![重磅!《保密科学技术》特邀创宇蜜罐探讨“蜜罐安全”]( "重磅!《保密科学技术》特邀创宇蜜罐探讨“蜜罐安全”")
该文章原文《基于网络诱捕与攻击溯源的蜜罐技术及其应用》
作者:李伟辰 曹文杰 张晶晶 / 北京知道创宇信息技术股份有限公司
【摘要】网络安全体系建设是一个系统化实现的过程,随着网络技术的不断发展,网络安全体系的建设也在逐步变得更加完善。蜜罐技术所包含的网络诱捕与攻击溯源技术的应用普及,是应对网络安全威胁规模化、复杂化的必然趋势,也是网络安全从以被动防御为主走向主动防御的标志。
【关键词】 网络安全 蜜罐技术 网络诱捕技术 攻击溯源 蜜罐应用
“没有网络安全就没有国家安全。”网络发展与网络安全相伴相生,网络技术的发展极大地推进了经济社会的快速发展,同时其本身的开放性、交互性和分散性等特点也使网络安全问题随之而来。
2020年,疫情的发生使得各行各业信息化建设加速。随着信息技术和互联网的快速发展,网络安全对人类生活的影响逐步扩展到政治、经济、社会民生等各个领域[1],而人们最经常遇到的安全隐患则包括硬件漏洞、软件漏洞、系统后门以及恶意程序(如勒索病毒)等[2]。
传统安全技术基于防火墙、杀毒软件、入侵检测系统等安全设备建立真实网络资产被动防护体系来防御攻击。而随着云计算、物联网等技术的发展,网络不再有明确的边界,网络安全体系建设也不再专注于对攻击的被动防御,而是上升至真正的攻防对抗层面。
真正的网络攻防需要对攻击有敏锐的感知并依据安全态势对防御体系进行及时调整,同时对攻击者进行溯源与反制,从根本上切断攻击源。因此,整体的网络安全体系便越来越倾向于在完善的被动防御基础上进一步进行攻击发现、诱捕以及溯源反制。
蜜罐技术从概念提出至今已有30余年的历史,技术本身也在不断经历着发展演化的过程。近年来,蜜罐技术[3]基于网络诱捕技术与攻击溯源技术得以发展,它模拟出系统功能近似目标系统的操作环境,以此作为诱饵或陷阱,诱骗攻击者来攻击,同时采取拦截阻断、行为记录等措施,掌握攻击目标、攻击手段,及时对真实系统环境进行“查缺补漏”,并通过分析攻击情报数据追踪溯源。
值得一提的是,蜜罐本身的诱捕技术始终只是其他安全能力的补充,并不能完全取代其他安全能力。事实上,蜜罐诱捕技术往往需要与其他如态势感知、安全信息和事件管理、防火墙等安全设备能力联动,才能带来更显著的安全效果。
市场对蜜罐技术的需求主要源于常态化的攻防演练。网络攻击的手段变得越来越复杂,并以越来越高的频率和效率渗透到网络中,蜜罐技术在攻防演练中表现出精确检测攻击、延缓攻击以及可攻击溯源的优势,因此备受青睐。
蜜罐技术的主要应用目标可以总结为以下几个:一是保护重要网络空间资产不受攻击;二是延缓攻击,争取时间对实际业务系统的防御进行有针对性升级;三是收集攻击数据,感知攻击态势;四是测试防御系统,针对性查漏补缺;五是全网追踪溯源,从根本上切断攻击源。
蜜罐的诱捕能力是其核心能力之一,是蜜罐成功实现攻击诱导、保护真实资产的重要基础。诱骗技术改变了传统防护手段守株待兔的缺陷,通过高交互蜜网设置、路径诱骗、诱饵投递等技术,诱使攻击者认为发现了高价值目标,从而诱敌深入,为攻击取证和溯源抓捕提供支撑。
蜜罐的伪装能力直接决定了是否会被攻击者快速识破,传统的中低交互蜜罐由于其特征过于明显,很容易被识别,ZoomEye网络空间搜索引擎中也对常见互联网蜜罐做了识别和标注。
高交互蜜罐不仅具备完整操作系统的正常交互响应,在此基础上部署的仿真业务系统及漏洞,更让蜜罐具有足够的诱惑性,同时,由于高交互蜜罐系统不应该承载真实业务,因此发现的任何流量都可认为是恶意行为,这样能大幅提升威胁发现、跟踪能力。更进一步地,通过将多个高交互蜜罐组成蜜网,让攻击者误以为进入真实业务环境,殊不知所有的行为均被一一记录和监视。多场景高交互蜜罐场景示例如图1所示。
