Etat de l'art des systèmes "Honeypots"
Date : 08 Septembre 2009
En novembre 2008, le projet WOMBAT (Worlwide Observatory of Malicious Behaviors and Attack Threats) a publié une étude de l'état de l'art des techniques permettant de collecter et d'analyser des malwares. Ce document d'une soixantaine de pages constitue un référentiel incontournable pour toute personne souhaitant étudier ce domaine et nous nous proposons donc d'en donner un aperçu au travers de cet article.
Le document s'intéresse à plusieurs aspects complémentaires :
- Le Honeypot lui-même
- Les techniques de détection d'attaques
- Les techniques d'analyse des malwares capturés via le honeypot
- L'inventaire des initiatives existantes dans ces domaines
Les honeypots
Le chapitre 2.1 de l'étude WOMBAT décrit les différents types de honeypots :
- Les modèles à faible interaction (comme par exemple "Honeyd" ou "Labrea") qui se limitent à simuler au moyen d'un automate le fonctionnement des couches réseaux (pile IP).
- Les modèles à moyenne interaction (comme par exemple "Nepenthes") qui utilisent la couche réseau native de la machine hôte et se concentrent sur la simulation des services accessibles sur la machine Honeypot (par exemple WINS, HTTP, FTP)
- Les modèles à forte interaction (comme "Argos") qui utilisent la virtualisation (par exemple avec VMware ou Qemu) pour proposer à l'attaquant un environnement réel (et non plus simulé).
L'étude décrit ensuite d'autres initiatives comme les honeypots "client-side" (par exemple "Strider HoneyMonkey" ou "Honey client") qui simulent une application cliente (typiquement "Internet Explorer") ou les honeypots "wireless" (comme "HoneySpot") qui simulent un point d'accès WIFI.
Techniques de
détection
d'attaque
Le second élément important pour un système de Honeypot (dans le cas d'un système de moyenne ou de forte interaction) est d'être capable de détecter une attaque. L'état de l'art WOMBAT consacre donc un chapitre (§ 2.3) à décrire les techniques existantes dans ce domaine. Une analyse critique des mécanismes de détection des débordements mémoires est tout d'abord présentée, puis des techniques plus avancées comme le "data tainting" ou la détection par signature d'attaque (technique mise en œuvre dans des solutions telles que "Packet Vaccine" ou "Vigilante") sont décrites.
Techniques d'analyse
des malwares capturés
La dernière étape d'un système Honeypot est l'analyse des malwares capturés. Le chapitre 4 de l'étude WOMBAT couvre cet aspect.
Plutôt que de dé-assembler le code (ce qui est une technique souvent utilisée pour une analyse manuelle d'un malware) l'étude s'intéresse aux techniques qui pourraient permettre de classifier (c'est-à-dire de ranger dans des catégories) automatiquement un malware. Il s'agit aujourd'hui d'un domaine de recherche pour lesquelles il n'y a pas encore de solutions vraiment opérationnelles. Les pistes proposées sont d'analyser le comportement du malware en simulant son fonctionnement (une exécution simulée permet de déterminer les caractéristiques dynamiques du malware) ou en appliquant des méthodes formelles sur la structure du programme (comme l'analyse du graphe de contrôle, ou la réduction du code par équivalences, etc…)
Inventaire des
initiatives existantes
L'un des chapitres le plus volumineux de l'étude WOMBAT (le chapitre 3) dresse un inventaire de toutes les initiatives connues qui ont comme objectif d'aider à l'observation des phénomènes malveillants sur Internet. Il s'agit d'une compilation assez impressionnante (29 initiatives sont identifiées et analysées) qui couvre différentes approches :
- L'observation de l'activité générale sur Internet avec des sites tels que CAIDA ou ATLAS
- Le partage de logs comme par exemple DShield ou MyNetWatchman
- Les honeynets comme Leurré.com, Honeynets, etc…
- Les initiatives de collectes et de partage de malware telles que Mwcollect.
Conclusion
Cette étude de l'état de l'art faite par le projet WOMBAT donne un panorama très complet des initiatives du domaine. Il permet aux personnes abordant ce domaine de disposer dans un unique document l’essentiel de tous les éléments clés d’une infrastructure "Honeypots".
Pour
plus
d'information :
WOMBAT Deliverable D03/D2.2 Analysis of the state of the art : http://wombat-project.eu/2008/11/wombat-deliverable-d03d22-anal.html