持续3周的HW总算是结束了,HW行动中红蓝双方使出浑身解数,开展攻击与反攻击的终极大战。作为一名蓝方人员,不仅看到了传统防御技术在这次HW中的精彩表现,更感受到了主动防御技术在HW中发挥的巨大作用,在我看来最典型的莫过于蜜罐了,红方人员误入蜜罐,被蓝方人员捕捉到并进行身份画像,那我们就来聊聊蜜罐为何这么diao。

从被动防御到主动防御

一直以来,被动防御是通过面向已知特征的威胁,基于特征库精确匹配来发现可疑行为,将目标程序与特征库进行逐一比对,实现对异常行为进行监控和阻断,这些特征库是建立在已经发生的基础之上,这就很好的解释了为什么被动防御是一种“事后”的行为。典型的技术有防火墙、入侵检测等。但是对于未知的攻击如0day,依赖于特征库匹配的防御是无法有效应对的,为了应对这种攻防不对等的格局,主动防御技术出现了,典型的技术有网络空间拟态防御等。

引入主动防御策略

随着攻击技术的进一步提高,越来越多的方法可以绕过传统的被动防御技术来对目标系统发动攻击,传统的被动防御技术也引进了主动防御策略,如各大厂商推出的智能防火墙,思科的下一代防火墙、山石网科的智能防火墙,将人工智能技术引入防火墙来主动发现恶意行为。除此之外,也有新型的主动防御技术如沙箱、蜜罐等相继出现,进一步弥补了攻防不对称的局面。这类技术主要解决“已知的未知威胁”,例如,蜜罐通过构建伪装的业务主动引诱攻击者,从而捕获行为。在HW期间,就存在将蜜罐伪装成某服的VPN映射在外网引诱攻击者攻击,从而迷惑攻击者,通过捕获IP进行封堵来提高攻击者的时间成本,也可对攻击者进行溯源,但是蜜罐技术还是无法应对0day。

沙箱技术

沙箱技术源于软件错误隔离技术(software-based fault isolation,SFI)。SFI主要思想是隔离。沙箱通过采用虚拟化等技术构造一个隔离的运行环境,并且为其中运行的程序提供基本的计算资源抽象,通过对目标程序进行检测分析,准确发现程序中的恶意代码等,进而达到保护宿主机的目的。如默安的架构采用kvm,长亭采用的是docker。

由于沙箱具有隔离性,恶意程序不会影响到沙箱隔离外的系统,而且沙箱还具有检测分析的功能,来分析程序是否为恶意程序。但是还存在隐患,沙箱只监控常见的操作系统应用接口程序,使得一些恶意代码能够轻松绕过从而攻击宿主外的环境。

基于虚拟机的沙箱为不可信资源提供了虚拟化的运行环境,保证原功能的同时提供了相应的安全防护,对宿主机不会造成影响。基于虚拟机的沙箱采用虚拟化和恶意行为检测两种技术,恶意行为检测技术方法采用了特征码检测法和行为检测法来进行检测,特征码检测对检测0day无能为力,行为检测可以检测0day,但误报率高。

蜜罐技术

蜜罐技术起源于20世纪90年代,它通过部署一套模拟真实的网络系统来引诱攻击者攻击,进而在预设的环境中对入侵行为进行检测、分析,还原攻击者的攻击途径、方法、过程等,并将获取的信息用于保护真实的系统。广泛应用于恶意代码检测与样本捕获、入侵检测与攻击特征提取、网络攻击取证、僵尸网络追踪等。

蜜罐之所以称为蜜罐,是因为设计之初就是为了攻击者量身定做包含大量漏洞的系统,是用于诱捕攻击者的一个陷阱,本质上一种对攻击者的一种欺骗技术,只有蜜罐在处于不断被扫描、攻击甚至被攻破的时候,才能体现蜜罐的价值。蜜罐实际不包含任何敏感数据。可以这么说,能够访问蜜罐的,都是可疑行为,都可以确认为黑客,从而采取下一步动作。

通过以上的分析,推出蜜罐具有三种能力:

伪装,通过模拟各种含有漏洞的应用系统来引诱攻击者入侵以减少对实际系统的威胁。

数据诱捕,攻击者如果攻入蜜罐,那么可以通过蜜罐日志记录来还原攻击者从进入到离开蜜罐期内的所有活动过程及其他信息。

威胁数据分析,对攻击者的数据进行分析,还原攻击者的攻击手法,并对此进行溯源等。

但同时,蜜罐也具有局限性,他只有攻击者攻击时才能发挥它自身的作用,

如果攻击者没有触发蜜罐,那么蜜罐将毫无意义,所以现在我们更要关注如何让攻击者能有效的触碰到蜜罐,然后利用相关技术对此展开溯源。同样,如果攻击者识别了该蜜罐,并且成功进入,利用相关逃逸0day对蜜罐展开攻击(蜜罐记录不到),那么蜜罐将会被当成跳板机对其他真实业务展开攻击,危害巨大。

蜜罐分类

蜜罐可以分为三类,低交互式蜜罐,中交互式蜜罐,高交互式蜜罐。

低交互式蜜罐:通常是指与操作系统交互程度较低的蜜罐系统,仅开放一些简单的服务或端口,用来检测扫描和连接,这种容易被识别。

中交互式蜜罐:介于低交互式和高交互式之间,能够模拟操作系统更多的服务,让攻击者看起来更像一个真实的业务,从而对它发动攻击,这样蜜罐就能获取到更多有价值的信息。

高交互式:指的是与操作系统交互很高的蜜罐,它会提供一个更真实的环境,这样更容易吸引入侵者,有利于掌握新的攻击手法和类型,但同样也会存在隐患,会对真实网络造成攻击。

在这次HW中,相当大一部分蜜罐都部署在内网当中,部署在外网的蜜罐只有极少数,部署在外网的蜜罐可以检测到的东西就多了,尤其绑定域名后,把攻击者迷惑的分不清东西南北。某厂商的蜜罐可以说在HW中大放光彩,只要攻击者对该蜜罐进行访问,在很大程度上就能够获取你的社交账号ID,然后根据指纹信息还原攻击者身份画像,这点我相信很多红方没有料到,从而被社工的很惨。至于用了什么技术我就不写了,怕见不到第二天的太阳。

蜜罐不仅能检测攻击者的攻击手法,也能够检测到僵尸网络,比如说这次HW中,有很多肉鸡利用weblogic的漏洞自动对外网发起攻击,然后植入木马病毒等。公网蜜罐可以很好的检测这种行为,进而进行信息收集或追踪。

(追踪到的某僵尸网络主机)

对于蜜罐相关技术感兴趣的,友情推荐三款开源蜜罐工具:

首推来自团队成员pirogue的opencanary,支持16种协议,24种攻击特征识别:

蜜罐正式开源-简单易用-支持16种协议

honeyd:http://www.honeyd.org

https://github.com/desaster/kippo

文末感谢pirogue、12306小哥的知识见解,才能编写出这么一篇来之不易的文章。

声明:本文来自安全祖师爷,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。