具体地,高交互蜜罐能够对以下多种类IT设施进行模拟 :
● 网络协议与基础服务:例如SSH、DNS、FTP、Samba、SMTP、Rsync等等。
● 数据库与开发应用:例如Elastic Search、My SQL数据库、Mongo DB数据库、Redis数据库、代码托管服务、研发协同平台等。
● 自定义蜜罐:用户可以通过“基础蜜罐+自定义服务内容”的方式实现与自有业务高度相似的蜜罐。
蜜罐通常会部署在单独的隔离网络中,同时在企业业务网域中,通过客户端部署或者Trunk中继模式部署,可以将空闲IP分配给蜜罐服务,当攻击者对IP进行探测或访问时,流量将被重定向至隔离网络内的蜜罐环境,在消耗攻击者大量精力的同时,也对攻击流量进行隔离,保护真实资产免受入侵。
在内网应用场景中,蜜罐的入口散布得越多,捕获到攻击者的概率也会越高。通过网络虚拟化技术,可以将主机网络接口上配置多个虚拟的网络接口,这些网络接口有自己独立的MAC地址,也可以配置上IP地址进行通信。这些IP地址开放的端口服务最终都会重定向至蜜罐,内网中若存在有被入侵并中毒的设备,在试图横向攻击时,蜜罐捕获到攻击的概率便会大大提高,从而快速在众多资产中定位隐藏的被感染设备。
在外网场景中,蜜罐可以模拟若干网站子域名,并部署Web类高仿真蜜罐(如:企业官网、OA系统、电商网站、论坛),由于蜜罐本身不承载真实业务,正常访客通常不会访问蜜罐子域名,故尝试访问者,很大可能是潜在攻击者正在进行信息侦查。
攻击者进入内网的目标主要是获取企业的关键信息和数据。在蜜罐部署时,可以针对蜜罐定制各类诱饵,模拟企业敏感数据信息,例如浏览器历史记录、ssh登录历史和凭据、部分代码中“无意”包含的敏感资产信息等。这些诱饵可以散播在办公网络、业务服务主机、互联网等所有可能想到的区域,将攻击者逐渐引入蜜罐中。一旦攻击者上钩,便能对攻击者进行溯源和抓捕。
蜜罐的另一核心能力即攻击溯源能力,是其实现溯源反制的重要基础。尤其是在真实的网络对抗及攻防演练中,溯源反制可以真正实现对攻击者的震慑并起到彻底切断攻击源的作用。而蜜罐对攻击的诱导与数据记录,也为攻击溯源打下了坚实的基础,提供了更大的可能性。
诱捕能力的强弱直接关系到蜜罐系统的核心能力,即威胁数据捕获的能力。蜜罐研发人员需要制定一套威胁数据捕获机制,从蜜罐捕获到的流量中分析出有用的流量,提炼威胁日志数据,为后续的安全数据分析大脑提供强大的数据支撑。
首先最基础的数据,就是定义威胁数据原始流量中的字段,比如攻击流量的IP、操作系统、浏览器指纹等信息,更深入一些,最好是使用隐蔽通信,在攻击者无法感知的情况下将数据传回分析平台,甚至对其流量进行追踪。
数据捕获的模式最好是实时的,能够基于时间序列为使用系统的安全研究人员提供分析后的日志危险等级,提供最原始的pcap包作为分析样本,使其能通过界面的图形结果对当前网络环境的整体态势进行感知,并从中发现异常流量。
对于命令行蜜罐,系统可在蜜罐内监听命令,记录攻击者在命令行中的键盘输入,并且将命令保存在本地文件中,通过工具分析后直接在网页中渲染成视频等形式呈现,并借助管道等方式在页面中显示输出,支持播放与暂停等功能。对于一些Windows操作系统蜜罐,分析系统还应该记录其对系统进程的操作,监控系统中的相关文件(作为蜜标),在文件被攻击者触碰时,系统便会产生告警,并最终形成包含时间线的详细攻击记录。
蜜罐中还可配置一些钩子程序,监听并获知攻击者可能在蜜罐中上传的文件(攻击者通常都会使用一些恶意代码针对某些特定系统版本进行攻击)。并且为这些遗留文件在页面上提供下载分析途径,使之成为大规模采集恶意样本的途径之一。
