PRE-ATT&CK：侦查阶段对抗设计和实践

一、时代背景

三、阶段性目标

在当前防守方有业务固守的情况下，无法机动转移隐藏整体。但依然可以选择在此阶段最大化消耗攻击者的时间和精力，并与后续阶段联动进行限制或反制。军事上最常用的方法是放出假情报，让对方真假难分，最大化的消耗攻击方有限的时间和精力，有时候甚至起到反制的作用。

四、对抗策略设计

1、被动侦察阶段

互联网全公开网域。一是在互联网上github、码云等代码平台上传预设的敏感信息。二是在开放业务网中根据GHDB搜索语法，放置对应的蜜罐文件。特别是包含用户名密码的配置文件，数据库备份文件，网站打包文件打包文件，svn信息泄露文件等。

互联网半公开网域。在网盘中共享放置敏感文件，在论坛中放置敏感文件，在互联网通讯工具个人信息中放置敏感链接或用户名密码等。比如xx公司网络拓扑图，互联网IP段，公司通讯录，信息系统列表等。

内部网域不在本次讨论范围内，建议服务器区部署独立式蜜罐，终端区部署软件式和独立式蜜罐。

最终所有的诱导均是将攻击者导向预设的蜜网当中，所有的联系方式指向特定的手机号，邮箱当中。蜜网的位置要注意与生产网完全隔离。

2、主动侦察阶段

互联网端口

在公司业务网的边界上建立专用的端口转发设备，将禁止在互联网开放的远程管理端口3389，22，4899，数据库端口1433，3306，1521等端口，转发到完全独立部署的蜜罐上。蜜罐有被攻破风险，建议部署到独立的云上。

互联网域名

查找公司未占用的二级域名，建议傅Webmail   Admin  blog  news  mobile tech auto video  photo book city  travel  games等常用的二级域名指向蜜网，申请过程中域名管理员可能不给用，你就说申请临时用两个月。其次是开启泛解析防止域名暴力破解，不过作用不大。

互联网应用

在公司业务网中选择部分业务未占用的端口，将端口转发到深交互蜜罐的VPN，OA，ERP类应用上。在公司正常的生产业务中，可以部署注释类蜜罐（用户名密码、API、token）。在这个阶段比较难分辨业务真假，在诱捕和消耗时间上非常有效。

五、实践部分

在实践之前需要思考一下可能引发的问题，经过讨论主要有三点。一是被监管通报蜜罐是漏洞，二是蜜罐被攻破导致侵入内网，三是HW期间攻击队不认是蜜罐。第一点，监管单位（看你在的行业有没有监管）有可能认为是正常系统的漏洞，而通报企业，我们找CERT打电话问了，目前CERT不接受备案，没有好办法。第二点，关于蜜罐被攻破的问题比较容易解决，将蜜罐部署在独立的云上或独立的安全域中进行隔离。第三点，HW期间可以向裁判组报备，裁判组会处理，不会通知攻击方。

关于生产环境中部署信息泄露类蜜罐问题，找关系好的团队长和开发，分期推进，不要急于一次完成。这类蜜罐也不存在被攻破的问题，可以放心利用。

最后是此类实践细节不方便公开，公开就失效了。执行上较简单，可私聊。