Publiczne wydanie Capture-HPC z projektu HoneySpider Network

Data publikacji: 02/12/2011, pawelj


Projekt HoneySpider Network to system klienckich honeypotów, który powstał dzięki współpracy CERT Polska, GOVCERT.NL oraz SURFnet. Jednym z jego komponentów jest wysoko-interaktywny kliencki honeypot – Capture-HPC NG. Autorem oryginalnego oprogramowania jest Christian Seifert, a modyfikacje zostały wprowadzone przez Dział Rozwoju Oprogramowania z NASK. Capture-HPC NG z projektu HoneySpider Network to nowa wersja, która wprowadza szereg ulepszeń oraz pozwala na zastosowanie maszyny wirtualnej VirtualBox oraz KVM (oryginał opierał się na VMware). Oprogramowanie zostało ustabilizowane oraz udostępnione na licencji GPL 2.0.


Honeypot wysoko-interaktywny pozwala na symulację zachowania rzeczywistego oprogramowania, systemu operacyjnego oraz jego monitorowania w celu określenia, czy doszło do ataku na oprogramowanie oraz infekcji maszyny. Capture-HPC składa się z dwóch współpracujących ze sobą komponentów: klienta i serwera. Klient instalowany jest w systemie operacyjnym na maszynie wirtualnej i monitoruje zmiany, które złośliwe oprogramowanie przeprowadza w systemie: powoływane i uśmiercane procesy, zmiany w rejestrze systemowym oraz zmiany w systemie plików. Informacje o obserwacjach są na bieżąco przesyłane do oprogramowania serwera, gdzie są zapisywane jako logi z klasyfikacji adresów URL. W przypadku Capture-HPC oprogramowaniem, które jest poddawane testom, jest przeglądarka internetowa, a systemem operacyjnym – jeden z rodziny systemów Windows®.

Nowa wersja Capture-HPC została wzbogacona o szereg użytecznych funkcji, spośród których najważniejsze są wymienione poniżej:

    • znaczące zmiany w formacie generowanych logów (dodano nowe flagi informujące o stanie przetwarzanego URLa)
    • możliwość pracy z maszynami wirtualnymi VirtualBox oraz KVM (nowe skrypty przywracające maszyny wirtualne – wparcie tylko dla systemów Linux)
    • wsparcie dla konfiguracji opierającej się na pojedynczym obrazie maszyny wirtualnej (obraz dysku w trybie niemodyfikowalnym)
    • implementacja interfejsu zarządzającego w postaci gniazda sieciowego – umożliwia przeładowanie list wykluczeń bez potrzeby restartu oprogramowania
    • możliwość podawania adresów URL za pomocą listy w pliku tekstowym lub z wykorzystaniem interfejsu zarządzającego
    • możliwość nadawania adresom URL unikalnego ID
    • obsługa wielkich i małych liter w adresach URL
    • uproszczone pliki konfiguracyjne
    • obsługa uszkodzonych archiwów ZIP – naprawa w locie
    • naprawa wielu wykrytych błędów oraz stabilizacja oprogramowania

Na szczególną uwagę zasługuje zmieniony format logowania informacji o przetwarzanych adresach URL. Prawidłowo sklasyfikowany adres URL pojawia się w logach jako kilka kolejnych wpisów z informacją o statusie URLa w systemie (na przykładzie: QUEUED -> SENDING -> VISITING -> BENIGN). W przypadku, gdy adres jest już przetwarzany w logach pojawia się informacja o duplikacie i taki adres nie podlega klasyfikacji, oszczędzając tym samym zasoby systemowe. Wraz z informacją o stanie przetwarzania, w logach podawany jest także ID przetwarzanego URLa. Ułatwia to korelację wyników przetwarzania z Capture-HPC NG w przypadku, gdy jest on używany razem z innymi narzędziami.

Publiczne wydanie Capture-HPC NG nastąpiło w ramach powstania polskiej kapituły The Honeynet Project. Organizacja zrzesza ekspertów security z całego świata, dzięki którym powstają nowe narzędzia i metody walki z zagrożeniami we współczesnej sieci Internet. Zapraszamy do odwiedzenia strony Polish Chapter of the Honeynet Project, z której można pobrać kod źródłowy oraz binarne wydanie Capture-HPC NG.