國家保密局網(wǎng)站>>保密科技

論蜜罐及其反制技術(shù)

2024年06月20日    來(lái)源:國家保密科技測評中心【字體: 打印

【摘 要】 本文闡述了蜜罐的防護方法、蜜罐的引誘能力及蜜罐分類(lèi),并結合蜜罐的特點(diǎn),詳細論述了蜜罐反制技術(shù),以期為蜜罐的開(kāi)發(fā)使用及網(wǎng)絡(luò )安全的主動(dòng)解決方案提供研究思路。

【關(guān)鍵詞】 蜜罐 蜜罐反制 未知威脅 網(wǎng)絡(luò )安全

1 引言

隨著(zhù)信息技術(shù)的不斷發(fā)展,物聯(lián)網(wǎng)、云計算、人工智能(AI)等技術(shù)深刻影響著(zhù)我們的工作、學(xué)習、生活。網(wǎng)絡(luò )技術(shù)的發(fā)展同樣帶來(lái)諸多隱患,網(wǎng)絡(luò )安全成為無(wú)法回避的關(guān)鍵性問(wèn)題。從早年的“熊貓燒香”“永恒之藍”,到勒索病毒、高級可持續威脅(APT)攻擊,網(wǎng)絡(luò )攻擊方式多種多樣,攻擊成本不斷降低,隱蔽性增強,使溯源取證更加困難。尤其在一些特定領(lǐng)域,如打擊網(wǎng)絡(luò )犯罪過(guò)程中,由于網(wǎng)絡(luò )攻擊手段多樣且手法隱蔽,終端網(wǎng)絡(luò )犯罪的取證素材獲取是網(wǎng)絡(luò )犯罪取證的難點(diǎn),研究并實(shí)現未知攻擊鏈各個(gè)階段相應取證素材的獲取技術(shù)已迫在眉睫。

基于蜜罐防御體系的出現打破了防守方只能被動(dòng)防守的局面,防守方不僅能在攻擊者接觸到真實(shí)資產(chǎn)前做出反應,而且還能采取富有針對性的反制措施,解決相關(guān)部門(mén)對網(wǎng)絡(luò )攻擊事件調查取證困難的問(wèn)題。本文對蜜罐與蜜罐反制進(jìn)行總結和分析,對仿真、反制技術(shù)進(jìn)行了闡述,并指出蜜罐所能達到的攻擊防御效果。

2 蜜罐闡述

根據蜜罐仿真程度及交互能力,可分為低交互蜜罐、中交互蜜罐、高交互蜜罐,如圖1所示。

圖1 蜜罐類(lèi)型

低交互蜜罐是指實(shí)現某個(gè)特定服務(wù)模擬,可以模擬這個(gè)服務(wù)的全部交互,也可以是部分服務(wù)的模擬,交互程度可以是攻擊者初始訪(fǎng)問(wèn)的一個(gè)反饋。這種蜜罐雖然仿真程度不高,但是已經(jīng)達到了引誘攻擊者,并捕獲其IP、協(xié)議、端口及請求載荷等信息的目的。低交互蜜罐因其創(chuàng )建釋放快捷、資源占用低、協(xié)議輕便的特點(diǎn),目前在威脅檢測方面應用普遍。

中交互蜜罐除了要具備特定服務(wù)的模擬外,還要對設備環(huán)境進(jìn)行模擬。正常應用程序、惡意二進(jìn)制文件都需要在系統環(huán)境中執行,假如1個(gè)攻擊者上傳了1個(gè)惡意文件,執行后釋放出動(dòng)態(tài)鏈接文件并創(chuàng )建出系統服務(wù),產(chǎn)生2個(gè)進(jìn)程,1個(gè)用來(lái)挖礦,1個(gè)用來(lái)進(jìn)行橫向移動(dòng),中交互蜜罐會(huì )把整個(gè)攻擊過(guò)程全部記錄下來(lái),并且保存攻擊文件。中交互蜜罐是基于進(jìn)程級的服務(wù)模擬,能夠提供更完整的攻擊交互,為溯源留存攻擊記錄和攻擊文件。

