Introducción
En el pasado pocos años, un número de defectos serios en Windows se han expuesto, incluyendo MS03-026 , el defecto que el arenador separaba en 2003, hasta que el gusano reciente de Mocbot/Wargbot que explotó MS06-040 [referencia 4] a partir del agosto de 2006. El número de los pedazos distintos de malware que explotaban estos defectos ha aumentado rápidamente el excedente el mismo perÃodo. Hay varias variantes de la mayorÃa de los gusanos y de muchos más que el la mayor parte de de las familias del BOT, tales como Agobot, Phatbot, Sdbot, y asà sucesivamente. Al igual que bien sabido ahora, los bots son colecciones de computadoras comprometidas del “zombi†usadas juntas en una red del botnet para los propósitos infames.
En “la plataforma de Nepenthes: Un acercamiento eficiente para recoger Malware†Baecher y otros observa el siguiente:
 “En un perÃodo de cuatro meses, hemos recogido más de 15.500 binaries únicos, correspondiendo a MB cerca de 1.400 de datos. La unicidad en este contexto se basa en diversas sumas MD5 de los binaries recogidos.â€
En el papel, dan las tarifas de la detección para nuevamente capturan la gama del malware entre el 73% y el 84% a través de cuatro diversos motores del antivirus. Claramente, el confiar en software del antivirus no va a trabajar para cada uno, toda la hora. En este papel describimos cómo un honeypot particular de la bajo-interacción, Nepenthes [referencia 6], se puede utilizar para alertar rápidamente a un administrador a un compromiso de la red. Captura el malware y puede asistir a contener y a quitar la infección.
Alarmas útiles de las identificaciones para encontrar gusanos exploración
Algunos de los gusanos más perjudiciales de años recientes se han basado en defectos en los servicios de Windows. Por ejemplo, el arenador, Sasser, Welchia y Slammer tienen todas las cantidades grandes causadas de tiempo muerto y de productividad perdida a los negocios alrededor del mundo. Esperanzadamente, el vendedor del sistema de la detección de la intrusión del lector (identificaciones) tiene firmas para los gusanos sabidos tales como éstos, y también tiene detección portscan a ayudar a descubrir gusanos nuevos. En el caso del arenador, cada anfitrión infectado enviarÃa alrededor 10 paquetes cada segundo para virar 135/tcp hacia el lado de babor, que era bastante para accionar una alarma de Snort que descubrió el problema incluso antes de que la firma del arenador fue creada.
Usar honeypots para encontrar bots
Con la mayorÃa de los gusanos de la exploración, y la mayorÃa de los bots, los muchos del tráfico serán dirigidos externamente. En estos casos, debes poder manchar los patrones de la exploración en grande en tus registros de las identificaciones. Sin embargo, vendrá eventual una época en que exploran tu red interna que busca sistemas más vulnerables para infectar. Mi honeypot del favorito para estos propósitos se conoce como Nepenthes, nombrado después de un género de las plantas de jarra. Ver el papel de la INCURSIÓN ’06 para más información. Nepenthes funciona en un servidor del UNIX y proporciona bastante emulación de los servicios comunes de Windows a los ataques automatizados del tonto. Nepenthes procurará descargar la carga útil malévola y tiene una opción para someterla automáticamente al sandbox normando . Entonces recibirás un informe de las caracterÃsticas del malware a tu email address dado. Si funcionas Nepenthes en una máquina expuesta, descubrirás rápidamente cuánto malware allà está flotando alrededor en la red. Los muchos de ellos son diversas variantes de algunas familias principales de bots: SpyBot, Agobot, y otros a la hora de esta escritura. Un número justo de éstos puede ser desapercibido por un producto particular del antivirus. Ésta no será de interés la mayorÃa de la gente, pero puede tener valor funcionar un sensor de Nepenthes dentro de tu organización para detectar gusanos el separarse internamente.
Resultados usando Nepenthes
El proyecto de Nueva Zelandia Honeynet instaló un honeypot de Nepenthes usando el funcionamiento de la versión 0.17 en Debian inestable. Esto escuchaba en 255 direcciones del IP, un prefijo de la red de /24. Durante cinco dÃas, habÃa recogido 74 diversas muestras como distinguido por el MD5 hashes de los binaries. De éstos, solamente 48 fueron identificados como malware por un producto particular del antivirus en el final del perÃodo de cinco dÃas. De las muestras sabidas, muchos eran gusanos tales como Korgo, Doomjuice, Sasser y Mytob. El resto era bots del IRC de una clase o de otra, como SDBot, Spybot, Mybot y Gobot. La mayorÃa de binaries, está clasificado, pues los gusanos o los bots tenÃan cierta clase de funcionalidad backdoor del IRC. El análisis adicional de estas muestras se puede también realizar por el lector según lo deseado.
Conclusión
Hay una gran cantidad de remiendos que se han publicado para Windows que han fijado ediciones alejadas de la explotación. Incluso con un buen sistema de gerencia del remiendo, algunos de los anfitriones internos del lector pueden faltar estos remiendos, debido al misconfiguration, error humano o porque están en curso de reinstalación. Una gran cantidad de diversos binaries del malware existen que pueden explotar algunos de estos defectos para acceder a estas computadoras. Puesto que el código de fuente para algo de este malware es fácilmente disponible a los blackhats, un grande muchas variaciones existe y no todos son detectados por el software común del antivirus. Un honeypot de la bajo-interacción como Nepenthes es fácil de instalar y requiere mantenimiento mÃnimo. Puede proporcionar la información valiosa en caso de una infección dentro de tu organización. Cuando está utilizada conjuntamente con un sistema de la detección de la intrusión, la información valiosa sobre el comportamiento del malware, las capturas y el malware binario sà mismo del paquete pueden ser obtenidos.