基于攻击行为精准设伏,实现攻击对象靶向反制|大湾区金融安全专刊·安全村

admin
admin
admin
102755
文章
87
评论
2023年11月13日14:44:45评论9 views字数 2860阅读9分32秒阅读模式
基于攻击行为精准设伏,实现攻击对象靶向反制|大湾区金融安全专刊·安全村
基于攻击行为精准设伏,实现攻击对象靶向反制|大湾区金融安全专刊·安全村


摘要



本文基于攻击者视角提出了主动诱捕设伏的蜜网反制溯源战法,通过对流量进行实时检测,实现对攻击流量的主动诱捕,将攻击者引入蜜网,适时进行精准的反制溯源。


一、业务痛点和需求




传统蜜罐属于被动式诱捕,向互联网开放几个诱饵应用,只有当攻击者访问蜜罐时才会被引入蜜罐,存在蜜罐暴露面小、诱捕效率低的问题,且一般溯源能力较弱,即使攻击者踩入蜜罐,也难以进行有效的画像分析和攻击溯源。

为了构建主动防御体系,应当在攻防实战对抗中对黑客进行诱捕反制并溯源其身份信息,一方面能够快速获取攻击情报,做到知己知彼;同时整个过程不会影响正常业务系统的运行。


二、解决方案




根据互联网旁路镜像流量检测攻击者行为,伪造服务端向攻击者发送网络包,实现服务端应用伪造诱饵的大规模安全轻量部署;设计和开发高交互剧本并进行集中灵活配置,以漏洞作为反制溯源的手段,自动获取攻击者画像信息,实现反制溯源和主动防御

通过下图所示的架构,实现主动诱捕体系的构建,主动识别攻击者的攻击数据包并主动发送欺骗包和反制包,实现精准反制溯源。

基于攻击行为精准设伏,实现攻击对象靶向反制|大湾区金融安全专刊·安全村
主动诱捕和反制溯源示意图


三、具体实现



1.服务搭建阶段

定制化开发多个高敏感度蜜罐(如OA系统、邮件系统、VPN系统),形成高交互、高仿真、多类型的蜜网,提高对攻击者的吸引力和欺骗性。

针对蜜罐站点仿真,为提高仿真服务的真实性以及不同场景下剧本对应的反制手段,采用了已有业务网站页面素材,包括背景、图标、icon、常用cgi及命名习惯,从而搭建了常见老旧的内外部业务系统、存在信息泄露的Web服务不正确配置、存在上传入口的Web页面等服务,诱导攻击者从信息收集到攻击渗透逐步深入。

蜜网与我单位其他网段进行严格的网络隔离,规避蜜网逃逸的可能。

2.暴露面配置阶段

基于常见的攻击场景以及黑客感兴趣的线索、资产,设计符合业务场景特征的暴露面,包含投放的资产域名、IP、URL链接、账户等信息,以及后续反制蜜罐类型,设置反制手段,为黑客构建高甜度的诱捕反制场景。

3.引流诱捕阶段

为提高蜜网的暴露面,需要设置不同的引流措施,通过以下方法提高引流效率:

3.1 结合旁路防护设备引流

首先,结合单位内部旁路阻断设备通过对攻击者访问攻击资产、攻击方式、攻击危害的判断,持续运营统计攻击特征,将特定攻击通过HTTP 302重定向至蜜罐前置诱捕站点,前置诱捕站点预留了精心构造的攻击拦截页面和Web服务端代码报错页面,引导攻击者点击报错页面中的蜜罐链接,间接地将攻击者引至反制蜜罐。

此外,针对攻击者扫描器的扫描行为,在引流触发策略中设置若干关键系统中不存在的敏感路径,如/login/admin/login等,通过旁路方式对攻击者客户端回包投放构造嵌入蜜罐信息的敏感文件内容,主动将攻击者引导至反制蜜罐服务。

3.2 结合串行防护设备引流(WAF)
对WAF进行个性化配置,将不同的攻击类型返回的拦截页面附加蜜罐信息,引诱攻击者对蜜罐进行探索。

通过联动边界安全防御体系中的WAF和蜜罐反制系统,在黑客探测和攻击阶段主动实施诱捕。基于WAF配置对不同的攻击特征类型返回对应的诱饵信息,实现诱饵在业务侧高密度散布和高甜度目标信息主动投递,对发起攻击的客户端返回带有甜度的蜜罐地址链接和登录凭证等信息,主动散布和投递诱饵。将攻击者从攻击真实业务转移到攻击反制蜜罐,从而提高触达和触发反制效率。

