2013.06.10 22:34

간단한 Passive Honeypot 구조


Worm이 그닥 돌아다니지 않는 현재에 효용이 있진 않지만, 허니팟의 구조를 좀 더 현실감 있게 이해하기엔 좋을 것이라 생각하여 글을 적어본다.


구성은 대략 아래와 같은 식이다. Passive Honeypot이니 취약한 OS를 가상환경 내에 설정을 해놓고, 악성코드에 감염이 되길 기다리고 있다가 감염이 되면 해당 샘플을 공유 된 폴더를 사용하여 호스트 서버로 복사하는 식이다. 간단하다.



가상머신은

"취약상태 유지 -> OS의 변경부분 확인 -> 신규/변경 파일을 복사" 하는 역할을 하고


호스트 서버는

"중복샘플 제거 -> PE 확인 -> 샘플 악성코드 복사"하는 역할을 수행한다. 그리고 주기적으로 감염이 되었을 VM을 초기화 시켜주면 된다.


OS의 변경부분을 확인할 때에는 Tripwire나 fcheck와 같은 무결성 검사하는 도구를 사용하는데, OS 및 필수 소프트웨어를 설정 완료 한 깨끗한 상태에서 Hash DB를 생성하고, 주기적으로 이 Hash DB와 비교하여 달라 진 프로그램이 있는지 확인하는 방법을 사용한다.


나머지 부분들은 간단하게 스크립트를 제작하여 주기적으로 스케줄러에 등록하여 실행 되도록 하면 되는 부분이라 매우 간단한 구조이다. 이 상태에서 가상환경 내에서 이미 감염 된 URL들을 웹서핑하여 수동으로 감염시켜면 Active Honeypot이랑 유사하게 동작시킬 수도 있다 ^^



글이 도움이 되셨다면 위의 추천 손가락 한방 꾹! 눌러주세요~



Trackback 0 Comment 0