現(xiàn)如今Web攻擊已經(jīng)成為了互聯(lián)網(wǎng)安全的一個主要威脅，人們對它進行了很多研究，特別詳細地分析了攻擊是如何進行，如何傳播的。但是，對于當Web被攻陷時的攻擊者的典型行為研究卻很少。本文描述了一個設計、執(zhí)行、配置有500個完整功能的蜜罐技術網(wǎng)站，從而可以提供多種不同服務，目的就是要吸引攻擊者，采集攻擊者在攻擊過程中和攻擊后的行為信息。在100天的實驗過程中，我們的系統(tǒng)自動采集、處理和規(guī)整了85000個在大概6000次攻擊后留下的文件，并把攻擊者的攻擊路線標記成了不同類別，以區(qū)分它們在每次利用Web應用漏洞過程中的行為。

一、引言

Web攻擊是對人們經(jīng)濟和知識財產(chǎn)造成破壞的主要原因之一。去年，這種攻擊的數(shù)量不斷在增長，復雜程度也在增加，并且目標多是政府和高利潤的公司，竊取個人信息的同時造成了數(shù)百萬歐元的經(jīng)濟損失。使用臺式機、筆記本和智能手機上網(wǎng)的人數(shù)的不斷增加，這就有了很吸引人的攻擊目標，從而使他們走上了犯罪的道路。

這種趨勢也已經(jīng)成為了學術研究之一。事實上，快速的看下前些年發(fā)表的論文，會發(fā)現(xiàn)與Web攻擊和防守相關的文章很多。這些研究大多數(shù)關注于一些普通的與Web應用、Web服務器或是瀏覽器相關的漏洞，通過這些漏洞來拿下目標。其余的剖析了針對內(nèi)部構件的特殊攻擊活動[5,13,17]，或是提出新的保護機制來減少現(xiàn)有的攻擊。

結果就是幾乎所有的Web攻擊場景都被詳細的研究了：攻擊者是怎么掃描Web和使用Google dorks發(fā)現(xiàn)可以應用的漏洞的，他們是怎樣進行自動攻擊的，以及他們是怎樣給最終用戶傳遞惡意內(nèi)容的。然而，這些工作還是留下了很多的謎題。實際上，沒有一篇學術文章提到一般的攻擊者在完成攻擊過程中以及之后的詳盡活動。有時候，攻擊者只是為了要得到存儲在服務器上的信息，例如通過使用SQL注入來盜取用戶的證書。然而，在大多數(shù)情況下，攻擊者想要維持這些機器的訪問并把它們作為更大的惡意設備的一部分(例如制造僵尸網(wǎng)絡或是給訪問這個網(wǎng)頁的用戶傳遞惡意文件)。

但是現(xiàn)在的文獻大多關注的是如何使人上當?shù)闹黝}，如路過式下載和黑帽式SEO，而這些只是冰山一角?，F(xiàn)實生活中，互聯(lián)網(wǎng)每天都在發(fā)生著大量的惡意行為，這些吸引媒體眼球和安全企業(yè)注意的高利潤網(wǎng)絡犯罪的目的亦各不相同。

基于以上方向的研究之所以沒有完成是因為幾乎所有項目中的蜜罐中所使用的都是虛假或偽造的應用。這就意味著沒有真實的攻擊被完整執(zhí)行，通常情況下，攻擊者在漏洞“消失”前往往都會完成所有的攻擊步驟。

為了了解不同類型攻擊者的動機，殺毒軟件公司大多是依靠他們客戶報告的信息。如最近由Commtouch和StopBadware組織的調(diào)查，就是由600個被攻陷的網(wǎng)站的所有者填寫的問卷完成，問卷內(nèi)容是關于攻擊者拿下網(wǎng)站做了什么。結果非常有意思，但是調(diào)查過程不是自動的，且很難重復進行，且無法保證用戶(多數(shù)時候是非安全行業(yè))能夠成功地識別攻擊類型。

本文第一次全面地分析了Web攻擊者的行為，我們把分析的重點放在兩個方面：1)滲透攻擊階段，我們主要研究在應用程序被攻下前攻擊者的表現(xiàn);2)后滲透攻擊階段，我們測試攻擊者在拿下目標后會做什么。第一階段是分析攻擊Web應用的方法和技術(即：怎么做)，然而第二階段是來推斷這些攻擊的原因和目的(即：為什么)。

因此，本文中我們沒有分析一般的SQL注入攻擊或是跨站點腳本漏洞。我們的蜜罐技術被應用于吸引和監(jiān)控那些要控制Web應用的行為。我們的結果有個有意思的趨勢是大部分攻擊者的表現(xiàn)都很狂野，例如我們鑒定了4個不同的時期以及13個攻擊者夢寐以求的目標。我們也提供了一些在蜜罐行為甄別中發(fā)現(xiàn)的有趣的攻擊場景詳情。

本文的其他內(nèi)容如下：在第2節(jié)，我們探索了當前Web蜜罐技術的現(xiàn)狀和Web攻擊的檢測與分析。第3節(jié)，描述了我們配置的蜜罐服務的網(wǎng)絡架構。第4節(jié)，詳細的介紹了系統(tǒng)的配置和在實驗過程中收集數(shù)據(jù)的方法。最后，第5和第6節(jié)總結了我們在滲透攻擊階段和后滲透攻擊階段中攻擊者行為的研究結果。第7節(jié)，總結全文和對未來這個方向的展望。#p#

二、相關工作

目前，蜜罐作為檢測Web攻擊和可疑行為的工具，他們被分成兩類：客戶端蜜罐，它主要是通過主動訪問網(wǎng)站或是執(zhí)行文件來檢測漏洞。服務器端蜜罐，使用一個或是更多的漏洞服務來吸引攻擊者。

在這個研究中，我們主要關心第2類，因為我們的目的就是要研究攻擊者在拿下站點后的行為。過去的幾年里幾個服務器端蜜罐已經(jīng)被建議使用，使用蜜罐來提供真實和可能的服務。其實我們可以將蜜罐分為兩類：低交互蜜罐和高交互蜜罐。第一種蜜罐提供模擬服務，所以能觀察攻擊但是不能被攻擊者利用。這種蜜罐的能力是有限的，但是能夠收集關于Web探針信息和自動攻擊行為。相關研究有honeyd[21]，Leurre.com[20]和SGNET[16]，能夠仿真運行系統(tǒng)和服務。另一方面，高交互蜜罐[19]為攻擊者提供了一個能被利用的全功能環(huán)境。蜜罐技術可以更好地用來洞察攻擊者的手法，但是這需要更高要求的設備及維護費用。由于可以利用用虛擬機配置高交互蜜罐，所以在被攻擊后可以恢復到初始狀態(tài)。

對于Web應用的攻擊常常是通過配置Web蜜罐。Google Hack Honeypot[3]作為低交互Web蜜罐的一種(設計成用來吸引通過搜索引擎來發(fā)現(xiàn)Web漏洞的攻擊者)，Glastopf[24]和DShieldWeb Honeypot project[4]通過使用模板來仿制Web攻擊應用。John等[14]人使用了另外一種低交互的Web蜜罐，使用輔助搜索引擎日志，這個系統(tǒng)能夠通過搜索標準來觀察和鑒定來自攻擊者的惡意查詢并配置蜜罐頁面。不幸的是使用低交互方法采集結果時，限制了爬蟲和自動腳本的訪問。任何手動注入都會被錯過，因為人們能夠快速辨別出系統(tǒng)是一個陷阱，不是一個具有真實功能的應用。除此之外，這個研究收集了一些有意思的關于自動攻擊的詳情[14]。例如使用引擎蜘蛛爬過后，作者發(fā)現(xiàn)蜜罐頁面被攻擊的平均時間是12天，本地文件泄漏的漏洞在攻擊后很容易看到，剩余40%的惡意請求是通過請求蜜罐接收的。其他很常見的攻擊模式包括試圖訪問特定文件(例如：Web安裝腳本)，尋找有漏洞的遠程文件。所有的模式的共同特點是都適用于自動攻擊，因為它們只需要接觸一些特定的路徑或是在URL查詢的字符串中注入計算好的數(shù)據(jù)。作者也提出了適合本文的設備，但這些設備沒有被使用，因為他們關注的是攻擊者使用攻擊后的蜜罐服務器作為其他攻擊跳板。我們將在3.1處解釋如何處理這些。

如果對研究攻擊者的真正活動感興趣，就要基于高交互蜜罐并采用不同的方式。在這方面的最初的嘗試是使用HIAT工具[18]。不幸的是在對這個工具進行評估時沒有什么有意思的發(fā)現(xiàn)，因為它只運行了幾天時間，這個蜜罐僅受到了8000次點擊，大多數(shù)還是通過良性爬蟲。據(jù)我們所知，這是第一次大規(guī)模評估后滲透攻擊階段攻擊者Web行為的研究。

