본문으로 바로가기

Honeypot과 Client Honeypot

category Defensive Security/HoneyClient 2014.01.22 18:00



1. Honeypot과 Client Honeypot


Honeypot(허니팟)은 정보 시스템에 위협을 발생시키는 다양한 행위들을 탐지하는 가상의 시스템이다. 시스템을 구축하는 것이기 때문에, 공격자는 실제 시스템에 침입한 것 처럼 느껴지지만 오히려 공격자를 추적하고 정보를 수집하는 역할을 한다. 


허니팟은 꿀단지(a pot of honey)를 비유하여 만든 단어로 꿀단지를 열어놓으면 벌레들이 달콤함에 이끌리지만 빠져나오지 못하는 느낌으로 만들었다. 그래서 해외 블로그나 뉴스들에서 허니팟을 언급할 때 꿀단지와 비유한 이미지가 많다.



달콤함에 빠져나오지 못하는 느낌에 맞게 허니팟의 요건들이 있다.


  • 쉽게 해커에게 노출되어야 한다.
  • 취약한 소프트웨어들로 구성되어야 한다.
  • 다양한 상황에 맞는 구성 요소들을 갖추어야 한다.
  • 해당 시스템에 접근하는 모든 감시 기록은 관리자가 볼 수 있어야 한다.


허니팟은 Project 단위로 운영되며, 다양한 프로젝트가 존재한다. 허니팟은 허니팟과 허니팟을 포함하여 네트워크 망을 구성하는 Honeynet(허니넷)이 존재하며 대표적인 두 분류안에 세부적으로 구현된 도구나 기술들이 각각의 프로젝트가 된다. 이 블로거의 주제와 맞게 허니팟에서 Client Honeypot(honeyclient 라고 부르기도 한다.)를 다룰 예정이다. Honeyclient는 시스템이 아닌 소프트웨어 형태로써 클라이언트 단위에서 동작하며 사용자가 공격을 탐지하고 대응하기 위한 프로젝트이다. 특히나 웹 브라우저에 초점이 맞춰져있어 웹 서버와의 상호작용에서 악의적인 행위를 탐지하는 부분으로 특화되어 있어 Drive-By Download 형태와 같은 공격에 대한 탐지와 연구에 많은 도움을 줄 수 있다.


2. Client Honeypot 구성요소


  • Queuer : 방문하는 서버에 대한 목록을 만들기 위한 요소 - 크롤링에 의해 생성
  • Client itself : queuer로 목록을 생성하기 위해선 스스로 웹 서버에 접근
  • Analysis Engine : 서버와의 상호작용 후 분석엔진을 통한 분석 및 악성 유무 판단


그 외 공격을 탐지하게되면 공격 방지를 위해 억제 전략(방화벽 혹은 가상 머신을 이용한 샌드박스)이 구성요소가 될 수 있다.


3. Client Honeypot 종류


3.1. Hi-interaction HoneyClient


높은 상호작용 허니클라이언트는 이름 그대로 다양한 상호작용을 바탕으로 운영된다. 실제 브라우저를 통해 웹 서버에 방문 후 발생하는 파일의 변화, 레지스트리 변화 등의 시스템의 변화를 관찰하는 시스템으로 실제 시스템을 구현하여 사용하는 형태들을 말한다. 그래서 기능적인 제한이 많은 시스템에서는 Hi-Interaction HoneyClient는 운영할 수가 없다. 


장점으로는 시스템을 구현하여 사용하는 형태이기 때문에 응용프로그램 취약점을 이용한 공격에 대한 탐지도 할 수 있다. 이러한 이유로 알려지지 않은 공격(Zero-Day 공격)에 대한 대응에 매우 효과적이다.


단점으로는 공격에 대한 평가나 감사 기록을 확인하기 위해서 많은 양을 검토해야하며 시스템의 상태에 따라 성능편차가 심해진다. 또한 실제 시스템을 운영하기 위해선 운영체제의 라이센스도 필요하게 되어 라이센스 비용이 증가하고, 취약점 환경을 만들기 위한 시간투자도 필요하다.


종류

  • Capture-HPC
  • HoneyClient
  • Strider HoneyMonkey
  • SHELIA
  • UW Spycrawler
  • Web Exploit Finder
  • Cuckoo - Installation
  • MCEDP
  • HIHAT


3.2. Low-interaction HoneyClient


낮은 상호작용 허니클라이언트는 실제 시스템을 구현하는 것이 아닌 서버와 상호작용하는 부분만을 구현하여 시뮬레이션하는 것으로 높은 상호작용 허니클라이언트와 구분된다. 


장점으로는 실제 시스템을 구축하는 것이 아니기 때문에 쉽게 운영할 수 있으며, 알려진 악의적인 행위에 대한 탐지가 매우 빠르다.


단점으로는 알려지지 않은 행위에 대한 탐지율이 낮아 새로운 형태의 공격에 대한 대응이 어렵다.


종류


3.3. Hybrid Client Honeypots


하이브리드 클라이언트 허니팟은 높은 상호작용 허니팟과 낮은 상호작용 허니팟 각각의 장점을 얻기 위해 결합한 형태이다. 알려진 악의적인 행위에 대해서는 낮은 상호작용 허니팟을 통해 빠르게 탐지하고 알려지지 않은 악의적인 행위는 높은 상호작용 허니팟을 통해 탐지하여 탐지 속도 및 미탐에 대한 대응을 한다.


종류

  • HoneySpider


4. 참조 사이트


  • https://projects.honeynet.org/capture-hpc
  • http://handlers.dshield.org/rdanford/pub/2nd_generation_honeyclients.ppt
  • https://projects.honeynet.org/honeyc
  • http://www.honeyclient.org/trac
  • http://www.honeyspider.net
  • http://monkeyspider.sourceforge.net/
  • http://code.google.com/p/phoneyc/
  • https://github.com/buffer/thug
  • http://www.cs.vu.nl/~herbertb/misc/shelia/
  • http://www.spybye.org/
  • http://www.xnos.org/security/overview.html
  • http://code.mwcollect.org/
  • http://nz-honeynet.org
  • http://en.wikipedia.org/wiki/Client_honeypot#High_interaction
  • http://www.irhoneynet.org/?page_id=116
  • https://www.honeynet.org/node/315
  • http://www.cuckoosandbox.org/
  • http://dionaea.carnivore.it/
  • http://glastopf.org/
  • http://hihat.sourceforge.net/


저작자 표시 비영리 동일 조건 변경 허락
신고

댓글을 달아 주세요

티스토리 툴바