【摘 要】 本文闡述了蜜罐的防護(hù)方法、蜜罐的引誘能力及蜜罐分類,并結(jié)合蜜罐的特點(diǎn),詳細(xì)論述了蜜罐反制技術(shù),以期為蜜罐的開發(fā)使用及網(wǎng)絡(luò)安全的主動(dòng)解決方案提供研究思路。
【關(guān)鍵詞】 蜜罐 蜜罐反制 未知威脅 網(wǎng)絡(luò)安全
1 引言
隨著信息技術(shù)的不斷發(fā)展,物聯(lián)網(wǎng)、云計(jì)算、人工智能(AI)等技術(shù)深刻影響著我們的工作、學(xué)習(xí)、生活。網(wǎng)絡(luò)技術(shù)的發(fā)展同樣帶來諸多隱患,網(wǎng)絡(luò)安全成為無法回避的關(guān)鍵性問題。從早年的“熊貓燒香”“永恒之藍(lán)”,到勒索病毒、高級(jí)可持續(xù)威脅(APT)攻擊,網(wǎng)絡(luò)攻擊方式多種多樣,攻擊成本不斷降低,隱蔽性增強(qiáng),使溯源取證更加困難。尤其在一些特定領(lǐng)域,如打擊網(wǎng)絡(luò)犯罪過程中,由于網(wǎng)絡(luò)攻擊手段多樣且手法隱蔽,終端網(wǎng)絡(luò)犯罪的取證素材獲取是網(wǎng)絡(luò)犯罪取證的難點(diǎn),研究并實(shí)現(xiàn)未知攻擊鏈各個(gè)階段相應(yīng)取證素材的獲取技術(shù)已迫在眉睫。
基于蜜罐防御體系的出現(xiàn)打破了防守方只能被動(dòng)防守的局面,防守方不僅能在攻擊者接觸到真實(shí)資產(chǎn)前做出反應(yīng),而且還能采取富有針對(duì)性的反制措施,解決相關(guān)部門對(duì)網(wǎng)絡(luò)攻擊事件調(diào)查取證困難的問題。本文對(duì)蜜罐與蜜罐反制進(jìn)行總結(jié)和分析,對(duì)仿真、反制技術(shù)進(jìn)行了闡述,并指出蜜罐所能達(dá)到的攻擊防御效果。
2 蜜罐闡述
根據(jù)蜜罐仿真程度及交互能力,可分為低交互蜜罐、中交互蜜罐、高交互蜜罐,如圖1所示。
圖1 蜜罐類型
低交互蜜罐是指實(shí)現(xiàn)某個(gè)特定服務(wù)模擬,可以模擬這個(gè)服務(wù)的全部交互,也可以是部分服務(wù)的模擬,交互程度可以是攻擊者初始訪問的一個(gè)反饋。這種蜜罐雖然仿真程度不高,但是已經(jīng)達(dá)到了引誘攻擊者,并捕獲其IP、協(xié)議、端口及請(qǐng)求載荷等信息的目的。低交互蜜罐因其創(chuàng)建釋放快捷、資源占用低、協(xié)議輕便的特點(diǎn),目前在威脅檢測方面應(yīng)用普遍。
中交互蜜罐除了要具備特定服務(wù)的模擬外,還要對(duì)設(shè)備環(huán)境進(jìn)行模擬。正常應(yīng)用程序、惡意二進(jìn)制文件都需要在系統(tǒng)環(huán)境中執(zhí)行,假如1個(gè)攻擊者上傳了1個(gè)惡意文件,執(zhí)行后釋放出動(dòng)態(tài)鏈接文件并創(chuàng)建出系統(tǒng)服務(wù),產(chǎn)生2個(gè)進(jìn)程,1個(gè)用來挖礦,1個(gè)用來進(jìn)行橫向移動(dòng),中交互蜜罐會(huì)把整個(gè)攻擊過程全部記錄下來,并且保存攻擊文件。中交互蜜罐是基于進(jìn)程級(jí)的服務(wù)模擬,能夠提供更完整的攻擊交互,為溯源留存攻擊記錄和攻擊文件。