然而，一些類似的工作如根據(jù)交互性shell在運行SSH[19,23]的高交互蜜罐上的攻擊者行為劃分已經(jīng)有人做了。這個研究中的一些有意思的發(fā)現(xiàn)是攻擊者關注他們的機器，因為特別的任務(例如在機器上運行的掃描和SSH暴力破解攻擊和他們通常用的攻擊是不同的)。并且他們中的很多人不是很懂攻擊，僅使用很簡單的攻擊方法和一系列的命令，這意味著大多數(shù)的攻擊者僅僅是按照入門級教程上的攻擊步驟來進行操作的。于此同時，在SSH蜜罐上使用的命令需要針對軟件配置進行，并嘗試安裝惡意軟件，例如僵尸腳本。我們會在第6節(jié)進行。

最后我們的研究關注的是把分類的文件上傳到蜜罐，一些已經(jīng)發(fā)表的關于如何偵測相似源代碼文件的的文章，特別是抄襲檢測的[6,26]。其他一些相似的框架也被提出來，用來檢測圖片和其他多媒體格式，也是為了達到相同的目的。不幸的是我們看到了一堆文件上傳到蜜罐，并且他們大多數(shù)存在源代碼、二進制數(shù)據(jù)或是文檔混淆的現(xiàn)象(就體現(xiàn)了大多數(shù)的抄襲檢測是無效的)。而且很多抄襲檢測工具和算法對資源的要求很高，很難應用到大的數(shù)據(jù)庫上。這些原因使得抄襲檢測不能滿足我們的需求，任何類似指紋文件及分類問題，在取證領域都得到了研究。特別是基于上面想法的很多相似的文章在過去的幾年中也得到了發(fā)表[15，25]。這個方法被證實是有效、快速的，在偵測這類相似性問題上，這些是基于字節(jié)流來表示數(shù)據(jù)的。我們選擇使用這種方式，在我們的研究過程中使用的是在文獻[15,25]中提到的兩種工具。#p#

三、HoneyProxy

我們的蜜罐系統(tǒng)由很多的網(wǎng)站組成(我們的實驗中是500)，每一個都包含5種最常見或是眾所周知有漏洞的內(nèi)容管理系統(tǒng)。17個預裝了PHPWebshell，還有一個是靜態(tài)網(wǎng)站。

我們解決了在我們的設備上托管的所有Web應用大規(guī)模獨立安裝管理的問題。7臺隔離的虛擬機使用的是VMWare服務器。在主機提供商那里，我們只安裝了一個ad-hoc代理腳本(HoneyProxy)來將所有接收到的流量傳到我們服務器上的VM上。這就能夠讓我們集中采集數(shù)據(jù)，而且還能夠區(qū)分來自主機的不同響應。圖1展示了系統(tǒng)的高階預覽。

PHP代理加入兩個自定義頭到每個訪問者的請求中：

X-Forwarded-For：這是用于代理的標準頭文件，用來設置客戶端的真實IP地址。如果客戶端的頭文件已經(jīng)設置，最后X-Forwarded-For會列出所有以前看到的IP，并且維持和追蹤所有客戶通過的代理。

X-Server-Path：這個自定義頭是通過PHP代理來設置，以讓我們能夠在分析虛擬機上的請求日志時了解請求域名的來源。例如：X-Server-Path: http://sub1.site.com/。

這兩個頭文件只在主機提供者的網(wǎng)站和蜜罐的虛擬服務器上追蹤目標，對于蜜罐的使用者并不可見。

3.1、容器

每臺虛擬機都需要進行合理的配置，以容納攻擊者攻擊的同時避免被攻擊者對蜜罐造成損害。尤其是，我們阻斷了對外連接(否則可能會導致外部主機被被攻擊)，修補了有漏洞的博客和論壇程序源代碼，從而隱藏垃圾郵件發(fā)送者發(fā)布的郵件(可能導致的惡意廣告鏈接)，并且調(diào)整了文件系統(tǒng)的權限讓攻擊者能夠攻擊他們，但無法控制機器或是改變每個應用程序的主要源代碼。盡管如此，攻擊者上傳的惡意文件仍然存在著危險，我們通過在固定的時間間隔內(nèi)還原每個虛擬機到原始狀態(tài)來處理這一問題。

下面，我們簡要的介紹在蜜罐機上可能進行的濫用行為，并展示我們自己的阻止或緩解方法。

圖1、系統(tǒng)的高階結構分布

獲得機器最高權限。我們使用安裝了更新軟件和安全補丁的虛擬機來處理這個問題。在每臺虛擬機上，Web服務和所有對外服務均使用非特權用戶身份來運行。當然，這個解決方案無法阻止0-day攻擊，但是我們會盡量來限制攻擊面，在僅有3個服務(apache、sshd、mysqld)的機器上運行，其中只有Web服務器暴露在互聯(lián)網(wǎng)下。我們考慮了利用0-day遠程對apache進行攻擊的可能性，也可能成為現(xiàn)實，屆時絕大多數(shù)互聯(lián)網(wǎng)應用皆會受其影響。

使用蜜罐作為墊腳石來發(fā)動攻擊和郵件活動。這可能是在配置一個功能齊全的蜜罐之前要部署最為重要的部分。在我們的例子中，我們常常使用iptables規(guī)則來阻止(和記錄)除了已經(jīng)建立的連接以外的虛擬機的出站流量。IRC端口(6667)的規(guī)則是個例外，在第4和第6節(jié)會有詳細的介紹。

托管和發(fā)布非法內(nèi)容(如：釣魚頁面)。在有遠程文件上傳漏洞時，威脅是很難避免的。然而，通過限制上傳目錄內(nèi)容的權利，通過防止改變所有現(xiàn)有的HTML和PHP文件，這些能夠降低發(fā)布非法內(nèi)容的風險。此外，我們也可以檢測到每個VM文件系統(tǒng)的改變，當檢測到了一個文件改變，系統(tǒng)就會儲存下這個快照。然后虛擬機以規(guī)定的時間間隔來恢復到原始狀態(tài)，從而防止?jié)撛趦?nèi)容傳給受害人或是被搜索引擎收錄。

推銷非法產(chǎn)品和服務(如：垃圾郵件鏈接)。另一個問題是由應用程序引發(fā)的，作為它們基本工作的一部分，允許用戶編寫并發(fā)表評論。任何的博客和論壇CMS都存在這個問題。這些應用很容易成為垃圾郵件的目標，我們會在5.3.1節(jié)中進行說明，此外托管蜜罐時確保由機器人發(fā)出的鏈接和帖子不會被任何最終用戶訪問或被搜索引擎檢索是很重要的。我們通過修改包括論壇應用的源代碼來解決這個問題(也就是Wordpress和Simple Machines Forum)，注釋掉負責顯示帖子內(nèi)容的代碼。利用這個改進，攻擊者仍然有發(fā)布消息的可能(用來采集這些消息)，但是導航的帖子和評論只能顯示空白消息。

這些措施限制了我們從蜜罐上采集的信息(例如，攻擊者上傳的反向連接腳本會被我們的防火墻阻止)，但是我們認為這是防止我們的設備被惡意利用的必要手段。#p#

3.2、數(shù)據(jù)采集和分析

我們使用兩個信息來研究攻擊行為：來自HTTP請求的日志，和攻擊者獲取受害主機權限后修改或是生成的文件。

我們開發(fā)了一些分析HTTP請求日志的工具，使我們能夠識別出已知的良性爬蟲，對我們的Web應用進行的已知攻擊，同時獲得詳細統(tǒng)計數(shù)據(jù)(接受請求數(shù)量和類型、User-Agent、IP地址、每個訪問者的地理信息、Referer頭的分析，和請求間時間間隔的分析)。我們的分析工具也能夠把相對應時區(qū)攻擊者的時間標準化，檢測攻擊中可能存在的聯(lián)系(例如一個自動腳本感染后的Web應用程序上傳了一個文件，緊接著另一個IP地址訪問了這個上傳文件)。我們也開發(fā)了一個對于最常見的使用PHP Webshell的HTTP請求日志的解析器，使我們能夠提取請求命令并了解攻擊者在我們系統(tǒng)上的所作所為。

我們采用兩種方式檢測上傳和修改文件：Web服務日志和來自監(jiān)控的文件快照。Web服務日志上有上傳文件的記錄，每個通過我們蜜罐上傳文件的過程都會在apache的mod_secruity記錄上。在虛擬機的監(jiān)控目錄的文件快照是修改或生產(chǎn)的原文件以及系統(tǒng)上的被解壓的壓縮文檔或加密文件記錄的主要來源。我們能夠從這些原中提取的文件有85567個，其中的34259個文件是唯一的。

由于我們收集了大量的唯一文件，手動文件分析變得不太可行。因此，為了減輕分析所采集數(shù)據(jù)的壓力，我們首先根據(jù)它們的類型歸到一起，來看下它們和其他文件有什么事實上的不同。這就需要我們進行類似地下產(chǎn)業(yè)那樣相同的做法，例如在改變用戶名、登錄憑證、或是植入后門后，重新進行相同的攻擊或是釣魚攻擊。

首先，我們使用Linux file工具對文件進行分類，把他們放到10個宏觀的類里：源代碼、圖片、可執(zhí)行文件、數(shù)據(jù)、文檔、文本、HTML文件、鏈接、多媒體等。

