安全事件运营SOP：蜜罐告警

在开篇《安全事件运营SOP【1】安全事件概述》中，介绍了安全事件的定义、分级、处置原则及处置流程。当发生某类安全事件时，该如何快速处置？以及如何保证不同人员处置的效果都达标？安全事件的种类虽然繁多，但是处理起来并非无据可循。为了解决上述两个问题，同时提升工作效率和降低安全风险。经过大量的运营处置实践，总结出以下常见的处置标准操作程序（SOP）。

蜜罐基础概念

1.1 什么是蜜罐

1.2 有哪些蜜罐

• 数据蜜罐：又叫面包屑，包括蜜数据、蜜文件、蜜邮件…洒落在内外网的各个角落，均是攻击者信息收集时关注的数据或文件，比如在GitHub上传存在敏感蜜数据的代码、在内网服务器上存储蜜数据…引导攻击者访问蜜环境；

• 服务蜜罐：对外开放22、23、3389等可能存在风险的高危端口及服务，部署在业务系统周边及全局设计部署在各网段，一触碰就产生告警，常见的工具或蜜罐系统有opencanary（具备web控制台进行管理）、HFish、Kippo、MHN、T-POT等；

• 业务蜜罐：伪装为业务系统（业务系统克隆），或业务系统的一个不常碰到的功能点，混淆攻击者的视听并起到告警作用。初级水平，常用setoolkit等工具进行目标系统静态资源提取，提取之后仍需修改网站源代码才能跑通；更高一点的水平已经实现流量重放，根据攻击者的请求重放API的response，包括对一些攻击行为的响应。

1.3 蜜罐的应用

• 蜜罐的多样性：各类低交互的蜜罐（业务蜜罐&服务蜜罐），如oa、crm等攻击队关注的系统应该要有，ssh、rdp、tomcat等系统及应用服务也需要覆盖，保持足够多的种类，可增加发现攻击的可能性；

• 蜜罐的存活率：在管理平台设计时，加入对蜜罐存活的判断，定时去探活。解决蜜罐部署很多，但面对攻击行为时不能告警的窘境。

• 系统误报：蜜罐管理系统出现问题，导致没有触碰蜜罐时，也产生告警；
• 正常行为：用户在访问目标系统时输入错误、同网段Windows主机发现等可能会产生访问记录导致告警；
• 违规行为：违反安全红线的行为可能产生告警，如业务方测试时，超范围漏洞扫描碰到蜜罐；
• 安全事件：指攻击者在进行信息搜集、探测时触发的告警，也是蜜罐告警最主要关注和分析的类型。

2.1 找出攻击源

2.2 确定责任人

2.3 判断告警场景

2.4 执行处置动作

2.5 SOP流程图

3.1 捕获0day漏洞

3.2 识别攻击者身份

3.3 反向控制攻击者

• 浏览器：业务系统页面嵌入BeEF（浏览器攻击框架，The Browser Exploitation Framework Project）攻击代码，反向控制攻击者浏览器甚至拿到权限；

• MySQL反制：通过伪造MySQL报文来模拟服务；从客户端（攻击者终端）读取文件，可参照https://github.com/qigpig/MysqlHoneypot；

• 反向RDP攻击：利用CVE-2018-20179、CVE 2018-20181、CVE 2018-8795等漏洞对rdesktop等软件进行攻击；

• 伪造恶意程序：通过假装咬钩钓鱼邮件，将对方引入蜜网，散播存有后门的虚假敏感文件反击攻击者，如office文档木马、winrar压缩包等。

3.4 在攻防演习中应用

原文始发于微信公众号（我的安全视界观）：安全事件运营SOP：蜜罐告警