通过分析攻击者攻击中所使用的载荷,可以判断出攻击者所攻击的目标(攻击目标所属的操作系统以及该版本对应的漏洞信息等),以及其所使用的攻击手段,更有机会发现攻击者使用的0 Day信息(通过正则匹配关键字符,结合漏洞数据库分析)。同时可根据攻击者所使用的漏洞信息对真实业务系统进行自查,极大程度上提升自身内部系统的安全性。
“网络杀伤链”由洛克希德•马丁提出,用来描述网络攻击生命周期,分为侦察跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、目标达成7个步骤,如图2所示。蜜罐系统通过网络攻击特征提取方法对攻击进行杀伤链还原,将捕获到的原始数据包作为基础,根据捕获到的特性指纹等信息建立聚合模型,还原其攻击步骤,通过大数据统计、关联分析、模式识别等技术,判断攻击者的攻击手段、攻击意图、所用攻击工具等。蜜罐系统通过建立类似入侵检测或反病毒分析系统的特征库或者病毒码,将攻击行为更细粒度地进行分析并打上威胁标记,这样每一条原始日志就成为了一条具有指纹的特征记录,此时可通过相应蜜罐算法对不同权重的特征记录进行威胁建模,最终形成基于时间序列的详细攻击步骤事件记录,并识别出高级威胁(如:勒索病毒传播、蠕虫病毒传播、APT)。
针对单个攻击源,可从多重维度对攻击者身份进行立体画像绘制,包括真实IP、虚拟身份、设备指纹等信息。
● 真实IP:通过漏洞利用,获取真实IP、代理IP、局域网IP。
● 虚拟身份:储备大量社交网络网站或App漏洞,有效对目标的身份信息、社交关系等信息进行探测,获取目标常用网站的真实ID、头像和账号内容等,进一步可获知其物理地址、真实姓名等有价值信息。
● 设备指纹:根据攻击者的攻击请求,配合指纹识别插件,分析出攻击者所用客户端上的特征指纹,并计算出唯一身份识别符。
数据大脑作为蜜罐系统进行分析决策的神经中枢而存在,最终捕获到的溯源数据,都通过数据大脑中的海量数据情报和模型进行分析匹配,从而明晰攻击源身份,得到更详细的自然人或者攻击组织信息。
蜜罐技术中涉及的网络诱捕技术与攻击溯源技术,在实际的网络安全实践中,是如何体现其应用效果、落地情况及其安全价值的,我们需要通过具体的应用案例来进行说明。
在2020年专项安全演练中,某省级事业单位在外网部署了蜜罐,伪装成为单位的行政系统,还将诱惑性强的域名解析到蜜罐地址上,用来诱捕攻击者,希望将攻击者针对外网资产侦察、踩点行为进行集中分析。
在攻击者访问蜜罐时,其对蜜罐发出的访问请求中会携带自身的设备特征,而蜜罐中内置的溯源插件会对攻击者所用电脑操作系统、浏览器版本、浏览器所处时区等设备指纹数据进行抓取,也能基于浏览器特性获取到攻击者本地访问的邮箱、论坛、社交平台等互联网账号的相关信息。
该省级事业单位部署蜜罐的攻击态势和威胁告警日志中显示,蜜罐7天内共捕获威胁请求超过67万次,其中包括十多起口令爆破、1起Webshell上传,经过蜜罐威胁分析引擎可以清晰看到每一次的攻击命令。通过蜜罐详细的攻击路径数据记录和攻击行为回放分析,值守人员第一时间将发起攻击的攻击源IP上报给处置组进行封禁,同时应用数据大脑情报库进行全网溯源,得到了攻击者的完整画像,包含该攻击者历史上的攻击行为,以及其活跃的网络ID和真实身份、工作单位、地理位置信息等,在攻防演练中获得加分。
蜜罐技术作为典型的网络威胁主动防御手段,改变了传统的网络防护模式,在技术的纵深发展及应用的多样化上还有很长的路要走。其在技术实现上的明显优势,使得蜜罐的广泛应用必然带来网络安全的颠覆性革命。
[1] 中国网络安全产业联盟.中国网络安全产业分析报告(2019年)[R].2019.
[2] 2020网络安全行业发展专题报告发布[EB/OL].人民网-北京频道.2020年11月19日.
[3] 何坚安.蜜罐技术在信息安全防御中的应用与研究[J].网络安全技术与应用,2020(08):29~31.
本文始发于微信公众号(知道创宇):重磅!《保密科学技术》特邀创宇蜜罐探讨“蜜罐安全”
评论