然后我們對同一類型諸多文件進行查看，這些文件只是少數(shù)字節(jié)不同(由于剪切和粘貼會產(chǎn)生空白)或是源代碼注釋中存在不同。因此，要提高我們的對比結果，我們要提前處理每個文件并把它轉成規(guī)范形式。作為規(guī)整化的一部分，我們刪除所有的雙空格、制表符、換行符以及所有的注釋(C類型和bash類型)，最后進行標準化處理新行，并在代碼中分離出電子郵箱地址。對于HTML文件，我們使用html2text工具來分離出所有的HTML標簽。

PHP文件使用了一個附加前處理的步驟。我們發(fā)現(xiàn)大量的PHP文件上傳到我們的蜜罐上，導致了與Web應用的混淆。這種形式的文件即使是使用自動工具也很難檢測到用不同方式編碼的相似文件的相同之處。為了克服這個問題，我們建立了一個基于evalhook PHP[10]擴展的PHP自動反混淆工具，包含動態(tài)代碼評估功能的模塊，來實現(xiàn)一步一步對PHP代碼的反混淆。我們在沒有Web應用的時候在虛擬機上部署了我們的工具(避免發(fā)生遠程計算機攻擊或是掃描，因為一些混淆的腳本可能會實現(xiàn)遠程連接或是攻擊)，同時對每個文件進行至少一級的反混淆操作(例如，嵌套調(diào)用eval())，并保存反混淆代碼。

我們的方法可以讓我們反混淆幾乎所有已混淆的PHP文件(例如，gzip和base64編碼和解碼，使用eval()函數(shù)的動態(tài)評估)。我們唯一不能反混淆的PHP文件是帶有錯誤終止(往往是因為語法錯誤)以及使用專門的商業(yè)編碼工具的文件，如Zend Optimizer或是ionCube PHP Encoder。但是我們觀察到僅有3個樣本使用了這些工具進行編碼。

總的來說，我們成功的反混淆了1217個截然不同的文件，占到我們收集的源代碼的24%。有意思的是，每個文件都被正常的編碼多次，需要平均9次反混淆操作還原PHP代碼(有些樣本需要驚人的101次)。

3.2.1、相似性歸類

一旦規(guī)整化步驟完成，就可以計算在相同類型文件中兩兩之間的相似性，我們使用了2種進行相似性檢測的標準化工具ssdeep[15]和sdhash[25]。然后，我們使用簡單的分類算法對所有的文件進行分類，相似值大于0.5的被分到同一個組中。

在我們不能找到類似的元素時，就會放棄該文件。對于其余的部分，我們進行手動分析，根據(jù)他們的不同目的分成不同的類別。因為文件已經(jīng)根據(jù)相似性進行分組，對每個組的文件進行分析就成必須(如打開和檢查內(nèi)容)。在這個階段里，我們能夠定義多個文件類別，能夠讓我們更好地了解攻擊者的意圖。另外，這一步讓我們對有趣的攻擊有了新的見解，其中的一些會在下面的部分通過深入的例子進行介紹。#p#

四、配置系統(tǒng)

500個蜜罐代理部署到了共享主機計劃上，這些主機選用了8個國際上最流行的互聯(lián)網(wǎng)虛擬主機提供商的主機(來自美國、法國、德國和荷蘭)。為了讓蜜罐代理能夠正常工作，每個供應商必須支持通過PHP使用cURL庫，同時支持除了80和443端口以外的其他端口對外連接。

為了能使用戶登錄我們的蜜罐網(wǎng)頁，我們在GoDaddy.com上購買了100域名，同時帶有隱私保護。這些域名被平均分配在.COM、.ORG和.net頂級域名中，并均勻地分配給提供商主機。對于每個提供商，我們?yōu)槊總€域名配置了4個附加的子域名，這樣就有了5個不同的網(wǎng)站(為保證蜜罐的匿名性，我們叫它們www.site.com、sub1.site.com、sub2.site.com、sub3.site.com和sub4.site.com)，最后，我們在首頁上公布這500個域名，在研究小組的網(wǎng)站上以透明的方式進行連接，這種方法已經(jīng)由MUTER[18]等出于類似目的提出。

我們使用修改后的ftp-deploy腳本[11]分批上傳我們給500個網(wǎng)站定制的PHP代理。這就簡化了發(fā)布和更新PHP代理的操作，并統(tǒng)一了上傳文件到服務器上的操作。由于與.htaccess、ModRewrite以及cURL的結合，我們可以把用戶的請求透明地轉發(fā)到對應虛擬機的適當URL上。任何嘗試讀取一個不存在的資源，或是訪問代理頁面都會顯示空白頁面給用戶。在不考慮賬戶的時間線攻擊或是入侵主機提供商服務器前提下，訪問者無法知道他們訪問的是代理。

安裝在每個網(wǎng)站上的蜜罐系統(tǒng)都是由索引文件、PHP代理腳本和配置文件組成的。索引文件是網(wǎng)站的主頁，它會連接到存在漏洞的Web應用上或是其他蜜罐網(wǎng)站，這些是根據(jù)配置文件的內(nèi)容來定的。

每個子域名的連接結構是不同的，如圖1(a)中所示。實際上，同一個域名下的每個子域最多和其他2個不同的子域名連接。我們建立的連接圖就是為了檢測來自系統(tǒng)的可能導致自動連接和執(zhí)行自動攻擊或掃描的流量。

4.1、安裝Web應用

我們在7臺虛擬機上總共安裝了5個有漏洞的CMS，這些CMS是最知名的內(nèi)容管理系統(tǒng)，同時在我們開始部署時就具有漏洞。對于每個CMS我們都選擇了一個有大量漏洞的版本，或者至少有一個能讓攻擊者完全控制的應用程序漏洞。我們也限制選擇發(fā)布時間不超過5年的CMS版本，來保證我們網(wǎng)站可以吸引攻擊者。

我們這樣選擇的目的是出于攻擊者選擇低門檻目標的想法。另一方面，我們的蜜罐可能會錯過精致而不落俗套的攻擊，這些攻擊主要針對著名機構或是知名網(wǎng)站。然而，這些攻擊不容易通過蜜罐來研究，因此不在我們研究的范圍內(nèi)。

表1描述了安裝在7臺虛擬機上的應用漏洞、發(fā)布的時間、應用特點以及存在的漏洞。我們已經(jīng)安裝了WordPress 2.8的兩個實例，一個使用CAPCHA來保護評論，另一個沒有使用CAPCHA保護，這是為查看是否有攻擊者會手動注冊虛假賬號，還是系統(tǒng)自動解決CAPCHA。但似乎沒有這種情況，因為我們沒有接收到任何被CAPTCHA保護的博客上的評論。因此我們不會討論在文章其余部分討論的這部分內(nèi)容。

4.2、收集數(shù)據(jù)

從2011年12月23日開始，我們收集了運行了100天虛擬機上的日志。所有的結果出自這7臺機器的日志。

總的來說，我們收集了9.5千兆的原始HTTP請求，由大概11.0M的GET和1.9M的POST。我們的蜜罐被超過了73000個不同的IP地址訪問過，這些IP地址跨越了178個國家和超過11，000的用戶代理。這要比之前John等人在低交互蜜罐上[14]觀察到的幅值上大一倍。此外，我們還提取超過85，000個在攻擊我們的網(wǎng)址過程中上傳或是修改的文件。

有兩種不同的方式來處理我們收集的數(shù)據(jù)：一是通過看Web日志來確定和研究攻擊;另一種是通過分析攻擊者上傳和修改的文件來盡量和目標建立關聯(lián)。接下來的兩節(jié)會從這兩個視角進行描述。#p#

五、滲透攻擊和后滲透攻擊行為

為了能單純的使用蜜罐來更好的分析攻擊者的行為，我們決定把攻擊分為4個不同的階段：發(fā)現(xiàn)、偵察、滲透攻擊和后滲透攻擊。發(fā)現(xiàn)階段描述攻擊者如何找到他們的目標，例如通過搜索引擎查詢或是通過簡單的IP地址掃描。偵察階段包括被訪問網(wǎng)頁的相關信息，如使用自動爬蟲或是手動接入一個匿名的代理。在滲透攻擊階段，我們描述了對我們的Web應用程序進行攻擊的數(shù)量和類型。有些攻擊達到了他們的最終目標(如使一個網(wǎng)頁重新指向一個惡意網(wǎng)站)，但是一些只是進行了上傳操作。在這種情況下，上傳的文件通常是Webshell，攻擊者利用該文件稍后進行手動登入被攻擊系統(tǒng)并繼續(xù)進行攻擊行為。我們把這之后的階段叫做后滲透攻擊階段。

表1簡要說明安裝到蜜罐虛擬機上的應用程序特點和可以利用的漏洞列表。

 

表1、蜜罐虛擬機上安裝的應用程序

要呈現(xiàn)所有可能行為的組合是很難的。并不是每一次攻擊都會出現(xiàn)這幾個階段(如偵察和滲透攻擊可能在一個階段中執(zhí)行)，而一些訪問并不會導致任何實質性的攻擊，有時甚至不能將來自不同IP地址的同一個攻擊者的不同行為關聯(lián)在一起。但是，通過在每個階段中收集的數(shù)據(jù)中提煉常見模式，我們能夠在我們的實驗觀察中識別出“典型的攻擊形態(tài)”。這些信息可以進行如下概括：