高交互蜜罐是基于真實(shí)的系統和服務(wù)構建的。雖然中交互蜜罐已經(jīng)可以提供足夠的交互能力,但面對APT攻擊時(shí)容易被識破,攻擊者長(cháng)期對被攻擊者進(jìn)行富有針對性的、持續性的攻擊,熟悉被攻擊者的業(yè)務(wù)環(huán)境。因此,高交互蜜罐需要用戶(hù)參與設計,模擬出符合用戶(hù)業(yè)務(wù)及物理空間的蜜罐,針對載荷的信息建立模型,以虛擬出的真實(shí)的業(yè)務(wù)環(huán)境誘騙高級別攻擊者實(shí)施攻擊,從而捕獲高級別攻擊者。

3蜜罐反制技術(shù)

蜜罐攻擊反制的目的是獲取攻擊者的有用信息,是攻擊溯源環(huán)節的一部分,而不是以暴制暴。網(wǎng)絡(luò )攻防長(cháng)久以來(lái)存在著(zhù)攻強守弱的局面,攻擊方可以在任何時(shí)間、使用任何攻擊手段實(shí)施攻擊,而防守方只能被動(dòng)防守。蜜罐則具備主動(dòng)防御能力,它可以通過(guò)主動(dòng)布防,主動(dòng)示弱攻擊者,并且進(jìn)行反制,使網(wǎng)絡(luò )攻擊不再是一個(gè)沒(méi)有損失、只有收益的事情。攻擊者要為其網(wǎng)絡(luò )攻擊行為承擔被發(fā)現的風(fēng)險,以及法律責任,這對從事網(wǎng)絡(luò )犯罪、威脅網(wǎng)絡(luò )安全的不法分子起到了威懾作用。

3.1 Web蜜罐反制

瀏覽器反制主要利用了Js腳本攻擊的原理。jsonp解決跨域問(wèn)題的同時(shí)帶來(lái)了安全性問(wèn)題,攻擊者利用<script>標簽獲得json數據,執行后可獲取敏感數據。一般這種攻擊先會(huì )對Web進(jìn)行整體測試,了解功能和調用情況后將腳本代碼插入頁(yè)面,用戶(hù)瀏覽頁(yè)面進(jìn)行輸入時(shí),js腳本會(huì )無(wú)聲無(wú)息地執行,從而獲取攻擊者的信息。使用蜜罐進(jìn)行反制時(shí),首先需模擬出業(yè)務(wù)系統的Web網(wǎng)站,偽裝網(wǎng)站里內置了js反制腳本,當攻擊者被誘導,通過(guò)瀏覽器訪(fǎng)問(wèn)Web蜜罐時(shí)腳本會(huì )自動(dòng)執行,獲取攻擊者的硬件指紋信息與網(wǎng)絡(luò )攻擊信息。將這2種信息相關(guān)聯(lián)并溯源分析,就可定位攻擊者。通過(guò)這種方式,可有效獲取攻擊者信息,包括瀏覽器、屏幕、硬件、頁(yè)面、插件、網(wǎng)絡(luò )、網(wǎng)絡(luò )社交,如表1所示。

表1 Web反制獲取信息列舉

網(wǎng)絡(luò )社交信息的獲取,可通過(guò)跨站跨域模擬請求,獲取瀏覽器中社交網(wǎng)站的賬戶(hù)緩存信息。

如圖2所示,在仿真Web頁(yè)面上,可以添加注冊流程,需要輸入手機號碼作為賬號名,從而獲取攻擊者的手機號,這個(gè)注冊流程可以接入真實(shí)的短信網(wǎng)關(guān),發(fā)送真實(shí)的短信驗證碼。

圖2 獲取手機號

通過(guò)同樣的方法,可在仿真Web頁(yè)面上添加微信掃一掃二維碼,偽裝成公眾號或客服等,引誘攻擊者掃描,之后可以使用網(wǎng)上開(kāi)源免費的后臺登記訪(fǎng)客系統,獲取掃描者的微信信息。

