![甲方蜜网建设和溯源思路概述|证券行业专刊·安全村]( "甲方蜜网建设和溯源思路概述|证券行业专刊·安全村")
1989年蜜罐概念首次被提出,后又发展成蜜网技术。蜜网相比于传统入侵检测,属于主动防御手段。它能一定程度上混淆攻击目标,延缓攻击者的入侵节奏,记录和分析攻击行为为溯源工作提供基础支持。蜜网最初只是被专业安全公司部署在互联网上捕获蠕虫病毒和未知0day用于网络威胁研究。随着近年来安全行业的发展和攻防对抗演练的普及,蜜网也逐渐被应用于企业内网的威胁感知和攻击溯源。本文将结合实际项目经验,简要介绍甲方蜜网构建和攻击溯源思路。
对于甲方来说,理想的蜜网应能实现“信息搜集假资产,横向移动早发现,攻击身份可溯源,0day攻击能预警”的效果。
“信息搜集假资产”即蜜网资产能合理暴露给攻击者,从攻击者视角出发,增加蜜网暴露面。攻击者行动开始于互联网信息搜集,这个过程可以结合公司真实资产和历史泄漏事件等“不小心”暴露“脆弱点”。如发生过内网数据库IP、账号和密码的历史源码泄漏事件,业务重新规划IP时可考虑将已经暴露过的资产规划为蜜网。攻击者“打点”成功,往往先不会发动大规模扫描,而是在失陷主机搜集信息确定下一步攻击目标,规划蜜网时则可以在易失陷资产上的hosts文件或者路由表中“埋点”蜜网资产。蜜网攻击面的暴露实现了分流攻击和混淆攻击目标。
“横向移动早发现”假设的场景是攻击者已经通过某种途径进入内网,建立攻击跳板并主动探测同网段其他资产。为了达到混淆的效果,蜜网占用的IP和真实的业务IP混杂分布最佳,同时蜜网占用的空闲IP越多,攻击者网络探测触发蜜网的概率也越高。正常的业务用户只会请求已知的应用地址,一般不会访问到空闲地址的蜜网IP,但攻击者会存在同网络区域扫描行为,所以只要有蜜网触发的告警即意味着入侵的发生,保证了告警的准确率。
“攻击身份可溯源”即满足一定条件时,蜜网可以溯源攻击者真实身份甚至反制攻击者。最常见的是利用jsonp劫持获取攻击者相关信息,如通过淘宝接口获取IP,通过常见社交网站(百度、163,csdn,jd,sina等)的API获取攻击者浏览器缓存的uid和账号名称等。除了jsonp劫持以外,利用攻击者常用的蚁剑、XRAY、Goby和AWVS等RCE漏洞甚至能够实现反制效果。结合开源项目MysqlHoneypot实现的任意文件读取获取微信ID和手机号,即使关掉了所有好友申请条件,仍可通过wx_id生成二维码添加好友。最大的漏洞终究是人,任意条件下投放对攻击者极具诱惑力的钓鱼木马文件,等待喜出望外的攻击者“上钩”也能成功溯源。
“0day攻击能预警”重在分析攻击者意图和攻击流量。针对常见的协议和应用,流行的蜜罐产品均有基本的记录和分析流量功能。攻击者爆破或精准尝试了哪些口令、探测服务和获取权限等漏洞利用行为均能很轻易的从蜜网中分析得出。重大漏洞爆发期间,没有公开poc的情况下,很多payload都是最先通过蜜网捕获,做风险评估和应急响应。分析和真实业务逻辑类似的蜜网系统也可清晰的摸清我方将面临何种类型的网络威胁。
根据对蜜网用途定位的不同,部署位置一般也分两种。一是直接面向互联网构建的网络独立的蜜网系统,既保证了互联网侧的威胁感知、0day预警和攻击意图分析,又保证了即使独立环境的蜜网被突破不会影响真实业务,缺点就是互联网端流量繁杂,扫描不断,信息价值密度低。二是部署在DMZ区的内部蜜网,此类意图在攻击者入侵路径设陷,补足传统安全检测仅覆盖网络边界的不足,可及时发现水平向攻击,更加适合甲方蜜网常态化运行。