1、69.8%的攻擊者使用搜索機器人來訪問頁面。這樣的搜索經(jīng)常試圖隱藏User-Agent，或是偽裝成合法的瀏覽器或是搜索引擎爬蟲。

2、當偵察鑒定這是攻擊目標后的幾秒鐘，第二階段的自動系統(tǒng)會訪問該頁面并執(zhí)行真正的滲透攻擊。這通常是單獨的一個不能偽造用戶代理的腳本，因此，常常出現(xiàn)例如libwww/perl的字符串。

3、如何漏洞允許攻擊者上傳文件，在這種情況下，46%的滲透攻擊機器人會上傳Webshell。此外，大多數(shù)的攻擊者會成冪次方的上傳相同的文件(平均9，有時多達30)，大致可以肯定攻擊是成功的。

4、平均在3小時26分鐘后，攻擊者通過之前上傳的shell登錄機器。這個和攻擊者進行交互的平均登錄時間是5分37秒。

雖然這代表了從我們數(shù)據(jù)庫中提取的最常見的行為，但我們也觀察到了很多其他行為組合，我們會在其余的章節(jié)中進行描述。最后，要提的是攻擊者行為會隨著應用和利用漏洞的不同而發(fā)生改變。因此，我們應該說之前的描述總結了針對osCommerce 2.2的最常見攻擊行為(迄今為止在我們蜜罐上遭受攻擊次數(shù)最多的Web應用)。

圖2對每個階段的特征進行了快速的總結。在余下的章節(jié)中有更多的信息和統(tǒng)計數(shù)據(jù)。然后，根據(jù)在滲透攻擊或后滲透攻擊時期上傳和修改文件的分析，我們在第6節(jié)將會根據(jù)實驗觀察來努力總結不同的攻擊目標和動機。

圖2、攻擊的四個階段

圖3、研究過程中蜜罐系統(tǒng)接收到的HTTP請求量

圖4、來自各國的請求數(shù)量

#p#

5.1、發(fā)現(xiàn)階段

第一次HTTP請求進入我們的蜜罐代理是在我們配置好蜜罐后的10分鐘里，來自Google機器人。第一次直接請求我們的虛擬機(在8002端口)是在搭建后的1小時50分鐘。

在最初的幾天里，多數(shù)流量是由良性Web爬蟲造成，因此我們設計了一個簡單的解決方法，在余下的流量里篩選出良性爬蟲產(chǎn)生的流量。因為單獨的HTTP頭文件是不可信的(如攻擊者常常在他們所用的腳本里使用“Googlebot”的User-Agent)，我們收集了機器人的公開信息，我們把這些信息與日志中提取的信息結合并在WHOIS結果中進行確認，以鑒別來自已知公司的爬蟲。通過結合User-Agent字符串和關聯(lián)到已知企業(yè)范圍的IP地址，我們可以鑒定14種來自1965個不同的IP地址的不同爬蟲。盡管這不并非完整的爬蟲列表(如約翰等人[14]使用了一個更復雜的技術來鑒定16種Web爬蟲)，但足夠成功過濾由爬蟲產(chǎn)生的流量。

在圖3中顯示了關于請求的統(tǒng)計學數(shù)據(jù)。良性爬蟲的請求相對穩(wěn)定，但是隨著時間的流逝，蜜罐會被搜索引擎索引并被連接到黑客論壇或是連接到鏈接養(yǎng)殖場上，惡意僵尸或是爬蟲的請求數(shù)量同時也呈線性增加。

當繪制這些統(tǒng)計數(shù)據(jù)時，我們在訪問模式上也確定了一些可疑的流量，在一些情況下，短短的幾個小時我們的應用就被一些特別的IP地址訪問(和每天平均192次相比)，這清晰地表明一個僵尸網(wǎng)絡正在掃描我們的網(wǎng)站。

有趣的是，在系統(tǒng)搭建好后的2小時10分鐘，當論壇開始接受一些自動注冊時我們就觀察到了第一個可疑行為。然而，論壇上的第一個帖子出現(xiàn)在4天后的12月27號。更令人驚奇的事實是，從爬蟲的第一次訪問恰好帶來了第一次攻擊：在我們的蜜罐配置好后的4小時30分鐘。在波蘭的瀏覽器訪問了我們的osCommerce應用程序并通過文件上傳漏洞上傳了惡意PHP腳本到蜜罐。圖4總結了我們的蜜罐收到的訪問(良性爬蟲除外)，并通過地理地址將它們進行了劃分。

5.1.1、Referer分析

分析HTTP頭中的Referer(無論何時都可用)可以幫助我們確定訪問者是怎么在Web上發(fā)現(xiàn)蜜罐的。根據(jù)結果我們可以區(qū)分兩類主要的用戶：使用搜索引擎來尋找應用程序漏洞的攻擊者，和通過郵件或是公共論壇上發(fā)帖來進行釣魚的受害者(我們將在6.8節(jié)介紹這個現(xiàn)象)。

Referer集中共有66449人次訪問了我們的蜜罐頁面。出現(xiàn)的最頻繁的是搜索引擎，其次是是Web郵件和公共論壇。其中來自Google的記錄有17156條，攻擊者用來尋找我們網(wǎng)站時所使用的其他搜索引擎有Yandex(1016條)、Bing(263條)、Yahoo(98條)。最后，其他的15746次請求來自幾個公共的Web論壇，部分論壇屬于黑客組織，部分來源是垃圾郵件機器人。

最后我們通過從網(wǎng)頁搜索引擎上的Referer集提取了搜索查詢(當用于惡意目的時也叫做“dorks”)。我們的分析表明攻擊者使用的搜索條件高度依賴于部署在蜜罐上的應用。例如，訪問Joomla應用最常用的dork包含有‘joomla allows you’字樣，同時Simple Machines Forum可以通過搜索‘powered by SMF’來查到。我們的機器包含的公開Webshell也可以通過類似‘inurl:c99.php’、‘[cyber anarchy shell]’甚至是‘[ftp buteforcer][security info][processes][mysql][php-code][encoder][backdoor][back-connection][home][enumerate][md5-lookup][word-lists][milw0rm it!][search] [selfkill][about]’來搜索到。后面的查詢盡管很長，但仍然有超過150次的Web shell訪問來自于它。更可能的搜索來源是通過‘intitle’：因為腳本的名字和標題常會被攻擊者自定義，相比搜索固定的url類型或是網(wǎng)頁主題，搜索它們的文字內(nèi)容更可能返回更多結果。一些專用的搜索引擎也有被用到，如devilfinder.com，有141次訪問Web shell是通過該搜索引擎。這個搜索引擎聲稱和一般的搜索引擎比會顯示更多低排名的結果，且不會儲存任何搜索數(shù)據(jù)，相同的Web頁面最多可以返回多達300條記錄，這就很適合攻擊者尋找dorks和長長的漏洞網(wǎng)站列表。

5.2、偵察階段

在移除良性爬蟲流量后，我們的蜜罐接收到的大部分流量都來源不明，其中許多是源于自動的HTTP請求。在研究過程中，我們發(fā)現(xiàn)這些請求大部分是針對我們蜜罐的攻擊或垃圾郵件。

然而，區(qū)分攻擊者是手動訪問還是自動訪問還是很難的。我們把下面的三個準則作為自動請求的標志：

間隔時間。如果請求來自相同的IP地址，到達的頻率高于某個閥值。我們就會認為流量來源于一個可能的惡意機器。

圖片請求。自動化系統(tǒng)特別需要優(yōu)化其請求速度，幾乎從來不會要求來自系統(tǒng)的圖像或是演示相關的內(nèi)容。掃描訪問者的Web日志，那些從來沒有請求圖像或是CSS內(nèi)容是自動掃描的一個簡單特點。

子域名訪問模式。如第4節(jié)中說，我們配置的每個網(wǎng)站都包含很多根據(jù)預定的模式相互連接的子域名。如果在很短的時間里有相同的IP訪問，根據(jù)我們的模式，那么這很有可能是一個自動化的爬蟲。

例如，在移除良性爬蟲流量之后，系統(tǒng)在不接收圖片請求的情況總共接收到了9.5M的訪問量，與之相比，系統(tǒng)被請求圖片和演示內(nèi)容時才接收到1.8M訪問量。相反，只有641個IP地址(對于13.4K的訪問量)是按照精確的訪問連接訪問網(wǎng)站的，其中60%的訪問遵循廣度優(yōu)先的原則。

85%自動化請求是針對我們的論壇應用程序，都是注冊虛假用戶信息和發(fā)布垃圾郵件的請求。余下的1.4M請求直接指向剩余的6個蜜罐應用程序，95K是模仿已知搜索引擎User-Agent的流量，還有264K的流量是在多個User-Agent相互切換訪問的結果。余下的請求不包含任何可疑的用戶代理字符串，沒有按照域名路徑，也不請求圖片，所以我們把它們歸類為機器人請求。#p#

