HW之蜜罐总结

释放双眼,带上耳机,听听看~!

持续3周的HW总算是结束了,HW行动中红蓝双方使出浑身解数,开展攻击与反攻击的终极大战。作为一名蓝方人员,不仅看到了传统防御技术在这次HW中的精彩表现,更感受到了主动防御技术在HW中发挥的巨大作用,在我看来最典型的莫过于蜜罐了,红方人员误入蜜罐,被蓝方人员捕捉到并进行身份画像,那我们就来聊聊蜜罐为何这么diao。

从被动防御到主动防御

一直以来,被动防御是通过面向已知特征的威胁,基于特征库精确匹配来发现可疑行为,将目标程序与特征库进行逐一比对,实现对异常行为进行监控和阻断,这些特征库是建立在已经发生的基础之上,这就很好的解释了为什么被动防御是一种“事后”的行为。典型的技术有防火墙、入侵检测等。但是对于未知的攻击如0day,依赖于特征库匹配的防御是无法有效应对的,为了应对这种攻防不对等的格局,主动防御技术出现了,典型的技术有网络空间拟态防御等。

引入主动防御策略

随着攻击技术的进一步提高,越来越多的方法可以绕过传统的被动防御技术来对目标系统发动攻击,传统的被动防御技术也引进了主动防御策略,如各大厂商推出的智能防火墙,思科的下一代防火墙、山石网科的智能防火墙,将人工智能技术引入防火墙来主动发现恶意行为。除此之外,也有新型的主动防御技术如沙箱、蜜罐等相继出现,进一步弥补了攻防不对称的局面。这类技术主要解决“已知的未知威胁”,例如,蜜罐通过构建伪装的业务主动引诱攻击者,从而捕获行为。在HW期间,就存在将蜜罐伪装成某服的VPN映射在外网引诱攻击者攻击,从而迷惑攻击者,通过捕获IP进行封堵来提高攻击者的时间成本,也可对攻击者进行溯源,但是蜜罐技术还是无法应对0day。

沙箱技术

 沙箱技术源于软件错误隔离技术(software-based fault isolation,SFI)。SFI主要思想是隔离。沙箱通过采用虚拟化等技术构造一个隔离的运行环境,并且为其中运行的程序提供基本的计算资源抽象,通过对目标程序进行检测分析,准确发现程序中的恶意代码等,进而达到保护宿主机的目的。如默安的架构采用kvm,长亭采用的是docker。


由于沙箱具有隔离性,恶意程序不会影响到沙箱隔离外的系统,而且沙箱还具有检测分析的功能,来分析程序是否为恶意程序。但是还存在隐患,沙箱只监控常见的操作系统应用接口程序,使得一些恶意代码能够轻松绕过从而攻击宿主外的环境。


基于虚拟机的沙箱为不可信资源提供了虚拟化的运行环境,保证原功能的同时提供了相应的安全防护,对宿主机不会造成影响。基于虚拟机的沙箱采用虚拟化和恶意行为检测两种技术,恶意行为检测技术方法采用了特征码检测法和行为检测法来进行检测,特征码检测对检测0day无能为力,行为检测可以检测0day,但误报率高。      

                     

蜜罐技术

蜜罐技术起源于20世纪90年代,它通过部署一套模拟真实的网络系统来引诱攻击者攻击,进而在预设的环境中对入侵行为进行检测、分析,还原攻击者的攻击途径、方法、过程等,并将获取的信息用于保护真实的系统。广泛应用于恶意代码检测与样本捕获、入侵检测与攻击特征提取、网络攻击取证、僵尸网络追踪等。


蜜罐之所以称为蜜罐,是因为设计之初就是为了攻击者量身定做包含大量漏洞的系统,是用于诱捕攻击者的一个陷阱,本质上一种对攻击者的一种欺骗技术,只有蜜罐在处于不断被扫描、攻击甚至被攻破的时候,才能体现蜜罐的价值。蜜罐实际不包含任何敏感数据。可以这么说,能够访问蜜罐的,都是可疑行为,都可以确认为黑客,从而采取下一步动作。


通过以上的分析,推出蜜罐具有三种能力:

伪装,通过模拟各种含有漏洞的应用系统来引诱攻击者入侵以减少对实际系统的威胁。

数据诱捕,攻击者如果攻入蜜罐,那么可以通过蜜罐日志记录来还原攻击者从进入到离开蜜罐期内的所有活动过程及其他信息。

威胁数据分析,对攻击者的数据进行分析,还原攻击者的攻击手法,并对此进行溯源等。

但同时,蜜罐也具有局限性,他只有攻击者攻击时才能发挥它自身的作用,

如果攻击者没有触发蜜罐,那么蜜罐将毫无意义,所以现在我们更要关注如何让攻击者能有效的触碰到蜜罐,然后利用相关技术对此展开溯源。同样,如果攻击者识别了该蜜罐,并且成功进入,利用相关逃逸0day对蜜罐展开攻击(蜜罐记录不到),那么蜜罐将会被当成跳板机对其他真实业务展开攻击,危害巨大。

蜜罐分类

蜜罐可以分为三类,低交互式蜜罐,中交互式蜜罐,高交互式蜜罐。

低交互式蜜罐:通常是指与操作系统交互程度较低的蜜罐系统,仅开放一些简单的服务或端口,用来检测扫描和连接,这种容易被识别。

中交互式蜜罐:介于低交互式和高交互式之间,能够模拟操作系统更多的服务,让攻击者看起来更像一个真实的业务,从而对它发动攻击,这样蜜罐就能获取到更多有价值的信息。

高交互式:指的是与操作系统交互很高的蜜罐,它会提供一个更真实的环境,这样更容易吸引入侵者,有利于掌握新的攻击手法和类型,但同样也会存在隐患,会对真实网络造成攻击。

 

在这次HW中,相当大一部分蜜罐都部署在内网当中,部署在外网的蜜罐只有极少数,部署在外网的蜜罐可以检测到的东西就多了,尤其绑定域名后,把攻击者迷惑的分不清东西南北。某厂商的蜜罐可以说在HW中大放光彩,只要攻击者对该蜜罐进行访问,在很大程度上就能够获取你的社交账号ID,然后根据指纹信息还原攻击者身份画像,这点我相信很多红方没有料到,从而被社工的很惨。至于用了什么技术我就不写了,怕见不到第二天的太阳。 


蜜罐不仅能检测攻击者的攻击手法,也能够检测到僵尸网络,比如说这次HW中,有很多肉鸡利用weblogic的漏洞自动对外网发起攻击,然后植入木马病毒等。公网蜜罐可以很好的检测这种行为,进而进行信息收集或追踪。

(追踪到的某僵尸网络主机)

对于蜜罐相关技术感兴趣的,友情推荐三款开源蜜罐工具:

首推来自团队成员pirogue的opencanary,支持16种协议,24种攻击特征识别:

pirogue,公众号:pirogue蜜罐正式开源-简单易用-支持16种协议

honeyd:http://www.honeyd.org

https://github.com/desaster/kippo

文末感谢pirogue、12306小哥的知识见解,才能编写出这么一篇来之不易的文章。

__________________________________________________________

我们建立了一个以知识共享为主的 免费 知识星球,旨在通过相互交流,促进资源分享和信息安全建设,为以此为生的工作者、即将步入此行业的学生等提供绵薄之力。为保持知识星球长久发展,所有成员需遵守本星球免费规则,鼓励打赏;同时保持每月分享至少一次资源(安全类型资源不限,但不能存在一切违法违规及损害他人利益行为),避免“伸手党”,即使新人我们也鼓励通过分享心得和笔记取得进步,“僵尸粉”将每月定期清理。

想加入我们的微信群,目前聚集了来自全球信息安全公司的CEO,安全部门主管,技术总监,信安创业者,网络安全专家,安全实验室负责人,公司HR,在这里你将获得高质量的技术交流空间,更多的内推高薪信息安全岗位,更多与安全大咖们面对面交流的机会。可以扫码添加我的微信,需提供真实有效的公司名称+姓名,验证通过后可加入···


人已赞赏
安全工具

有人说安全圈好进吗?我给你讲个故事

2019-10-11 17:02:59

安全工具

满满的干货第四期!神级JAVA学习和面试资料免费分享!

2019-10-11 17:03:08

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索