高交互蜜罐是基于真實(shí)的系統(tǒng)和服務(wù)構(gòu)建的。雖然中交互蜜罐已經(jīng)可以提供足夠的交互能力,但面對(duì)APT攻擊時(shí)容易被識(shí)破,攻擊者長期對(duì)被攻擊者進(jìn)行富有針對(duì)性的、持續(xù)性的攻擊,熟悉被攻擊者的業(yè)務(wù)環(huán)境。因此,高交互蜜罐需要用戶參與設(shè)計(jì),模擬出符合用戶業(yè)務(wù)及物理空間的蜜罐,針對(duì)載荷的信息建立模型,以虛擬出的真實(shí)的業(yè)務(wù)環(huán)境誘騙高級(jí)別攻擊者實(shí)施攻擊,從而捕獲高級(jí)別攻擊者。
3蜜罐反制技術(shù)
蜜罐攻擊反制的目的是獲取攻擊者的有用信息,是攻擊溯源環(huán)節(jié)的一部分,而不是以暴制暴。網(wǎng)絡(luò)攻防長久以來存在著攻強(qiáng)守弱的局面,攻擊方可以在任何時(shí)間、使用任何攻擊手段實(shí)施攻擊,而防守方只能被動(dòng)防守。蜜罐則具備主動(dòng)防御能力,它可以通過主動(dòng)布防,主動(dòng)示弱攻擊者,并且進(jìn)行反制,使網(wǎng)絡(luò)攻擊不再是一個(gè)沒有損失、只有收益的事情。攻擊者要為其網(wǎng)絡(luò)攻擊行為承擔(dān)被發(fā)現(xiàn)的風(fēng)險(xiǎn),以及法律責(zé)任,這對(duì)從事網(wǎng)絡(luò)犯罪、威脅網(wǎng)絡(luò)安全的不法分子起到了威懾作用。
3.1 Web蜜罐反制
瀏覽器反制主要利用了Js腳本攻擊的原理。jsonp解決跨域問題的同時(shí)帶來了安全性問題,攻擊者利用<script>標(biāo)簽獲得json數(shù)據(jù),執(zhí)行后可獲取敏感數(shù)據(jù)。一般這種攻擊先會(huì)對(duì)Web進(jìn)行整體測試,了解功能和調(diào)用情況后將腳本代碼插入頁面,用戶瀏覽頁面進(jìn)行輸入時(shí),js腳本會(huì)無聲無息地執(zhí)行,從而獲取攻擊者的信息。使用蜜罐進(jìn)行反制時(shí),首先需模擬出業(yè)務(wù)系統(tǒng)的Web網(wǎng)站,偽裝網(wǎng)站里內(nèi)置了js反制腳本,當(dāng)攻擊者被誘導(dǎo),通過瀏覽器訪問Web蜜罐時(shí)腳本會(huì)自動(dòng)執(zhí)行,獲取攻擊者的硬件指紋信息與網(wǎng)絡(luò)攻擊信息。將這2種信息相關(guān)聯(lián)并溯源分析,就可定位攻擊者。通過這種方式,可有效獲取攻擊者信息,包括瀏覽器、屏幕、硬件、頁面、插件、網(wǎng)絡(luò)、網(wǎng)絡(luò)社交,如表1所示。
表1 Web反制獲取信息列舉
網(wǎng)絡(luò)社交信息的獲取,可通過跨站跨域模擬請(qǐng)求,獲取瀏覽器中社交網(wǎng)站的賬戶緩存信息。
如圖2所示,在仿真Web頁面上,可以添加注冊流程,需要輸入手機(jī)號(hào)碼作為賬號(hào)名,從而獲取攻擊者的手機(jī)號(hào),這個(gè)注冊流程可以接入真實(shí)的短信網(wǎng)關(guān),發(fā)送真實(shí)的短信驗(yàn)證碼。
圖2 獲取手機(jī)號(hào)
通過同樣的方法,可在仿真Web頁面上添加微信掃一掃二維碼,偽裝成公眾號(hào)或客服等,引誘攻擊者掃描,之后可以使用網(wǎng)上開源免費(fèi)的后臺(tái)登記訪客系統(tǒng),獲取掃描者的微信信息。