5.3、滲透攻擊階段

首要的工作是通過解析、搜索日志文件中的攻擊痕跡來檢查滲透攻擊企圖。幸運的是在已經(jīng)知曉Web應用程序漏洞的情況下，我們可以通過一系列正則表達式在日志中快速、穩(wěn)定的檢索攻擊信息。

總體而言，我們記錄了444種不同的滲透攻擊會話。一個有趣發(fā)現(xiàn)是其中的310種使用了兩個或是多個User-Agent字符串，正如第5節(jié)所說，這種情況在使用偵察機器人和自動攻擊腳本來提高攻擊速度并快速尋找目標時便會發(fā)生。特別是，我們所觀察的三分之二(294個)的滲透攻擊會話所使用的User-Agent與LibWWW Perl庫(libwww/perl)相關。

在這樣的一些滲透攻擊會話中，攻擊者試圖掩飾他使用的良性機器人工具和瀏覽器。在滲透攻擊會話中常被使用的一些爬蟲User-Agent字符串是：FreeWebMonitoring、Gigabot/3.0、gsa-crawler、IlTrovatore-Setaccio/1.2、bingbot/2.0和Googlebot/2.1。

每個滲透攻擊會話最顯著的副作用是上傳或修改受害主機上的文件。特別奇怪的是，我們注意到滲透攻擊會話中上傳文件時平均會上傳9.75次。這種奇怪的現(xiàn)象可以用這樣的事實來解釋，大多數(shù)滲透攻擊工具都是自動執(zhí)行的，攻擊者無法實時查看攻擊是否成功，多次上傳相同的文件可以增加文件上傳成功的幾率。

圖5、攻擊會話的時間分布

使用3.2節(jié)所介紹的方法，我們將上傳到蜜罐的文件自動歸類為漏洞利用服務的結果。然后，我們把滲透攻擊會話信息和收集文件的分類結果進行關聯(lián)，這個階段的分析結果顯示攻擊會話所上傳文件的構成：45.75%的文件是Webshell，17.25%的文件是釣魚文件(簡單的HTML頁面或是完整的釣魚攻擊包)，1.75%的文件是自動下載和遠程URL執(zhí)行文件，1.5%的文件是本地信息搜集文件。最終，32.75%的上傳文件無法用我們的系統(tǒng)進行歸類，因為它們與我們所觀察的其他文件沒有相似之處，或者是與我們研究無關的多媒體文件和圖片(例如，用于篡改頁面的圖片或音樂)。

圖5顯示了我們的蜜罐遭受攻擊的規(guī)整時間，該值是計算機根據(jù)IP地址所在地理位置的時區(qū)調(diào)整后的數(shù)值。同樣，這些數(shù)值無法反應攻擊者在代理情況下使用不同IP地址進行攻擊的正確數(shù)值。然而，該圖顯示了在滲透攻擊和后滲透攻擊階段在白天進行的明顯趨勢。尤其是我們觀察到的交互會話中只有很少發(fā)生在凌晨4點到上午10點，可能是因為攻擊者也需要休息的緣故。有趣的是在滲透攻擊階段絕大多數(shù)自動化攻擊的時間分布上也顯示了類似的趨勢(盡管不清晰)。這可能受感染的僵尸主機進行掃描的結果，而這些主機在晚上便會被用戶關掉。

搜索我們攻擊日志來得到關于直接訪問我們虛擬機的攻擊者信息，這些攻擊者沒有通過蜜罐代理訪問，我們發(fā)現(xiàn)這種攻擊數(shù)量不多，但仍然有相當數(shù)量的攻擊是直接攻擊蜜罐的IP:PORT。特別是，我們發(fā)現(xiàn)這種攻擊中的25次是針對蜜罐上的電子商務應用，19次是針對主機上的webshell和靜態(tài)網(wǎng)站。在這兩種情況下，攻擊者可以使用之前的漏洞來提取我們機器的IP地址(保存在被許多攻擊者經(jīng)常下載的osCommerce配置文件中，或是通過交互shell來檢查機器)，并在之后的攻擊中用到這些信息。

5.3.1、發(fā)帖

在第一天的運行后，我們的論壇應用程序收到大量的訪問流量，大部分流量是虛假注冊和垃圾郵件機器人發(fā)出的。我們分析了機器數(shù)據(jù)庫的每一個快照，目的是提取論壇帖子和嵌入其中的每一條URL信息。這讓我們鑒別和分類了幾種垃圾郵件和鏈接養(yǎng)殖場，同時發(fā)現(xiàn)了一些惡意出售論壇賬號的行為。

在我們的研究中，共有68201條唯一信息被發(fā)布，這些信息來自15753個用戶使用的3144唯一IP地址。每天論壇的數(shù)據(jù)體現(xiàn)出高流量留言板是典型的媒介：平均每天發(fā)帖604條(最高達3085條)，在高峰時刻平均有232個用戶在線(最多達403個)。

更讓人吃驚的是論壇注冊者的數(shù)量要比發(fā)帖的數(shù)量大的多：平均每天1907次注冊，在2012年3月23日達到最大的14400次。這種現(xiàn)象非常常見，在我們論壇上進行操作的33.8%IP地址都至少創(chuàng)建了一個虛假賬戶，但是從來不發(fā)帖，這表明對于犯罪者來說或許有完成自動注冊的某種激勵，或許這比垃圾郵件活動更能獲得價值。我們設想這些虛假論壇賬號可以在黑市上進行出售。我們確實發(fā)現(xiàn)了1260個賬號是由同一個IP地址創(chuàng)建的，幾天之后使用其他的IP來發(fā)布消息，這不一定能證實我們的推論，但是至少說明論壇垃圾信息已經(jīng)成為一種復雜的生態(tài)體系，且在一次垃圾信息或鏈接養(yǎng)殖場的幕后找出其中某個人員現(xiàn)如今是非常難的。

進一步查看注冊用戶和發(fā)布垃圾信息的IP地址發(fā)現(xiàn)，這些IP大部分來自于美國或東歐國家(主要是俄羅斯、烏克蘭、波蘭、拉脫維亞、羅馬尼亞)。在我們的論壇上活躍著6687個不同的IP地址(至少發(fā)了一個帖子或是注冊了一個或是多個賬號)，其中，36.8%來自美國，24.6%來自東歐。如果只考慮至少在論壇上發(fā)一次帖子的IP地址，那么國家的覆蓋率就會徹底不同，這種情況下，來自美國的IP地址占了62.3%(東歐的IP地址占21.2%)。

最后，我們把論壇上的所有帖子根據(jù)關鍵字進行了簡單分類。這樣就可以讓我們快速鑒別常見的垃圾郵件主題和活動。通過這種方法，我們能夠自動分類63763條信息(占總數(shù)的93.5%)。

我們提取出來的主題信息趨勢說明最常見的主題類型是藥品(占分類消息的55%，最高每天有2000條信息)，其次是搜索引擎優(yōu)化(SEO)和電子產(chǎn)品(11%)、成人內(nèi)容(8%)、衛(wèi)生保健和家庭安全(6%)。

我們使用了兩種自動的分析工具來對所有帖子中的鏈接進行一個深入分析來檢測惡意網(wǎng)頁，即Google安全瀏覽器[22]和Wepawet[8]。這兩種工具的檢測結果說明我們從論壇上提取的221423個URL中只是很少的一部分(2248條，大概1%)包含惡意或是可能有害的鏈接。

5.4、后滲透攻擊階段

后滲透攻擊階段主要是分析攻擊者和被感染的機器之間的聯(lián)系。在我們的實驗中，是通過在滲透攻擊階段安裝Webshell，或是通過訪問預先安裝到我們的虛擬機上的公開Web shell增加收集的數(shù)據(jù)。

后滲透攻擊階段分析中值得特別關注，因為在交互會話中攻擊者可以發(fā)出任意指令。然而，這些Webshell不會有任何會話概念：它們僅僅是無狀態(tài)條件下通過HTTP請求接收命令并提供響應而已。

在我們的實驗中，我們總共接收到了74497次shell命令。這些命令從簡單文件系統(tǒng)中衍變而來對文件進行檢查和編輯，以及復雜到上傳新文件和執(zhí)行Web掃描等任務。

為了更好的理解這個數(shù)字代表了什么，我們決定將每次接收的來自同一個IP地址的獨立命令在虛擬“交互會話”中組合起來，同時連續(xù)命令之間的時間間隔少于5分鐘。

根據(jù)這個定義，我們注冊了232個交互會話作為滲透攻擊的結果，我們預裝了8268個shell，平均每個會話持續(xù)5分37秒，然而，其中我們注冊的9個會話用時都在一個小時以上。依據(jù)系統(tǒng)命令的響應，最長的會話來自沙特阿拉伯，該會話向shell發(fā)送了663條命令，包括幾個文件的手動編輯。

有趣的是，在攻擊過程中最常見的一個行為是上傳自定義的shell，即使攻擊者攻入系統(tǒng)時使用的是在系統(tǒng)上已經(jīng)存在的shell。因為攻擊者知道使用其他人安裝的shell含有后門并泄露他們信息的可能性更高。除了我們工具所提供的17個shell，我們還定義了HTTP模式來匹配攻擊者上傳的常見自定義shell，由此我們可以分析他們發(fā)出的命令。