基于攻击行为精准设伏,实现攻击对象靶向反制|大湾区金融安全专刊·安全村
结合WAF实现对攻击主动引流

结合前述配置的反制蜜罐,联动WAF主动投放诱饵策略部署实现如下:在黑客对互联网暴露面的资产进行探测时,主动对其投放大量诱饵信息,信息内包含蜜罐诱捕线索,引导黑客从攻击真实业务系统转移到攻击高甜度蜜罐,从而实现更加精准化溯源反制,且不影响业务安全运行。

举例:例如黑客在对真实业务系统进行探测,对其回传、投放含有敏感数据库链接,而该数据库蜜罐嵌入多种反制手段,攻击者对数据库蜜罐进行登录尝试,一旦利用数据库连接客户端进行登录时,则触动反制机制,实现无感自动化反制。

3.3 结合外部测绘平台引流
同时,在fofa、zoomeye、shodan、互联网搜索引擎等互联网搜索平台的搜索结果中投放蜜罐信息,并持续优化在攻击者感兴趣的敏感信息关键词搜索结果中的排名,诱导攻击者访问靠前的蜜罐入口。

3.4 结合外部代码托管平台引流

在GitHub等代码托管平台中投放诱饵代码和配置文件,留下公司名和攻击者感兴趣的敏感信息关键词,提高甜度和曝光度,并通过技巧把代码提交commit时间拨回早前的时间,并在帐号主页设置隐藏新注册帐号的公开加入时间信息,提高仿真度,降低被攻击者识破的可能性。

4.欺骗交互阶段

将互联网旁路镜像流量引入流量分析系统,自动实时识别攻击流量,并根据攻击包的类型向攻击者发送不同的欺骗包,将攻击者引入定制化的蜜网系统,实现主动诱捕

5.溯源反制阶段

当攻击者的行为触达设定的条件时(如使用诱饵中的凭证登录蜜罐),蜜网系统将进行反制溯源,反制成功则将攻击者信息上传至画像服务器,实时获取攻击者画像。


四、应用效果



有效利用多种引流手段,联动内部安全防护能力在攻击者各条必经之路上部署诱捕反制场景剧本,可以大大提升引流诱捕和反制攻击者的效果,切实落地主动防御策略。

在单位组织的红蓝对抗以及日常安全防御中,多次获取攻击我单位的攻击者画像
案例一:攻防演习中,攻击者扫描我行特定web路径,得到我们自动返回的诱饵url,该url展示了我单位故意泄露的代码,攻击者通过代码中的帐号口令尝试登录我单位的互联网蜜罐,触发了蜜罐溯源反制功能。通过对其浏览器记录等信息的分析,可以得知是某公司的安全从业成员。

案例二:发现某机器访问我单位互联网蜜罐,在与蜜罐的高交互中尝试进行SQL注入、文件上传等行为,触发蜜罐的溯源反制功能。通过对其电脑桌面、浏览器记录以及相关文件等信息的综合分析,得知该人员的基本信息,经确认是某公司的安全测试人员。

“通过蜜网引流欺骗,实现主动诱捕的攻击者溯源”在互联网边界布防实现威胁的主动发现和自动化溯源反制,是建设主动安全防护体系的关键一环,有助于提高整体安全防护水平和溯源反制能力,获得更有价值的防守成果。



作者介绍

郭炳军:招商银行安全运营成员,在攻击自动化处置方向积累了丰富经验,将异常检测算法应用在安全领域。** 网络安全演习先进个人、课程讲师。




关于 大湾区金融安全专刊


大湾区专刊集合了全国数十家金融和科技机构的网络安全工作经验总结,内容涉及防护体系、资产管理、研发安全、攻防演练、安全运营、数据安全、业务安全七大主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。


关于 安全村


安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。




基于攻击行为精准设伏,实现攻击对象靶向反制|大湾区金融安全专刊·安全村

专刊获取方式


本次专刊的合作机构如下
赶紧关注他们
联系获取纸质版专刊吧!

基于攻击行为精准设伏,实现攻击对象靶向反制|大湾区金融安全专刊·安全村



原文始发于微信公众号(安全村SecUN):基于攻击行为精准设伏,实现攻击对象靶向反制|大湾区金融安全专刊·安全村

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月13日14:44:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   基于攻击行为精准设伏,实现攻击对象靶向反制|大湾区金融安全专刊·安全村http://cn-sec.com/archives/2201140.html

发表评论

匿名网友 填写信息