在Web上預置代碼書(shū)寫(xiě)不規范的漏洞也是反制方法之一。代碼編寫(xiě)具有一定的書(shū)寫(xiě)規范,代碼注釋是代碼編寫(xiě)中不可缺少的一部分,但是當項目上線(xiàn)代碼打包后,這些注釋必須要全部清除,避免直接暴露出來(lái)。利用這一點(diǎn),可以在仿真的Web頁(yè)面里制造代碼注釋未刪除的假象,如將“//mysql數據庫10.0.0.1 root/admin@123”這樣的注釋?zhuān)踩朊酃薜墓W(wǎng)IP,模擬成開(kāi)發(fā)時(shí)的后端服務(wù)器,從而欺騙攻擊者,引誘攻擊者進(jìn)行攻擊。

3.2 數據庫蜜罐反制

MySQL反制蜜罐的工作原理是通過(guò)搭建一個(gè)簡(jiǎn)單的MySQ服務(wù),如果攻擊者對目標進(jìn)行3306端口爆破,且嘗試使用mysql客戶(hù)端工具遠程連接MySQL蜜罐服務(wù)器,就可能獲取攻擊者的IP、讀取本地文件,包括微信配置文件等。MySQL服務(wù)端能夠用讀取命令獲取MYSQL客戶(hù)端的任意文件,然后偽造惡意服務(wù)器向連接這個(gè)服務(wù)器的客戶(hù)端發(fā)送讀取文件的載荷(payload)。

3.3 誘餌反制

誘餌反制的原理是利用脫敏的用戶(hù)數據文件,或是可執行程序,如虛擬專(zhuān)用網(wǎng)(VPN)安裝程序,把其與反制程序捆綁到一起,通過(guò)對反制程序添加花指令、編譯器多次編譯、對shellcode編碼、程序加殼等多種方式對反制程序打包、混淆,同時(shí)在反制程序運行時(shí)減少對系統的修改,減少敏感行為應用程序接口(API)調用,多在內存里進(jìn)行操作,使用反彈的連接,對傳輸數據進(jìn)行壓縮、加密等方式繞過(guò)殺毒軟件攔截。此方法支持獲取攻擊者終端中的文件、主機名、主機權限、操作系統、用戶(hù)信息、網(wǎng)卡信息等,如圖3所示。

圖3 觸碰誘餌

反制終端的信息在回傳時(shí),可于蜜罐管理頁(yè)接收信息,此時(shí)需要連接互聯(lián)網(wǎng)在公網(wǎng)搭建一個(gè)接收服務(wù)端,并且IP應歸屬被攻擊IP地址,這樣在回傳的時(shí)候哪怕攻擊者發(fā)現有外發(fā)請求,但因IP地址不是可疑的,可以避免攻擊者發(fā)現疑點(diǎn)漏洞,刪除反制文件。

3.4 陷阱反制

蜜罐系統一般支持釣魚(yú)郵件自定義功能,原理是在系統中生成一封郵件,通過(guò)郵件服務(wù)器發(fā)送到指定郵箱,如果此郵箱被攻擊爆破,攻擊者打開(kāi)了釣魚(yú)郵件,就會(huì )產(chǎn)生告警信息。另外郵件里面的內容同樣可以偽造成虛假信息,把蜜罐IP寫(xiě)進(jìn)去,連環(huán)誘騙攻擊者。

另外,接收釣魚(yú)郵件的郵箱可以使用一個(gè)新的釣魚(yú)郵箱,設置成弱口令,植入到偽裝Web頁(yè)面里,故意暴露給攻擊者進(jìn)行爆破。

4結語(yǔ)

本文對蜜罐技術(shù)及蜜罐的反制思路進(jìn)行了闡述,明確了蜜罐作為一種主動(dòng)防御手段,其溯源與反制能力的效果及發(fā)揮空間,列舉了蜜罐反制技術(shù)的方法,以期為蜜罐的開(kāi)發(fā)使用及網(wǎng)絡(luò )安全的主動(dòng)解決方案提供研究思路。

(原載于《保密科學(xué)技術(shù)》雜志2023年4月刊)