在83%的情況下，攻擊者試圖使用至少一個主動命令(上傳或是編輯文件、更改文件權限、創(chuàng)建文件或是目錄、掃描主機、關閉進程、連接數(shù)據(jù)庫、發(fā)送郵件等)。其余的會話純粹是被動行為，攻擊者僅僅是瀏覽我們的系統(tǒng)、下載源碼和配置文件。

最后，在61%的會話中攻擊者會上傳一個新文件，50%的會話會試圖修改機器上已存在的文件(其中的13%是頁面篡改)。對于這些獨立命令，最常用的是讀取和列出文件和目錄，隨后是在系統(tǒng)上編輯文件、上傳文件、運行命令、列出運行中進程以及下載文件。#p#

六、攻擊目標

在本節(jié)中，我們把關心的重點從攻擊方法轉向攻擊動機。換句話說，我們會試圖去了解攻擊者在拿下網(wǎng)站后會做什么。他們是否會安裝僵尸服務，他們是否會試圖獲取主機的管理員權限，他們是否會在應用程序中插入代碼、植入后門或是惡意的iFrame。

表2、分類結果

圖6、基于特殊文件上傳的攻擊行為

為了回答這些問題，我們分析了在滲透攻擊階段上傳的文件，和在后滲透攻擊時期創(chuàng)建和修改的文件。正如我們在第3節(jié)中提到的我們對每個文件的內(nèi)容進行了規(guī)整，根據(jù)它們的相似性進行了歸類。最后，我們手動標記了每個類型，以區(qū)分這些文件的目的。表2總結了歸類的結果，我們的蜜罐收集了86.4%的單一文件。關于這些文件，圖6展示了文件目的的類別。例如，在實驗中我們觀察到的1.7%文件是用來升級在感染的機器上提升權限，這不同于說1.7%的攻擊者要提升機器權限。不幸的是，我們并不是總能將這些文件和攻擊者的攻擊行為對應起來。因此，我們通過鑒別在攻擊期間上傳特定文件的每個特定IP地址所完成的特定行為對攻擊者行為進行評估。僅僅通過攻擊者的IP地址來鑒別攻擊者并不總是正確，但是這還是提供了一個近似的合理性。因此如果我們說某一類攻擊的預計攻擊概率有20%，這就意味著一個攻擊者在他/她的操作中所上傳的5個文件中至少有一個文件屬于這類攻擊。

只有14%的攻擊者上傳了至少屬于兩個不同類別的多個文件。這就意味著大多數(shù)的攻擊者都有一個精確的目標，或是攻擊者在常常的改變他們的IP地址，使我們很難跟蹤他們。

在本節(jié)的其余部分我們將簡要介紹這13個攻擊類別。

6.1、收集信息

唯一文件比率：1.8%

預計攻擊者比率：2.2%

這些文件主要包含在分析受攻擊系統(tǒng)的自動腳本中，常用于手動攻擊的第一個階段，其中在使用惡意操作之前，攻擊者試圖收集被攻擊系統(tǒng)的信息。一般情況下，我們觀察到有一些攻擊者使用腳本來搜索、存檔和下載一些系統(tǒng)配置文件。

例如，在2012年4月7號一名攻擊者便使用這種工具來攻擊我們的蜜罐。攻擊者使用普通瀏覽器和馬來西亞IP地址，上傳一個叫allsoft.pl的腳本。一旦腳本被執(zhí)行，它會掃描包含CMS(如Wordpress、Joomla、WHM、phpBB、vBulletin)配置文件列表的系統(tǒng)，創(chuàng)建了一個能夠找到的包含所有文件的tar歸檔，同時給攻擊者返回一個指向所創(chuàng)建的文檔文件的鏈接，這樣很容易進行下載。這個腳本在用戶和系統(tǒng)上的多個主目錄之間迭代運行，以盡可能多的在受攻擊機器上收集賬戶信息。#p#

6.2、路過式下載

唯一文件比率：1.2%

預計攻擊者比率：1.1%

我們目擊到了一些創(chuàng)建Web下載的攻擊，通過在我們的蜜罐服務上插入自定義的漏洞HTML代碼，上傳含有已知瀏覽器漏洞的文件，這種行為是為了對訪問網(wǎng)站的用戶機器進行滲透攻擊，將用戶機器變?yōu)楣粽叩慕┦瑱C器，之后用于大范圍的非法活動。

這種攻擊方式的一個例子是在2012年2月28日上傳到我們蜜罐的intu.html文件。當網(wǎng)頁被打開后，頁面顯示“正在交易，載入您的訂單，請稍等”。后臺惡意的avaScript加載iFrame同時指向托管在twistedtarts.net的文檔。該文檔是惡意程序且含有兩個漏洞，CVE-2010-0188和CVE-2010-1885。Wepawet[8]在這個頁面上傳到我們蜜罐服務器的同一天將這個文檔報告為了惡意軟件。

6.3、第二階段

唯一文件比率：37.2%

預計攻擊者比率：49.4%

這種類型攻擊包括下載者(設計用來下載同時執(zhí)行其他文件的程序)、上傳者(能夠實現(xiàn)遠程上傳文件的網(wǎng)頁)、Webshell和搭載后門的文檔。這些是供攻擊者選擇完成基于Web方式攻擊的工具，因為這些工具允許上傳任何文件到受害者機器，或者在攻擊者登錄服務器終端后執(zhí)行任意命令。大多數(shù)登錄我們蜜罐的攻擊采用混合Webshell和自定義腳本的方式來試圖破解機器并在上面安裝惡意軟件。

這種行為的一個例子是在2012年1月1號6點50，一個來自美國科羅拉多州恩格爾伍德市的IP地址，其User-Agent設置為“blackberry8520_ver1_subvodafone”，該IP地址直接連接到運行著osCommerce的蜜罐上來，并利用文件上傳漏洞上傳了幾種不同的PHP腳本，它們中大多數(shù)啟動IRC機器人連接到不同的IRC服務器上。同一個人也上傳了PHP shell來下載機器上的CMS配置文件。

事實上，攻擊者并沒有通過我們蜜罐代理進行連接，而是直接連接到了我們不常用的IP地址，從而引起了我們的關注。在我們的攻擊日志上進行后向搜索，我們發(fā)現(xiàn)在不到24小時前，一個使用科羅拉多州恩格爾伍德市的另一個IP地址且用戶代理設置為“bingbot/2.0”的自動系統(tǒng)連接到了我們的網(wǎng)站，并利用漏洞下載了osCommerce配置文件，該文件中包含了運行osCommerce虛擬機的真實IP地址。

6.4、提升權限

唯一文件比率：1.7%

預計攻擊者比率：2.2%

權限提升在計算機安全史上是一種最古老的漏洞，但是它仍然很受人們的喜歡，因為它允許攻擊者獲得管理員權限并控制完整的機器。在共享Web托管環(huán)境的服務器中成功利用權限提升漏洞能夠使攻擊者修改在服務器上托管的每個站點的文件，如此可能讓數(shù)百甚至上千個網(wǎng)站同時遭受攻擊。

這類攻擊的實例發(fā)生在2012年2月9日。一個使用匈牙利IP地址的攻擊者在一臺托管有Webshell的主機上上傳了一個名為mempodipper.c的文件，并使用其中一個shell來嘗試用gcc來編譯它的源碼。本機沒有可用的編譯器，因此，在5分鐘后，攻擊者上傳了一個預編譯的名為mempodipper的二進制ELF文件，同時試圖通過使用shell來執(zhí)行它。我們發(fā)現(xiàn)這個漏洞利用程序利用了一個使用了近來才被披露的漏洞——在這個攻擊發(fā)生不到20天前發(fā)布的CVE-2012-0056。在攻擊時這個漏洞利用程序通過已經(jīng)被公開可用[27]的SUID /proc/PID/mem Write來提升Linux的本地權限。然而，我們虛擬機的內(nèi)核并沒有該漏洞。

6.5、掃描器

唯一文件比例：2.3%

預計攻擊者比率：2.8%

這中活動的進行是為了能發(fā)現(xiàn)其他地方或是有遠程漏洞的可以被攻擊者利用的目標網(wǎng)站。如FTP掃描，使用“dorks”的查尋掃描，或是試圖列出所有的在管理機上屬于這個分類的域名稱。

一個具體的例子是trdomain.php頁面，該文件在12月16日上傳到我們蜜罐，其IP地址來自土耳其。它包含一個本地域名稱掃描器，從本地配置文件(如named.conf)拉取域名稱配置信息，并從Google獲得PageRank，以及文件根目錄、用戶名，并返回一個包含這些信息列的網(wǎng)頁。頁面的標題是“Domain ve User ListeLiyici —— by W£ßRooT”。截至目前，在網(wǎng)上搜索這些標題仍有許多結果，說明這種攻擊很普通并被廣泛傳播。