在Web上預(yù)置代碼書寫不規(guī)范的漏洞也是反制方法之一。代碼編寫具有一定的書寫規(guī)范,代碼注釋是代碼編寫中不可缺少的一部分,但是當(dāng)項(xiàng)目上線代碼打包后,這些注釋必須要全部清除,避免直接暴露出來。利用這一點(diǎn),可以在仿真的Web頁面里制造代碼注釋未刪除的假象,如將“//mysql數(shù)據(jù)庫10.0.0.1 root/admin@123”這樣的注釋,植入蜜罐的公網(wǎng)IP,模擬成開發(fā)時(shí)的后端服務(wù)器,從而欺騙攻擊者,引誘攻擊者進(jìn)行攻擊。
3.2 數(shù)據(jù)庫蜜罐反制
MySQL反制蜜罐的工作原理是通過搭建一個(gè)簡單的MySQ服務(wù),如果攻擊者對(duì)目標(biāo)進(jìn)行3306端口爆破,且嘗試使用mysql客戶端工具遠(yuǎn)程連接MySQL蜜罐服務(wù)器,就可能獲取攻擊者的IP、讀取本地文件,包括微信配置文件等。MySQL服務(wù)端能夠用讀取命令獲取MYSQL客戶端的任意文件,然后偽造惡意服務(wù)器向連接這個(gè)服務(wù)器的客戶端發(fā)送讀取文件的載荷(payload)。
3.3 誘餌反制
誘餌反制的原理是利用脫敏的用戶數(shù)據(jù)文件,或是可執(zhí)行程序,如虛擬專用網(wǎng)(VPN)安裝程序,把其與反制程序捆綁到一起,通過對(duì)反制程序添加花指令、編譯器多次編譯、對(duì)shellcode編碼、程序加殼等多種方式對(duì)反制程序打包、混淆,同時(shí)在反制程序運(yùn)行時(shí)減少對(duì)系統(tǒng)的修改,減少敏感行為應(yīng)用程序接口(API)調(diào)用,多在內(nèi)存里進(jìn)行操作,使用反彈的連接,對(duì)傳輸數(shù)據(jù)進(jìn)行壓縮、加密等方式繞過殺毒軟件攔截。此方法支持獲取攻擊者終端中的文件、主機(jī)名、主機(jī)權(quán)限、操作系統(tǒng)、用戶信息、網(wǎng)卡信息等,如圖3所示。
圖3 觸碰誘餌
反制終端的信息在回傳時(shí),可于蜜罐管理頁接收信息,此時(shí)需要連接互聯(lián)網(wǎng)在公網(wǎng)搭建一個(gè)接收服務(wù)端,并且IP應(yīng)歸屬被攻擊IP地址,這樣在回傳的時(shí)候哪怕攻擊者發(fā)現(xiàn)有外發(fā)請(qǐng)求,但因IP地址不是可疑的,可以避免攻擊者發(fā)現(xiàn)疑點(diǎn)漏洞,刪除反制文件。
3.4 陷阱反制
蜜罐系統(tǒng)一般支持釣魚郵件自定義功能,原理是在系統(tǒng)中生成一封郵件,通過郵件服務(wù)器發(fā)送到指定郵箱,如果此郵箱被攻擊爆破,攻擊者打開了釣魚郵件,就會(huì)產(chǎn)生告警信息。另外郵件里面的內(nèi)容同樣可以偽造成虛假信息,把蜜罐IP寫進(jìn)去,連環(huán)誘騙攻擊者。
另外,接收釣魚郵件的郵箱可以使用一個(gè)新的釣魚郵箱,設(shè)置成弱口令,植入到偽裝Web頁面里,故意暴露給攻擊者進(jìn)行爆破。
4結(jié)語
本文對(duì)蜜罐技術(shù)及蜜罐的反制思路進(jìn)行了闡述,明確了蜜罐作為一種主動(dòng)防御手段,其溯源與反制能力的效果及發(fā)揮空間,列舉了蜜罐反制技術(shù)的方法,以期為蜜罐的開發(fā)使用及網(wǎng)絡(luò)安全的主動(dòng)解決方案提供研究思路。
(原載于《保密科學(xué)技術(shù)》雜志2023年4月刊)