù)了站點(diǎn)攻擊絕大部分比例。

我們當(dāng)前的工作正朝著一個(gè)完全自動(dòng)的、實(shí)時(shí)監(jiān)控的蜜罐進(jìn)行，以能夠識(shí)別、分類每一次攻擊，并用可視化方式顯示攻擊趨勢(shì)和被攻擊的目標(biāo)。#p#

參考文獻(xiàn)

[1] IP Addresses of Search Engine Spiders. http://www.iplists.com/.

[2] Robots IP Address Ranges. http://chceme.info/ips/.

[3] Google Hack Honeypot. http://ghh.sourceforge.net/, 2005.

[4] Dshield web honeypot project. https://sites.Google.com/site/webhoneypotsite/, 2009.

[5] J. Caballero, C. Grier, C. Kreibich, and V. Paxson. Measuringpay-per-install: The commoditization of malware distribution.In Proceedings of the USENIX Security Symposium,2011.

[6] X. Chen, B. Francia, M. Li, B. Mckinnon, and A. Seker.Shared information and program plagiarism detection. InformationTheory, IEEE Transactions on, 50(7):1545–1551,2004.

[7] s. Commtouch. Compromised Websites: An Owner’s Perspective. ttp://stopbadware.org/pdfs/compromised-websites-an-ownersperspective.pdf, february 2012.

[8] M. Cova, C. Kruegel, and G. Vigna. Detection and Analysis of Drive-by-Download Attacks and Malicious JavaScript Code. In Proceedings of the International World Wide Web Conference (WWW), 2010.

[9] Cyberoam Technologies and Commtouch. Internet Threats Trend Report October 2012. http://www.cyberoam.com/downloads/ThreatReports/Q32012InternetThreats.pdf,october 2012.

[10] S. Esser. evalhook. http://www.php-security.org/downloads/evalhook-0.1.tar.gz, may 2010.

[11] M. Hofer and S. Hofer. ftp-deploy. http://bitgarten.ch/projects/ftp-deploy/, 2007.

[12] Imperva Inc. Imperva’s Web Application Attack Report.http://www.imperva.com/docs/HII_Web_

Application_Attack_Report_Ed2.pdf, january 2012.

[13] J. P. John, F. Yu, Y. Xie, A. Krishnamurthy, and M. Abadi.deSEO: Combating Search-Result Poisoning. In Proceedings of the USENIX Security Symposium, 2011.

[14] J. P. John, F. Yu, Y. Xie, A. Krishnamurthy, and M. Abadi.Heat-seeking honeypots: design and experience. In Proceedings of the International World Wide Web Conference (WWW), 2011.

[15] J. Kornblum. Identifying almost identical files using context triggered piecewise hashing. Digital Investigation, 3,Supplement(0):91 – 97, 2006.

[16] C. Leita and M. Dacier. Sgnet: A worldwide deployable framework to support the analysis of malware threat models.In Dependable Computing Conference, 2008. EDCC 2008.Seventh European, may 2008.

[17] T. Moore and R. Clayton. Evil searching: Compromise and recompromise of internet hosts for phishing. In Financial Cryptography, pages 256–272, 2009.

[18] M. M¨uter, F. Freiling, T. Holz, and J. Matthews. A generic toolkit for converting web applications into high-interaction honeypots, 2007.

[19] V. Nicomette, M. Kaˆaniche, E. Alata, and M. Herrb. Set-up and deployment of a high-interaction honeypot: experiment and lessons learned. Journal in Computer Virology, june 2010.

[20] F. Pouget, M. Dacier, and V. H. Pham. V.h.: Leurre.com: on the advantages of deploying a large scale distributed honeypot platform. In In: ECCE 2005, E-Crime and Computer Conference, pages 29–30, 2005.

[21] N. Provos. A virtual honeypot framework. In Proceedings of the USENIX Security Symposium, pages 1–14, 2004.

[22] N. Provos, P. Mavrommatis, M. A. Rajab, and F. Monrose.All Your iFrames Point to Us. In Proceedings of the USENIX Security Symposium, 2008.

(全文完)

原文：http://www.internetsociety.org/doc/behind-scenes-online-attacks-analysis-exploitation-behaviors-web