6.6、頁面篡改

唯一文件比率：28.1%

預計攻擊者比率：27.7%

這種攻擊在我們的蜜罐上是最常見的。在這種攻擊中，攻擊者修改蜜罐上存在的頁面或是上傳新的頁面用于聲明網(wǎng)站遭受攻擊由他們負責。通常，但是不總是，聲明和宗教或是政治宣傳有關，或是為了搞笑或是令人震驚的畫面。很多執(zhí)行這些攻擊的攻擊者甚至連接到他們的個人網(wǎng)站或是Facebook頁面上，在這里我們可以看到這些人主要是青少年在追求出名和在朋友面前吹噓。

一次頁面篡改的攻擊發(fā)生在格林威治標準時間3月6日晚上8點，有人使用德國的IP地址連接后發(fā)現(xiàn)在我們機器管理的一個靜態(tài)網(wǎng)頁上藏著shell，并用它編輯了機器上的靜態(tài)HTML頁面。這個頁面代碼是使用復制和粘貼來使用Webshell上傳。這個被篡改的頁面包括一個來自作者的簡短口號，使用JavaScript動畫文本緩緩拉開的葡萄牙引語，和一組鏈接到黑客成員中每個人的Twitter頁面，其中一些人的賬戶有超過1000個tweet和幾百名跟隨者?？焖贋g覽下這些內(nèi)容，我們會發(fā)現(xiàn)所有成員都在個人網(wǎng)站上貼出他們篡改的網(wǎng)頁。顯然，他們這樣就是了為了建立一些聲譽。這些都是從他們的個人Twitter的URL確定的——一個來自zone-h.org網(wǎng)站頁面——報告他們之前篡改的頁面統(tǒng)計。這些數(shù)據(jù)讓人印象相當深刻，從2011年7月20日到現(xiàn)在寫下了所有成員已經(jīng)篡改的41600個網(wǎng)站，其中500是享有盛名的重要網(wǎng)站(政府網(wǎng)站，大學，或是跨國公司等)。

由于像這樣的攻擊，我們發(fā)現(xiàn)這是很常見的攻擊做法，公開展示頁面篡改的成果來宣傳他們攻擊的網(wǎng)站，就像在zone-h.org網(wǎng)站上展現(xiàn)的那些站點。似乎有些人是真正為了競爭在黑客網(wǎng)站上炫耀他們的技術，我們的蜜罐域名經(jīng)常被他們作為戰(zhàn)利品進行報道。#p#

6.7、僵尸服務

唯一文件比率：28.1%

預計攻擊者比率：27.7%

一些攻擊者在利用我們的蜜罐后，通過上傳專用PHP或是Perl腳本使我們的服務器加入到IRC僵尸網(wǎng)絡中。

兩個蜜罐虛擬機有這些最嚴重的服務漏洞，可以讓攻擊者在服務器上上傳并運行任意文件，并允許通過6667端口建立對外連接。我們這么做是為了監(jiān)聽從我們機器發(fā)起攻擊的IRC僵尸網(wǎng)絡活動。我們只允許在6667端口上進行連接，讓僵尸服務運行在標準IRC端口上連接到他們管理的聊天室。為了避免被僵尸牧人追查，每個連接到IRC端口的通道都通過私有保護的VPN來匿名我們的真實IP地址。之所以不允許本機有其他的出站連接，是為了避免我們的機器對其他主機發(fā)起攻擊或被其他主機掃描。

我們的預測被證明是正確的，我們確實發(fā)現(xiàn)我們的兩臺機器連接到了IRC命令與控制服務器。對這些包的分析顯示出了一些有趣信息。

起初，我們認為IRC僵尸網(wǎng)絡是很少見的，相比在黑市中流通的大量基于Web的滲透攻擊包。然而，上傳到我們蜜罐上的文件的分析呈現(xiàn)相反的趨勢，約200個不同的腳本啟動了IRC僵尸主機。

另一個有意思的現(xiàn)象是從IRC日志可以得知這些IRC僵尸網(wǎng)絡都是被青少年操控的。一些僵尸牧人甚至放置鏈接到他們的Facebook或是Twitter賬號資料中來向他們的朋友進行炫耀。雖然被青少年操作，但是我們大多數(shù)的日志顯示IRC容納了成百上千的僵尸主機(我們觀察到的最大的僵尸網(wǎng)絡由11900個僵尸主機組成)。

一些日志顯示一些僵尸主機的控制者攻擊了在其他IRC服務器上的對手(我們認為這是典型的腳本小子的做法)，同時我們很關心這些年輕人是怎么處理錢的，且他們能夠使用(而且可能由他們自己開發(fā))自動化工具在搜索引擎上搜索并利用漏洞。我們收到了一些執(zhí)行Dos攻擊的命令，使用dorks進行引擎搜索，自動化滲透攻擊，并根據(jù)指令報告用戶名和密碼，以及從攻陷的網(wǎng)站中竊取的信用卡憑證。

最后的一個有意思的發(fā)現(xiàn)是，根據(jù)IRC日志中所用的語言以及上傳IRC腳本的IP地址分析，大多數(shù)僵尸主機都來自東南亞的國家(主要是馬來西亞和印度尼西亞)。

6.8、釣魚攻擊

唯一文件比率：7.3%

預計攻擊者比率：6.3%

釣魚攻擊是當前Web犯罪最危險的活動。我們發(fā)現(xiàn)了很多嘗試在我們的蜜罐上安裝釣魚網(wǎng)頁或是釣魚網(wǎng)頁攻擊的證據(jù)。這些行為都是利益相關的，大多數(shù)的釣魚網(wǎng)站都是網(wǎng)上銀行副本，但是我們也收集到了一些網(wǎng)上電子郵件門戶網(wǎng)站的釣魚例子，甚至有極少數(shù)的網(wǎng)頁冒充互聯(lián)網(wǎng)服務供應商和航空公司的網(wǎng)頁。

在蜜罐運行的100天里，我們的蜜罐總共收集了470個釣魚網(wǎng)頁相關的文件，其中129是完整的釣魚攻擊包(文檔中常含有一個完整的Web釣魚網(wǎng)站安裝文件，包含圖片、CSS文件，以及Web釣魚腳本)。尼日利亞是這個攻擊最活躍的國家，我們的蜜罐記錄的來自尼日利亞的攻擊中有45%是釣魚攻擊。

在我們的蜜罐上一個有趣的事件記錄開始于3月27日。通過分析我們的蜜罐所接受的請求來源頭，我們發(fā)現(xiàn)了來自1762個不同的IP地址的4776個請求，訪問我們網(wǎng)頁的請求來源設置的是sfr.fr的郵件服務器，一個法國主要的ISP之一。檢查Web服務日志，我們發(fā)現(xiàn)所有的HTTP請求來源中都包含有來自sfr.fr請求的兩個PNG圖片文件。在3月24日這兩個文件就上傳到了我們的蜜罐，當來自SFR的第一波訪問達到時，虛擬機已經(jīng)被清理好幾次了，但是我們還是在上傳文件的快照中發(fā)現(xiàn)了圖片的原始版本。奇怪的是，這些圖片顯示一條類似與SFR客戶服務定期溝通的信息。所有請求來源為sfr.fr的用戶在訪問我們的蜜罐之后都會收到一條包含連接到那兩個png文件的釣魚郵件，而他們的Web客戶端只是試圖下載和顯示這些郵件的內(nèi)容。

6.9、垃圾郵件和消息洪水攻擊

唯一文件比率：7.8%

預計攻擊者比率：9.3%

很多用戶似乎還在使用垃圾郵件這一技術在互聯(lián)網(wǎng)上獲利。我們發(fā)現(xiàn)的一些腳本確實是郵件程序，即用自動化方式使用腳本將垃圾郵件發(fā)送量給眾多收件人。其他的一些腳本是來自郵件或是短信洪水發(fā)送者，從而代替發(fā)動Dos攻擊。

我們的蜜罐收集到了大概600個這樣的腳本。如在2月21日，一個叫做a1.php的腳本通過尼日利亞的IP地址上傳到我們蜜罐，這個腳本是一個高度自定義的郵件發(fā)送程序，并允許給一個純文本或是HTML格式列表的收件人發(fā)送垃圾郵件，并且該程序具有很多選項。它也能夠被配置用來登錄遠程的SMTP服務器，目的是為了通過身份驗證來發(fā)送郵件，在達到發(fā)送郵件的一個特定的閥值時能斷開和重新連接到服務器，還有可能是為了避免被阻止。#p#

6.10、鏈接養(yǎng)殖場 & 黑帽SEO

唯一文件比率：2.7%

預計攻擊者比率：1.0%

鏈接養(yǎng)殖場是一個相互連接的網(wǎng)站集合，通常是一個有密集鏈接結構的網(wǎng)頁，它的目標是提升網(wǎng)站群在搜索引擎的排名。相比之下，黑帽SEO是指使用非法或不道德的技術，如偽裝，提升在搜索引擎的排名，或是處理搜索引擎及其爬蟲查看和分類一個網(wǎng)頁的方式。如果我們排除在論壇Web應用上自動發(fā)帖——一種通過高比率發(fā)帖連接到鏈接養(yǎng)殖場的行為，這種行為在我們的蜜罐上并沒有被頻繁觀察到。

