Мы только что провели поэтапный анализ того, как взломали систему honeypot, установили в ней черный ход и, наконец, использовали для нападения Trinoo. Анализ начался с момента, когда мы получили предупреждение Snort, извещающее о совершении нападения на honeypot. Мы убедились, что нападение прошло успешно, когда взломщик установил с компьютером соединение TELNET и получил доступ при помощи учетных записей twin и hantu. Эти сведения мы получили из предупреждений брандмауэра и системного журнала honeypot. Следующий этап заключался в определении времени первого зондирования нашей сети. Просмотрев архивы предупреждений Snort, мы смогли определить, что 25 апреля две системы honeypot были прозондированы с целью определения версии сервиса DNS. На следующий день злоумышленник взломал DNS, чтобы получить root shell. Просмотрев перехваченные Snort сетевые пакеты, мы убедились, что наша honeypot была взломана путем нападения на DNS, скорее всего, при помощи Named NXT (см. приложение С). После того как взломщик получил root shell, он создал две системных учетных записи, twin и hantu. Это подтверждается файлами прорыва сеанса связи, которые создала Snort.
Затем мы сумели записать все действия во взломанной системе honeypot, перехватив из сети все команды хакера. Если бы нападающий воспользовался зашифрованным соединением, например ssh, Snort не сумела бы перехватить команды. Тогда нам пришлось бы прибегнуть к альтернативным вариантам перехвата команд, таким как модифицированная системная оболочка или драйвер, встроенный в ядро ОС. Тем не менее эти команды могут дать больше всего сведений об инструментах, тактике и мотивах взломщика. После того как взломщик получил на нашей системе права администратора, он загрузил и инсталлировал программу bj.c, позволяющую получить доступ в систему, запустил сценарий, скрывающий следы его деятельности, и удалился. В течение следующих недель взломщик пытался установить соединение с системой, но она работала в автономном режиме (без подключения к сети). Наконец, 9 мая нападающий получил доступ, инсталлировал, а затем запустил Trinoo. После этого мы полностью перевели honeypot в автономный режим, так как уже нельзя было узнать ничего нового.
