공격 파악

허니팟이 가동되고, 당신의 목표는 공격의 증거를 충분히 수집하도록 장시간 이를 동작시키는 것이지만, 다른 공격에 사용되도록 위험에 빠뜨리는 것은 아니다. 허니팟을 공격하기 위한 시간의 양은 그의 장소, 인지 값, 그리고 가상 세션의 보안 레벨에 따라 다르다. DMZ 허니팟의 경우, 필자는 자동화 시도(예를 들어 웜)가 시스템 시작후 1분이내, 지능화 시도는 몇일 이내 시작됨을 발견하였다.

허니팟이 실제상황에 있는 동안, 필자는 가상 세션과 호스트에 대해 모두 주의깊게 살펴 보았다. 일반적으로 체크리스트에 따라 일하였으며, 무결성과 일관성을 확인하기 위해 매일 또는 2일마다 이를 확인하였다. 가능성있는 공격애 대한 징후 확인을 위해 호스트에서 IDS 경고의 목록을 통해 작업을 시작하였다. IDS는 초기 경고를 제공하는 많은 작업을 할 것이지만, IDS가 상당수 잘못 인지할 수 있기 때문에, 당신은 공격을 발견하기 위한 유일한 메커니즘으로 의존하지는 않아야 한다. 그러나 일반적으로, IDS는 대부분 일반적인 공격은 잡아낼 것이고, 특정 공격을 조사하는 좋은 시작 지점을 제공할 것이다.

이후, 필자는 가능성있는 공격을 파악하기 위해 호스트가 실행하는 네트워크 모니터에서 패킷 추적을 살펴본다. 필자는 일반적으로 특정 가상 세션에서 나간 트래픽만 보여주도록 패킷을 필터링하곤 한다. 아웃바운드 트래픽내에 나타내는 개개별 의심가는 세션을 살펴보기 위한 출발점으로써 이러한 패킷을 사용한다.

다음 순서는 호스트에서 허니팟 자체로 이동한다. 가상 머신으로의 장소 이동에서, 당신은 증거를 손상시키지 않도록 주의해야 한다. 필자는 일반적으로 이벤트 로그(특히 보안 로그), 활성화 포트, 그리고 허니팟이 실행하는 다른 응용 프로그램의 로그를 살펴본다. 필자는 허니팟 그 자체에서의 시간을 최소화하려고 하지만, 잠깐의 리뷰는 필자에게 손상된 시스템을 발견하기 위한 안전한 마지막 그물을 준다.

증거 수집

만약 당신의 허니팟이 보안상 공격을 받았다면, 시스템의 과학적 분석을 할 시간이 된 것이다. 바로 호스트 시스템을 끄지 않는다. 당신의 수집 순서가 증거를 보안 위협하지 않았거나, 다른 시스템이 위험에 빠뜨리지 않았다는 것을 확인할 필요가 있다. 만약 당신이 허니팟에서 수집한 증거를 법정에서 사용할 것이라면, 당신은 당신의 대응과 수집 순서에 관련된 법적 이슈에 대해 잘 알아야 한다(불행하게도 이러한 법적인 이슈에 대한 토론은 이 기사 영역 밖이다).

허니팟의 법적인 분석 프로세스는 3가지 기본 순서를 가진다. 손실되는 증거의 수집, 시스템의 백업, 남아있고, 손실되지 않는 증거의 수집과 분석이다. 이러한 순서를 통하여, 모든 당신의 작업과 결과가 문서화된다. 이러한 문서화는 차후 허니팟의 특정 실행상태로 빠르게 되돌아 갈 수 있게 하고, 일정 시간동안 순서에 대한 작업과 수집을 개선하도록 해 줄 것이다.

손실되는 증거란 허니팟이 동작하는 동안에만 수집할 수 있는 증거이다. 시스템이 꺼질 경우, 수정될 수 있는, 메모리 덤프에서부터 원격 호스트로의 네트워크 연결 등 모든 것을 포함하기 때문이다. 당신은 손실되는 증거를 수집하기 위한 책임이 증거에 대한 수집이 증거를 손상하였다는 현실성보다 불리하게 작용해야만 한다. 물리적 시스템의 기존 허니팟과는 달리, 가상 허니팟은 세션을 끄고, 상태를 저장하고, 차후 해당 상태로 돌아오는 옵션을 제공한다. 그 결과 필자는, 필요한 거의 모든 증거가 백업 세션(비록 특별한 경우, 그의 실행에 대한 더 많은 이해를 위해 필요한 실행 프로세스에 디버거를 붙이곤 한다.)으로부터 복구할 수 있기 때문에, 시스템이 공격받은 후, 가상 세션에서 증거를 좀처럼 바로 수집하지 않는다.

