Telnel的hontel蜜罐分析
Telnel的hontel蜜罐分析
简介
互联网上经常有机器人等爆破telnet,ssh弱口令等。如果爆破成功,则植入病毒等,为后续的DDos,远控等作准备。本文分析360netlab的hontel蜜罐,并用其部署,捕获真实的样本。
蜜罐的原理其实很简单。模拟一个真实的linux系统,提供基于telnet的shell操作。执行并记录每一条命令到日志。蜜罐在中病毒木马后,不会影响真实的系统,就像安装还原卡一样,一键恢复到初始话状态。
360netlab开源了一个小巧实用的蜜罐,很适合初学者理解蜜罐的原理。蜜罐基于linux的chroot去限制蜜罐不会影响到真实机器。chroot是在unix系统的一个操作,针对正在运作的软件进程和它的子进程,改变它外显的根目录。一个运行在这个环境下,经由chroot设置根目录的程序,它不能够对这个指定根目录之外的文件进行访问动作,不能读取,也不能更改它的内容。chroot这一特殊表达可能指chroot(2)系统调用或chroot(8)前端程序。由chroot创造出的那个根目录,叫做“chroot监狱”(chroot jail,或chroot prison)。
我们的主要目标是为了模拟存在弱口令的Iot智能设备。此类设备一般运行嵌入式linux(openwrt等),shell为busybox环境。所以我们还需要在chroot中安装busybox文件。还需要建立类似于Iot设备的文件目录。推荐直接解压一个Iot的固件包即可。
代码分析
该蜜罐主要使用python的Tcpserver框架和telnetsrv框架。只需要继承telnetsrv框架并重载handler方法。这样大大降低了开发难度。
if TELNET_ISSUE:
self.writeline(TELNET_ISSUE)
首先向telnet的客户端写入提示信息。
authenticated = False
for attempt in xrange(MAX_AUTH_ATTEMPTS):
authenticated = self.authentication_ok()
if authenticated:
break
if not authenticated:
return
然后调用认证。这里只需要重写类变量authNeedUser,authNeedPass即可实现认证方法。如果还有特殊需求,可以重载authCallback(self, username, password)
,在里面记录爆破的username和password等。
def authCallback(self, username, password):
if username is not None and password is not None:
self._log("AUTH", "%s:%s" % (username, password))
这样,我们就实现记录爆破用户名密码的功能。
回到handler中,handler这时开始调用self.session_start()
,session_start函数很简单,使用subprocess通过busybox开启一个shell。并且使用PIPE的方式去交换数据,也就是执行命令。然后设置为NoneBlock。
def session_start(self):
self._log("SESSION_START")
self.process = subprocess.Popen(SHELL, shell=True, stdin=subprocess.PIPE, stdout=subprocess.PIPE, stderr=subprocess.STDOUT, preexec_fn=os.setsid)
flags = fcntl.fcntl(self.process.stdout, fcntl.F_GETFL)
fcntl.fcntl(self.process.stdout, fcntl.F_SETFL, flags | os.O_NONBLOCK)
设置好shell环境后,这时候就可以接收命令了。通过如下代码获取用户用过telnet输入的命令
line = self.input_reader(self, self.readline(prompt=self.PROMPT).strip())
raw = line.raw
cmd = line.cmd
params = line.params
在蜜罐中,我们主要是记录用户输入的命令内容,如果用户通过wget等下载一个文件,我们顺便把文件也记录下来。可以直接调用self._log("CMD", raw)
即可。针对于wget命令来讲,我们可以通过正则表达式匹配到wget后面网址参数,然后下载下来。代码如下
match = re.search(r"(?i)(wget|curl).+(http[^ >;\"']+)", raw)
if match:
url = match.group(2)
original = posixpath.split(urlparse.urlsplit(url).path)[-1]
filename = self._retrieve_url(url)
通过正则表达式匹配到下载文件参数后,调用_retrieve_url去下载这个文件,然后保存下来作为样本等待研究人员的后续分析。
所有的流程都结束后,我们需要运行用户输入的这个命令以便于更好的模拟真实的linux。所以我们可以通过如下代码运行
if RUN_ATTACKERS_COMMANDS:
self.process.stdin.write(raw.strip() + "\n")
else:
self.process.stdin.write("\n")
首先判断蜜罐的配置,是否去允许执行命令,如果允许,则执行raw的内容,如果不允许,相当于执行空命令。
执行完命令后,需要讲结果输出给用户,self.write(self._processRead())
。这里我们需要重载write函数去实现自己的逻辑。为了保险起见,运行结果中可能会有关于该蜜罐的信息。例如X86,Debian,Ubuntu等。我们需要讲这些信息替换成Iot设备的信息,例如Mipsel,Openwrt等。所以我们在write中实现如下代码
for key, value in REPLACEMENTS.items():
text = text.replace(key, value)
TelnetHandler.write(self, text)
Replacements主要是一些需要替换的信息
REPLACEMENTS["Ubuntu"] = "Debian"
FAKE_ARCHITECTURE = "arm7"
for arch in ("i386", "i686", "x86_64 x86_64 x86_64", "x86_64 x86_64", "x86_64", "amd64"):
REPLACEMENTS[arch] = FAKE_ARCHITECTURE
至此,一个简易的蜜罐就写完了。