如果安全产品连自己都保护不了，又如何保护客户的网络安全？

2023年6月25日22:36:27评论15 views字数 4064阅读13分32秒阅读模式

前言

墨菲定律指明"Anything that can go wrong will go wrong."，即如果事情有变坏的可能，不管这种可能性有多小，它总会发生。

在网络安全领域也是同样的道理，如果0day可能会出现，那最后必然会出现，只是时间和时机的问题。时间就是如果你的产品复杂些，或者对知识产品保护比较严格，那攻击方发现漏洞的时间可能会比较长。时机就是攻击方什么时候会利用这些漏洞（大家应该会快就会见识到）。

其实软件产品出现漏洞并不丢人，因为首先现在产品的代码和使用的第三方库越来越多，越来越复杂，再加上开发人员能力以及流动性，难免会出现错误引入漏洞。其次是攻击方和防守方能力和资源的不对等。这些安全产品在上线前肯定会经过渗透测试和代码审计，但是做这些事的人可能迫于上线的时间压力，没能全面深入地完成评估，或者因为个人技术经验的局限性，没能发现存在的问题，而真正挖掘安全产品漏洞并进行利用的人，却是各安全公司高级实验室优秀的研究人员，或者一些APT组织，而且时间也比较充裕。另外在攻防双方真正进入交战状态时，能力也是不对等的。攻击方可能是各安全公司最优秀的攻击团队，或者真实的APT组织，而防守方所谓的安全专家，可能是经过了三四层外包的实习生。

安全产品本来应该是企业防御的第一道防线，现在多数情况下却变成了攻击者进入企业的入口点。当然该做的事也都做了，比如渗透测试，代码审计，及时更新补丁，做的好不多先另说，但与此同时，我们也应该换个思路进行防御体系的建设。

“防御是理想的，但检测是必须的”，如果你安全建设的目标是为了不发生入侵事件，那你已经失败了；如果安全产品希望通过各种流程、规范来杜绝漏洞的出现，那也必然会失败。所以我们应该考虑，既然0day一定会出现，那在0day被发现和利用的时候，我们能否检测到？安全产品是否有相应的检测机制来检测自身被入侵？（对于参加了多次攻防演练人，心里应该有答案了）

下面就介绍下如何通过欺骗的思路，检测主机的失陷。当然只是抛砖引玉，我相信国内安全公司那么多优秀的专业人员，只要想解决这类问题，肯定能想出更优雅的方案的。或者已经存在更优雅的方案，只是我不知道，如果有的话，也希望大家可以分享下。

检测思路-诱饵文件

攻击者不论通过何种方式进入我们的网络，目标其实无非是数据或者进行破坏（目前多数还是以数据为目标）。那我们就可以通过部署诱饵文件的方式，来检测系统被入侵。

在下面的例子中，我们使用python的inotify库监控root用户家目录下的两个ssh私钥文件'ssh_key_132'和'ssh_key_148'的访问，因为这两个文件正常情况下不会被访问，一旦被访问，则能判断主机已失陷，然后通过飞书的机器人进行告警，当然也可以使用其他机器人，比如企微机器人，钉钉机器人，或者通过SIEM平台。

对于一些业务系统可能存在防病毒产品会扫描系统文件的情况，从而产生误报，所以需要提前加白。但安全产品多数不会安装防病毒产品。

要创建ssh诱饵私钥，我们可以使用ssh-keygen，然后使用下面的脚本监控文件的访问：

# pip install inotify# pip install requests
import inotify.adaptersimport jsonimport requests
webhook = 'https://open.feishu.cn/open-apis/bot/v2/hook/9a......5'
def send_msg(url,msg):   json_header = {"Content-Type": "application/json"}   data = {"msg_type":"post",           "content":{               "post": {                     "zh_cn": {                            "title":"Honey SSH Key was accessed!!",                            "content": [                                 [                                     {   "tag":"text",                                         "text":"FileName: "                                          },                                     {                                         "tag": "text",                                         "text": msg['file']                                         }                                     ]                                ]                        }                   }               }           }    try:       r = requests.post(url,data=json.dumps(data).encode('utf-8'),headers=json_header)       #print(r.text)   except Exception as err:       #print(err)       pass
def watch(path,honey_file):    i = inotify.adapters.Inotify()
    i.add_watch(path)
    for event in i.event_gen(yield_nones=False):        (_, type_names, path, filename) = event
        print(type_names)        if filename in honey_file and 'IN_OPEN' in type_names:            msg = {'file':filename}            #print("PATH=[{}] FILENAME=[{}] EVENT_TYPES={}".format(            #  path, filename, type_names))
            send_msg(webhook,msg)
if __name__ == '__main__':    path = "/root/.ssh/"    honey_file = ['ssh_key_132','ssh_key_148']
    watch(path,honey_file)

为了避免攻击方看到我们脚本的内容，我们可以使用python的nuitka模块，将python脚本编译成二进制文件。将上面代码保存到SecWatch.py 文件，然后使用下面的命令进行编译：

python3.8 -m nuitka --onefile --clean-cache=all --company-name=Linux --product-name=linux --file-version=1.0.1 --product-version=1.0.1 --file-description='Linux daemon process' --copyright='© 2023 Canonical Ltd. Ubuntu and Canonical are registered trademarks of Canonical Ltd.' --output-filename=SecWatch SecWatch.py

接下来我们需要监控程序开机自动运行，这里使用创建服务的方式，当然也有其他的一些方式。先将编译好的程序复制到/usr/local/bin目录：

cp SecWatch /usr/local/bin/

最后创建一个服务配置文件/etc/systemd/system/SecWatch.service：

touch /etc/systemd/system/SecWatch.servicechmod 644  /etc/systemd/system/SecWatch.service

/etc/systemd/system/SecWatch.service内容如下：