다음 단계는 증거 보존을 위해 가상 시스템을 백업하는 것이다. 이를 하기 위해, Action 메뉴내 Close를 선택하고, Save State를 선택하여 가상 세션을 닫는다. Saving State는 세션을 닫고, 두개의 파일을 업데이트한다. 하나는 현재 하드 디스크의 내용을 가지는 것과 다른 하나는 현재의 시스템 상태를 가지는 것이다.(가상 세션의 메모리 내용 포함) 상태 파일의 크기는 가상 시스템에서 상요하는 메모리의 양에 따라 다양하나, 일반적으로 50MB ~ 80MB정도이다. 세션이 닫힌 후, 세션에 대한 파일의 사본을 만든다. 가장 좋은 방법은 읽기-전용 미디어를 만드는 것이다. 당신은 또한 호스트에서 동작하는 모든 증거 수집기(예를 들어, IDS와 네트워크 모니터)에서 증거를 저장하고 중지하길 원할 수 있다.

이제 실제 작업을 시작한다. 어떻게 시스템이 공격받았는지 증거를 찾고, 운이 좋다면, 누가 했는지도 찾을 수 있다. 이를 하기 위해서는 세션을 다시 시작하여야 한다. 허니팟은 가상 시스템에 있기 때문에, 세션의 시작은 끄기전 정확한 시스템 실행 상태로 되돌려 준다. 이 시점에서, 증거를 찾기 위해, 시스템의 내부마다 주의깊은 조사를 해야한다. 이 작업은 시간이 매우 오래걸리며, 업무량이 많을 수 있다. 그래서, 당신은 이를 스크립트와 유틸리티를 사용하여 거의 대부분을 자동화할 필요가 있다. 필자의 Snapshot 유틸리티는 이경우 특히 편리하다. 필자는 공격받은 시스템의 스냅샷을 찍고, 가상 세션에서 호스트로 이동하여, 처음에 시스템이 온라인되기 전에 찍은 스냅샷과 비교한다. 유틸리티는 파일, 레지스트리 엔트리, 특정 프로세스에서 불러들인 모듈까지도 정확히 발견한다. Snapshot을 사용하여, 범죄 현상 여기저기서 필자의 방향을 쫒고, 그 방향내 증거를 수집하고, 공격의 포괄적 상황을 알 수 있다.

공격받은 가상 세션에서 증거를 모으기 위한 옵션은 일반 시스템에서와 동일하다. 한가지 추가할 사항으로, 당신은 가상 세션과 호스트간 좀더 타이트한 연동을 제공하기 위해, Virtual PC Addtions을 가상 세션내에 설치할 수 있다. 소프트웨어의 기능은 폴더 공유, 클립보드 공유, 시간 동기화와 호스트와 게스트간 드래그앤 드랍 지원등을 포함한다. Virtual PC Addtions의 단점은 시스템이 가상이라는 사실을 드러내주지만, 시스템이 공격받은 후에 소프트웨어를 설치한다면, 이러한 단점은 적은 고려 대상이다.

기술적인 면 뒤로..

만약 당신이 허니팟을 설치하고 운영할 계획이라면 이 주제와 관련된 법적, 도덕적, 기술적 이슈에 대해 잘 알아야 한다. 허니팟은 보안 커뮤니티에서 관심 높은 주제이므로, 당신은 이에 대해 많은 정보를 찾을 수 있다. 허니팟의 운영을 허가하기 전에, 당신은 명확하고 잘 정의된 목적을 가지고 있어야 하며, 허니팟으로 할 수 있는 부분에 대해 이해할 시간을 투자해야 할 것이다.

Virtual PC. 비록 허니팟으로 사용하기에 그리 잘 디자이닝된 것은 아니지만, 적절한 가격에 유연한 기능들을 제공한다. 필자는 당신의 첫번째 허니팟을 운영하기 위해 이를 강력 추천하는 바이다.