持續3周的HW總算是結束了,HW行動中紅藍雙方使出渾身解數,開展攻擊與反攻擊的終極大戰。作為一名藍方人員,不僅看到了傳統防禦技術在這次HW中的精彩表現,更感受到了主動防禦技術在HW中發揮的巨大作用,在我看來最典型的莫過於蜜罐了,紅方人員誤入蜜罐,被藍方人員捕捉到並進行身份畫像,那我們就來聊聊蜜罐為何這麼diao。

從被動防禦到主動防禦

一直以來,被動防禦是通過面向已知特徵的威脅,基於特徵庫精確匹配來發現可疑行為,將目標程序與特徵庫進行逐一比對,實現對異常行為進行監控和阻斷,這些特徵庫是建立在已經發生的基礎之上,這就很好的解釋了為什麼被動防禦是一種「事後」的行為。典型的技術有防火牆、入侵檢測等。但是對於未知的攻擊如0day,依賴於特徵庫匹配的防禦是無法有效應對的,為了應對這種攻防不對等的格局,主動防禦技術出現了,典型的技術有網路空間擬態防禦等。

引入主動防禦策略

隨著攻擊技術的進一步提高,越來越多的方法可以繞過傳統的被動防禦技術來對目標系統發動攻擊,傳統的被動防禦技術也引進了主動防禦策略,如各大廠商推出的智能防火牆,思科的下一代防火牆、山石網科的智能防火牆,將人工智慧技術引入防火牆來主動發現惡意行為。除此之外,也有新型的主動防禦技術如沙箱、蜜罐等相繼出現,進一步彌補了攻防不對稱的局面。這類技術主要解決「已知的未知威脅」,例如,蜜罐通過構建偽裝的業務主動引誘攻擊者,從而捕獲行為。在HW期間,就存在將蜜罐偽裝成某服的VPN映射在外網引誘攻擊者攻擊,從而迷惑攻擊者,通過捕獲IP進行封堵來提高攻擊者的時間成本,也可對攻擊者進行溯源,但是蜜罐技術還是無法應對0day。

沙箱技術

沙箱技術源於軟體錯誤隔離技術(software-based fault isolation,SFI)。SFI主要思想是隔離。沙箱通過採用虛擬化等技術構造一個隔離的運行環境,並且為其中運行的程序提供基本的計算資源抽象,通過對目標程序進行檢測分析,準確發現程序中的惡意代碼等,進而達到保護宿主機的目的。如默安的架構採用kvm,長亭採用的是docker。

由於沙箱具有隔離性,惡意程序不會影響到沙箱隔離外的系統,而且沙箱還具有檢測分析的功能,來分析程序是否為惡意程序。但是還存在隱患,沙箱只監控常見的操作系統應用介面程序,使得一些惡意代碼能夠輕鬆繞過從而攻擊宿主外的環境。

基於虛擬機的沙箱為不可信資源提供了虛擬化的運行環境,保證原功能的同時提供了相應的安全防護,對宿主機不會造成影響。基於虛擬機的沙箱採用虛擬化和惡意行為檢測兩種技術,惡意行為檢測技術方法採用了特徵碼檢測法和行為檢測法來進行檢測,特徵碼檢測對檢測0day無能為力,行為檢測可以檢測0day,但誤報率高。

蜜罐技術

蜜罐技術起源於20世紀90年代,它通過部署一套模擬真實的網路系統來引誘攻擊者攻擊,進而在預設的環境中對入侵行為進行檢測、分析,還原攻擊者的攻擊途徑、方法、過程等,並將獲取的信息用於保護真實的系統。廣泛應用於惡意代碼檢測與樣本捕獲、入侵檢測與攻擊特徵提取、網路攻擊取證、殭屍網路追蹤等。

蜜罐之所以稱為蜜罐,是因為設計之初就是為了攻擊者量身定做包含大量漏洞的系統,是用於誘捕攻擊者的一個陷阱,本質上一種對攻擊者的一種欺騙技術,只有蜜罐在處於不斷被掃描、攻擊甚至被攻破的時候,才能體現蜜罐的價值。蜜罐實際不包含任何敏感數據。可以這麼說,能夠訪問蜜罐的,都是可疑行為,都可以確認為黑客,從而採取下一步動作。

通過以上的分析,推出蜜罐具有三種能力:

偽裝,通過模擬各種含有漏洞的應用系統來引誘攻擊者入侵以減少對實際系統的威脅。

數據誘捕,攻擊者如果攻入蜜罐,那麼可以通過蜜罐日誌記錄來還原攻擊者從進入到離開蜜罐期內的所有活動過程及其他信息。

威脅數據分析,對攻擊者的數據進行分析,還原攻擊者的攻擊手法,並對此進行溯源等。

但同時,蜜罐也具有侷限性,他只有攻擊者攻擊時才能發揮它自身的作用,

如果攻擊者沒有觸發蜜罐,那麼蜜罐將毫無意義,所以現在我們更要關注如何讓攻擊者能有效的觸碰到蜜罐,然後利用相關技術對此展開溯源。同樣,如果攻擊者識別了該蜜罐,並且成功進入,利用相關逃逸0day對蜜罐展開攻擊(蜜罐記錄不到),那麼蜜罐將會被當成跳板機對其他真實業務展開攻擊,危害巨大。

蜜罐分類

蜜罐可以分為三類,低互動式蜜罐,中互動式蜜罐,高互動式蜜罐。

低互動式蜜罐:通常是指與操作系統交互程度較低的蜜罐系統,僅開放一些簡單的服務或埠,用來檢測掃描和連接,這種容易被識別。

中互動式蜜罐:介於低互動式和高互動式之間,能夠模擬操作系統更多的服務,讓攻擊者看起來更像一個真實的業務,從而對它發動攻擊,這樣蜜罐就能獲取到更多有價值的信息。

高互動式:指的是與操作系統交互很高的蜜罐,它會提供一個更真實的環境,這樣更容易吸引入侵者,有利於掌握新的攻擊手法和類型,但同樣也會存在隱患,會對真實網路造成攻擊。

在這次HW中,相當大一部分蜜罐都部署在內網當中,部署在外網的蜜罐只有極少數,部署在外網的蜜罐可以檢測到的東西就多了,尤其綁定域名後,把攻擊者迷惑的分不清東西南北。某廠商的蜜罐可以說在HW中大放光彩,只要攻擊者對該蜜罐進行訪問,在很大程度上就能夠獲取你的社交賬號ID,然後根據指紋信息還原攻擊者身份畫像,這點我相信很多紅方沒有料到,從而被社工的很慘。至於用了什麼技術我就不寫了,怕見不到第二天的太陽。

蜜罐不僅能檢測攻擊者的攻擊手法,也能夠檢測到殭屍網路,比如說這次HW中,有很多肉雞利用weblogic的漏洞自動對外網發起攻擊,然後植入木馬病毒等。公網蜜罐可以很好的檢測這種行為,進而進行信息收集或追蹤。

(追蹤到的某殭屍網路主機)

對於蜜罐相關技術感興趣的,友情推薦三款開源蜜罐工具:

首推來自團隊成員pirogue的opencanary,支持16種協議,24種攻擊特徵識別:

pirogue,公眾號:pirogue蜜罐正式開源-簡單易用-支持16種協議

honeyd:honeyd.org

github.com/desaster/kip

文末感謝pirogue、12306小哥的知識見解,才能編寫出這麼一篇來之不易的文章。


推薦閱讀:
相關文章