在3月19日，一個在我們的蜜罐上創(chuàng)建了很多網(wǎng)頁的有趣攻擊出現(xiàn)了。有人安裝了完整功能的CMS，生成了數(shù)以百計的的靜態(tài)HTML頁面。所有生成的頁面都安裝在我們電子商務Web應用的子目錄images/rf/下，包含俄文文本，以及用來展現(xiàn)的相關圖像、CSS和JavaScript文件。這個網(wǎng)頁結構是通過博客或是CMS引擎創(chuàng)建的，因為所有的網(wǎng)頁都有著稠密的連接結構并指向另一個使用絕對鏈接(已經(jīng)定制和包含我們蜜罐站點的域名)。我們認為這是連接到鏈接養(yǎng)殖場的一部分，或是一些仿制品的市場營銷活動，因為我們分析的大多數(shù)網(wǎng)頁上都有銷售手表的廣告。

最后，在小規(guī)模范圍內(nèi)，我們也看到了一些攻擊者創(chuàng)建的帶有廣告的頁面或是在合作者的網(wǎng)站上傳頁面內(nèi)插入連接。這樣做的目的是要獲得超出廣告的利潤，或是改善他們的伙伴在搜索引擎上的排名。

6.11、代理和流量重定向

唯一文件比率：0.6%

預計攻擊者比率：0.6%

Web犯罪分子總是尋找可靠的方式來隱藏他們的蹤跡，隨著時間的推移，只是通過開放的代理服務、TOR、開放重定向網(wǎng)頁來進行惡意活動變的很難。事實上，這些服務通常都有超負荷的(惡意)流量，同時其平均表現(xiàn)也很糟糕，很有可能被有關當局監(jiān)控著。在這種情況下，通過受攻擊主機進行隧道通信就變得難能可貴，因為很容易把一個Web服務變成一個代理，而且通常運行Web服務的主機提供商都有著高帶寬保證，從而使這些主機成為很有價值的目標。我們發(fā)現(xiàn)有些攻擊者在蜜罐上上傳代理腳本或是使用流量重定向系統(tǒng)，從而實現(xiàn)流量匿名的重定位或是將用戶重定向到惡意來源或相關網(wǎng)站。

一個例子是，在2012年2月22日，一個蜜罐系統(tǒng)被上傳了一個504KB的文檔。這個文檔里包含一個名為VPSProxy的代理工具，可以在http://wonted.ru/programms/vpsproxy/上獲得，這是一個通過GUI客戶端進行完全控制的PHP代理。就它具有的功能而言，如果被安裝到多臺服務器上，該工具會很容易被用于對接兩個不同的連接。我們相信這樣的工具可以幫助犯罪分子隱藏他們在互聯(lián)網(wǎng)上的痕跡。

6.12、定制化攻擊

唯一文件比率：1.9%

預計攻擊者比率：2.6%

這種類型的攻擊或是利用特定的服務漏洞或是利用其他無相匹配的類型服務的漏洞。例如，這一類攻擊包括在服務器上掃描和利用Web服務漏洞的程序，如在4月9日上傳到我們服務器一個Web網(wǎng)站的config.php腳本。這個PHP腳本提供了一個發(fā)現(xiàn)和攻擊9個最知名管理系統(tǒng)的面板：即使被機器發(fā)現(xiàn)了，攻擊者還能夠自動修改它的配置。這個工具也包含其他腳本來利用本地和遠程漏洞。

6.13、DOS & 暴力破解工具

唯一文件比率：4.6%

預計攻擊者比率：2.9%

這一類型包含拒絕服務程序或是針對特定應用和服務的暴力破解攻擊(如暴力破解工具、UDP和TCP洪水腳本)。

這一行為的有趣例子是在2012年4月7日上傳到我們蜜罐上的暴力破解Web郵件的腳本。一個來自阿塞拜疆的IP使用Webshell上傳了一個名為n.php的文件和一個名為WORD.TXT的1508個字詞庫。這個n.php文件一旦被執(zhí)行，它就會使用cURL PHP庫連接到box.az郵件接口，同時使用這個詞典來暴力破解在程序里使用硬件編碼的用戶名的密碼。我們的蜜罐實際上被登錄后在三個不同的域名上傳了多次n.php。攻擊者試圖多次執(zhí)行腳本(在16分鐘內(nèi)進行了10次)，并對其進行編輯(4次)，像是在代碼中尋找錯誤。實際上腳本的流量被我們的防火墻進行了簡單地阻止。

七、結論

在本文中，我們介紹了基于多種有漏洞的真實Web應用的蜜罐服務實施和配置。通過采集的數(shù)據(jù)，我們研究了攻擊者在拿下目標前、攻擊過程中以及攻擊之后的行為。

我們研究的結果給人們提供了一個在Web上當前狀態(tài)下利用漏洞行為的有趣見解。一方面，我們能夠證實某個類型攻擊的趨勢，如東歐國家垃圾評論的活動，同時有很多的騙局和釣魚Web活動在非洲進行著[12]。藥品廣告似乎是垃圾郵件和垃圾評論中中最常見的主題，正如最近的研究發(fā)現(xiàn)的那樣[9]。

另一方面，我們也能夠觀察和研究大量的人工攻擊，以及把感染目標從Web服務變成IRC僵尸服務。這說明通常認為已經(jīng)過時的攻擊行為還仍然很流行(特別在年輕的犯罪者中)且占據(jù)了站點攻擊絕大部分比例。

我們當前的工作正朝著一個完全自動的、實時監(jiān)控的蜜罐進行，以能夠識別、分類每一次攻擊，并用可視化方式顯示攻擊趨勢和被攻擊的目標。#p#

參考文獻

[1] IP Addresses of Search Engine Spiders. http://www.iplists.com/.

[2] Robots IP Address Ranges. http://chceme.info/ips/.

[3] Google Hack Honeypot. http://ghh.sourceforge.net/, 2005.

[4] Dshield web honeypot project. https://sites.Google.com/site/webhoneypotsite/, 2009.

[5] J. Caballero, C. Grier, C. Kreibich, and V. Paxson. Measuringpay-per-install: The commoditization of malware distribution.In Proceedings of the USENIX Security Symposium,2011.

[6] X. Chen, B. Francia, M. Li, B. Mckinnon, and A. Seker.Shared information and program plagiarism detection. InformationTheory, IEEE Transactions on, 50(7):1545–1551,2004.

[7] s. Commtouch. Compromised Websites: An Owner’s Perspective. ttp://stopbadware.org/pdfs/compromised-websites-an-ownersperspective.pdf, february 2012.

[8] M. Cova, C. Kruegel, and G. Vigna. Detection and Analysis of Drive-by-Download Attacks and Malicious JavaScript Code. In Proceedings of the International World Wide Web Conference (WWW), 2010.

[9] Cyberoam Technologies and Commtouch. Internet Threats Trend Report October 2012. http://www.cyberoam.com/downloads/ThreatReports/Q32012InternetThreats.pdf,october 2012.

[10] S. Esser. evalhook. http://www.php-security.org/downloads/evalhook-0.1.tar.gz, may 2010.

[11] M. Hofer and S. Hofer. ftp-deploy. http://bitgarten.ch/projects/ftp-deploy/, 2007.

[12] Imperva Inc. Imperva’s Web Application Attack Report.http://www.imperva.com/docs/HII_Web_

Application_Attack_Report_Ed2.pdf, january 2012.

[13] J. P. John, F. Yu, Y. Xie, A. Krishnamurthy, and M. Abadi.deSEO: Combating Search-Result Poisoning. In Proceedings of the USENIX Security Symposium, 2011.

[14] J. P. John, F. Yu, Y. Xie, A. Krishnamurthy, and M. Abadi.Heat-seeking honeypots: design and experience. In Proceedings of the International World Wide Web Conference (WWW), 2011.

[15] J. Kornblum. Identifying almost identical files using context triggered piecewise hashing. Digital Investigation, 3,Supplement(0):91 – 97, 2006.

[16] C. Leita and M. Dacier. Sgnet: A worldwide deployable framework to support the analysis of malware threat models.In Dependable Computing Conference, 2008. EDCC 2008.Seventh European, may 2008.

[17] T. Moore and R. Clayton. Evil searching: Compromise and recompromise of internet hosts for phishing. In Financial Cryptography, pages 256–272, 2009.

[18] M. M¨uter, F. Freiling, T. Holz, and J. Matthews. A generic toolkit for converting web applications into high-interaction honeypots, 2007.

[19] V. Nicomette, M. Kaˆaniche, E. Alata, and M. Herrb. Set-up and deployment of a high-interaction honeypot: experiment and lessons learned. Journal in Computer Virology, june 2010.

[20] F. Pouget, M. Dacier, and V. H. Pham. V.h.: Leurre.com: on the advantages of deploying a large scale distributed honeypot platform. In In: ECCE 2005, E-Crime and Computer Conference, pages 29–30, 2005.

[21] N. Provos. A virtual honeypot framework. In Proceedings of the USENIX Security Symposium, pages 1–14, 2004.

[22] N. Provos, P. Mavrommatis, M. A. Rajab, and F. Monrose.All Your iFrames Point to Us. In Proceedings of the USENIX Security Symposium, 2008.

(全文完)

原文：http://www.internetsociety.org/doc/behind-scenes-online-attacks-analysis-exploitation-behaviors-web