技术干货 | 长安汽车大型实战攻防演习中的蜜罐溯源实践

近几年来，实战攻防演习已经成为关键信息基础设施网络安全保护工作的常态化工作。在监管机构的有力推动下，我国的实战攻防演习日益得到政企客户的重视，成为检验网络安全防御体系有效性、全面提升网络安全综合防护能力的重要手段。

在国家相关主管部门组织的2020年大型网络安全实战攻防演习行动中，长安汽车作为防守单位参与演习。长安汽车积极开展被动防御部署，并率先尝试部署了伪装欺骗溯源系统（以下简称“蜜罐”）进行主动防御和攻击溯源。

在三个月的实战攻防演习前期准备过程中，长安汽车迅速组建了行动指挥部，引入奇安信作为技术支持单位，制定了“战时八条”、“十不准十做到”等指导性文件，所有成员在“7-13”工作强度下完成了10类92项准备工作。首先完成了所有二级单位的资产点检、风险排查和整改，从7个方面筑牢安全防御墙，整体防护水平提升30%以上；其次开展了全员网络安全基础知识大普及，并通过立体培训和模拟“钓鱼”，提升全员安全意识；三是连续70天的日例会，落实情况，协调整改；最后还组织了5次模拟攻击演习，通过“实战演练、总结问题、持续整改”的PDCA，总体防护水平达到了实战水平。

实战攻防演习正式开始后，经过14天鏖战，长安汽车在实战攻防演习中力保标靶系统和各核心系统防守成功，特别是充分利用蜜罐作为溯源来源，通过多种线索追踪，对“攻击队”成员进行信息梳理，并最终描绘出攻击者信息画像。在此次实战攻防演习行动中，长安汽车获得溯源满分防守成果1个，取得了不错的防守成绩。下面，笔者将以第一视角分享此次大型实战攻防演习中的蜜罐溯源实践。

攻击溯源不仅可以保护长安汽车在网络攻击中免遭破坏，也能完成作为网络运营者配合监管及公安部门调查取证的义务。在攻防演练活动中，通过多种技术手段相结合的方式，对“攻击队”成员进行定位追踪，形成溯源报告提交裁判组，从而获得一定程度的加分。

通过利用蜜罐系统本身的自动化记录及取证的功能，对攻击者所使用的攻击手段和攻击路径进行记录，为安全研究人员提供数据分析的基础数据。通过这些数据，结合捕获的攻击者所使用的相应工具，对攻击者所利用的安全漏洞进行分析和研判。

浏览器攻击框架（The Browser Exploitation Framework Project简称“BeEF”），是一个专注于Web浏览器的渗透测试工具。BeEF可以通过JS脚本将HOOK住一个或多个Web浏览器，并将它们用作滩头指示器来启动定向命令模块，并在浏览器上下文中进一步攻击系统。

通过部署蜜罐，完全模拟自有业务系统，对攻击者进行诱捕，伪装服务系统本身内置多种社交账号的溯源工具，当攻击者访问伪装的业务系统或者对缺陷服务进行攻击的时候，溯源工具对攻击者的多种社交账号进行获取。再使用这些社交账号，进行交叉查询验证，从而定位攻击者的“真实身份”。

在模拟的自有业务系统中，嵌入EeEF攻击代码，一旦攻击者访问蜜罐，即可直接反向控制攻击者浏览器，控制攻击者浏览器以便获取真实攻击者的更多虚拟身份信息。

1、网络规划

根据整体网络架构，我们在互联网核心交换机旁路新建诱捕区，单独划分IP地址段，保证与内部业务系统网络层无法通信。将蜜罐开放的服务端口映射到现有互联网业务系统IP地址段和端口中，更能够让攻击者在踩点的过程中发现蜜罐。

2、蜜罐部署

蜜罐部署的核心思路就是“仿真”，因此需要多种伪装服务组件配合工作相辅相成，从而对攻击者起到更好地迷惑效果。比如，我们现有一个业务系统部署在一台Windows Server服务器上，要对其进行仿真，则至少需要Web伪装服务、Windows RDP、Windows系统伪装服务组件以及数据库伪装服务组件等。同时，在系统伪装服务组件和数据库伪装服务组件中，可以放置脱敏脱密的蜜文件或者蜜数据，从而提高整体的业务伪装程度。

