既能攻防演练，又能日常防护，迷网这朋友能处！

只能应用于攻防演练？

不止于此！

迷网欺骗诱捕防御系统上得了实战场，也能日常安全运维。

谁不想拥有迷网这么一个有安全感的朋友呢？

全球勒索态势愈演愈烈，由中国产业互联网发展联盟指导发布的《2022产业互联网安全十大趋势》明确指出，2022年勒索病毒危害将进一步扩大化。勒索产业链日益完善，勒索攻击更频繁、更多样、更精准、更有目的性，勒索病毒目前已成为网络安全头号威胁，每15秒就有一家企业受到侵害。面对勒索病毒的嚣张气焰，防范应对刻不容缓。

挡枪、扛伤害，有事“我”先上

知己知彼，百战不殆。勒索病毒作为一种新型电脑病毒，通过绑架用户文件威胁索取高额赎金，堪称网络安全行业的“绑匪”。这种病毒主要攻击Windows电脑，通过漏洞发起攻击，或以邮件、程序木马，网页挂马等形式进行传播。它利用各种加密算法对文件进行加密，被感染者无法解密并打开文件，必须缴纳攻击者所要求的赎金，才能获得打开文件的方法。勒索病毒持续产生新的变种，基于规则的检测机制始终赶不上攻击者的更新脚步，且其漏洞利用机制影响面巨大，稍有不慎就会中招。因此，勒索病毒的有效防治是日常安全运维的一大难题。

在过去的攻防演习中，安恒信息迷网欺骗诱捕防御系统（以下简称“迷网”）展示出了面向攻击强劲的诱捕和溯源能力。长期以来，国内对欺骗防御技术的理解与应用大多还停留在攻防演练的场景当中，极少将其用于日常防护。实际上，以“欺骗防御体系构建”为理念的迷网在日常安全运维中也很能打！

实战案例：迷网vs勒索病毒

此前，迷网团队在某项目日常运营过程中发现，用户网内存在IP地址通过445端口对迷网部署下的samba蜜罐进行大量的持续探测行为。

迷网欺骗防御系统告警页面记录截图

通过对此行为进行关联事件分析后，发现该IP对Windows7蜜罐（存在永恒之蓝漏洞）进行了漏洞利用，成功获取到蜜罐权限，在其中创建并运行病毒程序。

通过分析其获取蜜罐权限后的攻击行为，发现其攻击意图是通过Windows7蜜罐作为跳板，继续对外进行攻击扩散。当然，基于迷网自身的安全机制，该举动只能以失败告终（迷网自身的虚拟网络实现机制，使攻击性行为只能进不能出，所以蜜罐作为跳板时只能访问其他蜜罐地址，不影响客户真实网络环境）。

当攻击行为被确定后，迷网团队协同客户一起对IP进行了分析，发现该IP为其下属单位归属IP。通过联动其他安全产品分析发现，该IP地址也对网内其他主机尝试进行攻击，并且被多次阻断，但由于平时运营告警量过大，该行为过去并未得到重视并进行处置。

在验证该攻击端行为过程中，查看其开放端口和连接情况时发现存在大量SYN连接，根据pid查看任务进程发现其攻击进程并定位到文件，通过安恒威胁分析平台进行在线分析，发现其为wannaCryptor勒索病毒。

至此，该攻击主机也被完全识别并进行妥善处置。

迷网团队说

透过整个排查过程，我们思考几个问题：

在运营过程中远不止这一次攻击，在后续的跟进过程中，我们帮助客户在半年内完成了百余次的精准处置，将风险扼杀于摇篮之中。

通过样板案例对欺骗防御技术的特性验证，也更加坚定了我们开启基于欺骗防御技术的协同联动体系的构建。

随着网络攻击技术的不断演变，欺骗防御跳出了技术对抗的思路，把关注点从攻击上挪开，进而去关注攻击者本身。相信未来欺骗防御技术会在自动化处置、协同联动的安全领域中发挥不可替代的作用。