Co to jest exploit zero-day?

Zero-Day Exploit to nagroda koronna hakerów. Wykorzystanie zerowego dnia jest miejscem, w którym napastnik znajduje wrażliwość na system, którego sprzedawca i opinia publiczna nie jest świadoma. Nie ma łatki i systemu, który mógłby się przed nią chronić, oprócz usuwania tej usługi systemu. Nazywa się to Zero-Day, ponieważ programiści są zero dni, aby zatrzymać wadę i nikt nie wie o tym exploicie, że jest to bardzo niebezpieczne.

W celu opracowania zero-dni istnieją dwie opcje albo rozwijasz własne lub przechwytują zero-day opracowane przez innych. Rozwijanie zero-dni może być monotonnym i długim procesem. Wymaga wielkiej wiedzy. Może to zająć dużo czasu. Z drugiej strony, zero-day może zostać uchwycony przez innych i można go ponownie wykorzystać. Wielu hakerów używa tego podejścia. W tym programie założyliśmy honeypot, który wydaje się być niebezpieczny. Następnie czekamy, aż atakujący się przyciągną, a następnie ich złośliwe oprogramowanie zostaje schwytane, gdy włamali się do naszego systemu. Haker może ponownie użyć złośliwego oprogramowania w dowolnym innym systemie, więc podstawowym celem jest najpierw uchwycenie złośliwego oprogramowania.

Dionaa:

Markus Koetter był tym, który rozwinął Dionaa. Dionaa jest głównie nazwana na cześć rośliny mięsożernej Wenus Flytrap. Przede wszystkim jest to niski honeypot interakcji. Dionaa obejmuje usługi atakowane przez atakujących, na przykład HTTP, SMB itp., i naśladuje niezabezpieczony system okien. Dionaea używa libemu do wykrywania kodu skorupowego i może nas czujność na temat kodu skorupowego, a następnie go przechwycić. Wysyła jednoczesne powiadomienia o ataku za pośrednictwem XMPP, a następnie rejestruje informacje w bazie danych SQ Lite.

Libemu:

Libemu to biblioteka używana do wykrywania kodu powłokowego i emulacji x86. Libemu może rysować złośliwe oprogramowanie w dokumentach takich jak RTF, PDF itp. Możemy to użyć do wrogiego zachowania, używając heurystyki. Jest to zaawansowana forma honeypota, a początkujący nie powinni go próbować. Dionaea jest niebezpieczna, jeśli zostanie naruszony przez hakera, twój cały system zostanie naruszony i do tego celu należy użyć instalacji Lean, preferowany jest system Debian i Ubuntu.

Polecam nie używać go w systemie, który będzie używany do innych celów, ponieważ biblioteki i kody zostaną zainstalowane przez nas, które mogą uszkodzić inne części systemu. Z drugiej strony Dionaa jest niebezpieczna, jeśli zostanie zagrożony. W tym celu należy użyć instalacji Lean; Preferowane są systemy Debian i Ubuntu.

Instaluj zależności:

Dionaa to oprogramowanie złożone i wymaga wielu zależności, które nie są instalowane w innych systemach, takich jak Ubuntu i Debian. Będziemy więc musieli zainstalować zależności przed zainstalowaniem Dionaea, i może to być matowe zadanie.

Na przykład musimy pobrać następujące pakiety, aby rozpocząć.

$ sudo apt-get instaluj libudns-dev libglib2.0-dev libssl-dev libcurl4-openssl-dev
libreadline-dev libsqlite3-dev python-dev libtool libtool automake autoconf
Zbudowanie subwersji git-core flex pkg-config libnl-3-dev
libnl-genl-3-dev libnl-nf-3-dev libnl-route-3-dev sqlite3

Skrypt Andrew Michaela Smitha można pobrać z Github za pomocą wget.

Po pobraniu tego skryptu zainstaluje aplikacje (SQLite) i zależności, pobierze i skonfigurować Dionaea, a następnie.

$ wget -q https: // raw.github.com/andremichaelsmith/honeypot-setup-script/
Master/Setup.bash -o /tmp /konfiguracja.bash && bash /tmp /konfiguracja.grzmotnąć

Wybierz interfejs:

Dionaea się skonfiguruje i poprosi Cię o wybranie interfejsu sieciowego, na którym Honeypot słuchał po pobraniu zależności i aplikacji.

Konfigurowanie Dionaa:

Teraz Honeypot jest gotowy i działa. W przyszłych samouczkach pokażę ci, jak zidentyfikować elementy atakujących, jak skonfigurować Dionaea w prawdziwych czasach ataku, aby cię ostrzec,

I jak spojrzeć i uchwycić kod skorupy ataku. Przetestujemy nasze narzędzia do ataku i metasploit, aby sprawdzić, czy możemy przechwycić złośliwe oprogramowanie przed umieszczeniem go na żywo online.

Otwórz plik konfiguracyjny Dionaea:

Otwórz plik konfiguracyjny Dionaea na tym etapie.

$ cd /etc /dionaea

VIM lub dowolny edytor tekstu inny niż to może działać. W tym przypadku używany jest Leafpad.

$ sudo leafpad dionaea.conf

Skonfiguruj rejestrowanie:

W kilku przypadkach widać wiele gigabajtów pliku dziennika. Należy skonfigurować priorytety błędu dziennika i w tym celu przewiń w dół sekcja rejestrowania pliku.

Sekcja interfejsu i IP:

W tym etapie przewiń w dół do interfejsu i posłuchaj części pliku konfiguracyjnego. Chcemy mieć interfejs, który ma być ustawiony na ręczne. W rezultacie Dionaa uchwyci interfejs własnego wyboru.

Moduły:

Teraz następnym krokiem jest ustawienie modułów dla wydajnego funkcjonowania Dionaea. Będziemy używać P0F do odcisków palców w systemie operacyjnym. Pomoże to przesyłać dane do bazy danych SQLITE.

Usługi:

Dionaea jest skonfigurowana do uruchomienia HTTPS, HTTP, FTP, TFTP, SMB, EPMAP, SIP, MSSQL i MySQL

Wyłącz HTTP i HTTPS, ponieważ hakerzy nie zostaną przez nich oszukani i nie są wrażliwi. Opuść innych, ponieważ są niebezpiecznymi usługami i mogą być łatwo atakowane przez hakerów.

Rozpocznij Dionaa, aby przetestować:

Musimy uruchomić Dionaea, aby znaleźć naszą nową konfigurację. Możemy to zrobić, wpisując:

$ sudo dionaea -u nikt -g nogroup -w/opt/dionaea -p/opt/dionaea/run/dionaea.pid

Teraz możemy analizować i przechwytywać złośliwe oprogramowanie z pomocą Dionaea, ponieważ działa ona skutecznie.

Wniosek:

Korzystając z exploit zero-day, hakowanie może stać się łatwe. Jest to podatność na oprogramowanie komputerowe i świetny sposób na przyciągnięcie atakujących, a każdy może się w nie zwabić. Możesz łatwo wykorzystać programy i dane komputerowe. Mam nadzieję, że ten artykuł pomoże Ci dowiedzieć się więcej o zerowym exploit.