根据实际情况，可定制外网业务系统的Web伪装服务组件，这些伪装服务组件中，可放置真实业务系统的前端数据。对于仿真的业务系统，绑定无法被域名猜解猜解到的域名，发布在互联网上。在后端，可配置基于真实业务系统后端服务的伪装服务组件，提高业务系统整体的仿真度。

为提供蜜罐的迷惑性，我们还重新编制了高交互的页面，完全模拟现有业务系统的后台登录页面，并强制触发URL跳转关键字，并在正常业务系统中不存在的高风险目录加入重定向代码，对有企图的攻击者进行引流。

3、BeEF部署

BeFF部署分为两部分，一是服务器的部署，通过外部云VPS，部署BeEF系统，二是BeFF攻击代码的部署，在蜜罐中部署的各类应用系统及部分真实的业务系统的敏感页面（如，管理后台登录界面，假的敏感信息泄露页面，黑客字典中的敏感页面等）web代码中嵌入BeEF的控制代码，来反向入侵并控制攻击者的浏览器并获取攻击者的网络信息。

1、识别攻击者

1)、主动访问蜜罐的IP地址90%都是攻击者的IP地址，小部分是互联网各类爬虫、探针等IP，正常用户是不会主动访问蜜罐端口的；

2)、通过互联网侧的应用防护设备、全流量威胁感知分析系统采集到的各类攻击者IP地址均可以作为攻击者IP的；

3)、访问正常业务不存在的高风险目录行为的IP地址是攻击IP地址，正常的用户是不会主动访问不存在的web目录的。

2、获取攻击者虚拟身份信息

1)、访问蜜罐的设备在蜜罐及BeEF上线后，尝试通过蜜罐抓取攻击者的虚拟身份信息，如果不能直接抓取到攻击者的真实身份信息，则通过BeEF向攻击者终端发送重定向命令执行，让攻击者的浏览器主动去访问其他能够获取到更多信息的蜜罐中去，比如重定向到百度网盘、163邮箱、优酷等页面，一旦攻击者浏览器依然存在上述站点的登陆信息则有可能通过蜜罐获取到攻击者上述站点的虚拟身份信息。

2)、访问真实系统触发安全告警的攻击者IP地址后，在BeEF后台上线后，通过BeEF向攻击者浏览器发送重定向指令，让攻击者的浏览器主动去访问其他能够获取到更多信息的蜜罐中去，一旦攻击者浏览器中仍然存在百度、163、优酷等站点登录信息，则可以通过蜜罐获取到攻击者上述站点的虚拟身份信息，进行进一步的攻击溯源。

3)、在正常业务系统不存在的目录中嵌入代码，将攻击者重定向至蜜罐系统，通过蜜罐及BeEF获取攻击者的虚拟身份信息。

3、虚拟身份信息的溯源

我们在获取到攻击者的虚拟身份信息后，则通过搜索引擎、论坛、贴吧、微博等社交平台及社工库尝试分析攻击者的真实身份信息。比如在一个攻击IP(139.224.XXX.XXX)对企业门户和蜜罐系统进行攻击时，蜜罐成功诱导攻击者获取相关信息，捕获了攻击者浏览器中的百度账号昵称“蛋疼***”，根据外部情报平台和社工库完成对攻击队员溯源，成功获取了攻击者的详细真实身份信息，完成对攻击者的完整画像，获得蜜罐溯源类满分1500分。

以上即是在此次实战攻防演习行动中我们利用蜜罐和BeEF平台结合使用对攻击者进行定位和溯源的一次成功实践。通过此次实践，网络安全防御不再是被动防御，我们通过利用蜜罐产品结合BeEF开源框架实现对攻击者的主动发现、诱骗、反制主动防御。未来长安汽车在网络安全的规划中将继续完善现有被动防御框架体系的基础上继续对主动防御的技术路线进行探索。