好的蜜网不是一蹴而就的,需要贴合公司业务和实际情况不断完善,也就是常说的“养蜜罐”。克隆真实业务的WEB站点、构造有使用痕迹的ssh服务、设计字典攻击轻易成功的“巧合”和前面所说的历史泄漏资产改造等都是比较常用的养蜜罐方法。近年来,shodan、fofa、zoomeye这类网络空间测绘引擎成为攻击者流行的资产搜集方式,将那些公司已下线的历史网络痕迹明显的域名或者IP资源重用在蜜网上可大大增强蜜网的可信度,放松攻击者的警惕。
在各大安全厂商都拥有了自家成熟的蜜网产品线的同时,开源社区也繁荣发展。Github上的[awesome-honeypots](https://github.com/paralax/awesome-honeypots)项目列举了精选的开源蜜网项目和组件。这些开源项目同样部署方便,也支持多种协议。在成本和预算有限的情况下,HFish和OpenCanary这类项目二开或者加固后也足以满足大多数企业的基本需求。
在蜜网和其他安全设备的支持下,攻击者总会在告警日志中留下蛛丝马迹。或是源IP、或是攻击payload,甚至是蜜网直接捕获的身份信息,这些都是溯源需要掌握的初始信息。所以第一步就是尽可能的在告警日志中检索关联信息,提高成功率。
网络攻击与防守关系从来都不对称,但技术总是通用的,渗透测试的信息搜集方法同样适用于溯源过程。对于攻击IP,首先可以通过IP138.com、ipip.net之类的网站区分IP归属是宽带、IDC或者CDN,简单探测后摸清楚攻击IP是肉鸡或真人。肉鸡的反制成功率较高,探测服务、漏洞利用后基本都可以获取权限,然后可在肉鸡上继续查找攻击者痕迹。结合情报和网页快照平台有时也可搜集到攻击IP的历史页面,历史DNS解析,whois信息等,这都有利于进一步检索域名注册者信息、常用ID等。
对于攻击payload的分析,一类是围绕投递payload的服务器展开溯源,比如攻击者的C2或者存放大马的站点,获取到这些服务器权限则意味着溯源工作的更进一步。另一类是分析攻击目标上被留下的工具或者后门。攻防演练中就不乏有反编译红队样本,从PE头中找到包含用户名的编译路径,最后成功溯源到真人的案例。
确定用户ID、邮箱、QQ、手机号等任意信息之后可以通过搜索引擎做关联信息检索,检索攻击者历史网络发帖、博客、简历等并翻阅获取更多信息。还可以以这些信息为关键字查询社工库,在这个隐私换取便利的时代,黑客的信息泄漏也不例外。REG007是一个可以查询手机号注册过哪些账号的网站,碰巧黑客泄漏过账号密码的话,撞库成功学信网、保险、快递、购物网站任意一个都可能直接获取攻击者真实身份。支付宝、微信都属于离攻击者真实身份比较靠近的账号,利用这些信息搜到攻击者微信和支付宝账号后,虽然直接转账看不到攻击者名字,但仍可通过转账时支付方式选择银行卡,最后在对应银行APP转账记录中查到对方账户真实姓名。
蜜网设防少不了网络安全建设者从入侵角度的思索和度量,证据完善的溯源也需要明察秋毫的信息扩展和交叉验证。不存在密不透风的蜜网能够诱捕所有威胁流量,也不存在万无一失,线索清晰次次成功的攻击溯源。攻防对抗是成本的对抗,技术的对抗,人的对抗,随着攻击技术演进,蜜网构建和溯源也将面临新的挑战。
Cr3ek,现任某金融机构信息安全工程师,工作内容主要为渗透测试和甲方安全项目建设。公司蜜网项目项目经理,负责蜜网的项目规划、落地实施和运营维护等。技术交流可联系:[email protected]。
证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案,为大家分享一线安全规划、运营、建设的心得和实践经验。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
原文始发于微信公众号(SecUN安全村):甲方蜜网建设和溯源思路概述|证券行业专刊·安全村
评论