國家保密局網(wǎng)站>>保密科技

論蜜罐及其反制技術(shù)

2024年06月20日    來源:國家保密科技測評中心【字體: 打印

【摘 要】 本文闡述了蜜罐的防護(hù)方法、蜜罐的引誘能力及蜜罐分類,并結(jié)合蜜罐的特點,詳細(xì)論述了蜜罐反制技術(shù),以期為蜜罐的開發(fā)使用及網(wǎng)絡(luò)安全的主動解決方案提供研究思路。

【關(guān)鍵詞】 蜜罐 蜜罐反制 未知威脅 網(wǎng)絡(luò)安全

1 引言

隨著信息技術(shù)的不斷發(fā)展,物聯(lián)網(wǎng)、云計算、人工智能(AI)等技術(shù)深刻影響著我們的工作、學(xué)習(xí)、生活。網(wǎng)絡(luò)技術(shù)的發(fā)展同樣帶來諸多隱患,網(wǎng)絡(luò)安全成為無法回避的關(guān)鍵性問題。從早年的“熊貓燒香”“永恒之藍(lán)”,到勒索病毒、高級可持續(xù)威脅(APT)攻擊,網(wǎng)絡(luò)攻擊方式多種多樣,攻擊成本不斷降低,隱蔽性增強(qiáng),使溯源取證更加困難。尤其在一些特定領(lǐng)域,如打擊網(wǎng)絡(luò)犯罪過程中,由于網(wǎng)絡(luò)攻擊手段多樣且手法隱蔽,終端網(wǎng)絡(luò)犯罪的取證素材獲取是網(wǎng)絡(luò)犯罪取證的難點,研究并實現(xiàn)未知攻擊鏈各個階段相應(yīng)取證素材的獲取技術(shù)已迫在眉睫。

基于蜜罐防御體系的出現(xiàn)打破了防守方只能被動防守的局面,防守方不僅能在攻擊者接觸到真實資產(chǎn)前做出反應(yīng),而且還能采取富有針對性的反制措施,解決相關(guān)部門對網(wǎng)絡(luò)攻擊事件調(diào)查取證困難的問題。本文對蜜罐與蜜罐反制進(jìn)行總結(jié)和分析,對仿真、反制技術(shù)進(jìn)行了闡述,并指出蜜罐所能達(dá)到的攻擊防御效果。

2 蜜罐闡述

根據(jù)蜜罐仿真程度及交互能力,可分為低交互蜜罐、中交互蜜罐、高交互蜜罐,如圖1所示。

圖1 蜜罐類型

低交互蜜罐是指實現(xiàn)某個特定服務(wù)模擬,可以模擬這個服務(wù)的全部交互,也可以是部分服務(wù)的模擬,交互程度可以是攻擊者初始訪問的一個反饋。這種蜜罐雖然仿真程度不高,但是已經(jīng)達(dá)到了引誘攻擊者,并捕獲其IP、協(xié)議、端口及請求載荷等信息的目的。低交互蜜罐因其創(chuàng)建釋放快捷、資源占用低、協(xié)議輕便的特點,目前在威脅檢測方面應(yīng)用普遍。

中交互蜜罐除了要具備特定服務(wù)的模擬外,還要對設(shè)備環(huán)境進(jìn)行模擬。正常應(yīng)用程序、惡意二進(jìn)制文件都需要在系統(tǒng)環(huán)境中執(zhí)行,假如1個攻擊者上傳了1個惡意文件,執(zhí)行后釋放出動態(tài)鏈接文件并創(chuàng)建出系統(tǒng)服務(wù),產(chǎn)生2個進(jìn)程,1個用來挖礦,1個用來進(jìn)行橫向移動,中交互蜜罐會把整個攻擊過程全部記錄下來,并且保存攻擊文件。中交互蜜罐是基于進(jìn)程級的服務(wù)模擬,能夠提供更完整的攻擊交互,為溯源留存攻擊記錄和攻擊文件。

高交互蜜罐是基于真實的系統(tǒng)和服務(wù)構(gòu)建的。雖然中交互蜜罐已經(jīng)可以提供足夠的交互能力,但面對APT攻擊時容易被識破,攻擊者長期對被攻擊者進(jìn)行富有針對性的、持續(xù)性的攻擊,熟悉被攻擊者的業(yè)務(wù)環(huán)境。因此,高交互蜜罐需要用戶參與設(shè)計,模擬出符合用戶業(yè)務(wù)及物理空間的蜜罐,針對載荷的信息建立模型,以虛擬出的真實的業(yè)務(wù)環(huán)境誘騙高級別攻擊者實施攻擊,從而捕獲高級別攻擊者。

3蜜罐反制技術(shù)

蜜罐攻擊反制的目的是獲取攻擊者的有用信息,是攻擊溯源環(huán)節(jié)的一部分,而不是以暴制暴。網(wǎng)絡(luò)攻防長久以來存在著攻強(qiáng)守弱的局面,攻擊方可以在任何時間、使用任何攻擊手段實施攻擊,而防守方只能被動防守。蜜罐則具備主動防御能力,它可以通過主動布防,主動示弱攻擊者,并且進(jìn)行反制,使網(wǎng)絡(luò)攻擊不再是一個沒有損失、只有收益的事情。攻擊者要為其網(wǎng)絡(luò)攻擊行為承擔(dān)被發(fā)現(xiàn)的風(fēng)險,以及法律責(zé)任,這對從事網(wǎng)絡(luò)犯罪、威脅網(wǎng)絡(luò)安全的不法分子起到了威懾作用。

3.1 Web蜜罐反制

瀏覽器反制主要利用了Js腳本攻擊的原理。jsonp解決跨域問題的同時帶來了安全性問題,攻擊者利用<script>標(biāo)簽獲得json數(shù)據(jù),執(zhí)行后可獲取敏感數(shù)據(jù)。一般這種攻擊先會對Web進(jìn)行整體測試,了解功能和調(diào)用情況后將腳本代碼插入頁面,用戶瀏覽頁面進(jìn)行輸入時,js腳本會無聲無息地執(zhí)行,從而獲取攻擊者的信息。使用蜜罐進(jìn)行反制時,首先需模擬出業(yè)務(wù)系統(tǒng)的Web網(wǎng)站,偽裝網(wǎng)站里內(nèi)置了js反制腳本,當(dāng)攻擊者被誘導(dǎo),通過瀏覽器訪問Web蜜罐時腳本會自動執(zhí)行,獲取攻擊者的硬件指紋信息與網(wǎng)絡(luò)攻擊信息。將這2種信息相關(guān)聯(lián)并溯源分析,就可定位攻擊者。通過這種方式,可有效獲取攻擊者信息,包括瀏覽器、屏幕、硬件、頁面、插件、網(wǎng)絡(luò)、網(wǎng)絡(luò)社交,如表1所示。

表1 Web反制獲取信息列舉

網(wǎng)絡(luò)社交信息的獲取,可通過跨站跨域模擬請求,獲取瀏覽器中社交網(wǎng)站的賬戶緩存信息。

如圖2所示,在仿真Web頁面上,可以添加注冊流程,需要輸入手機(jī)號碼作為賬號名,從而獲取攻擊者的手機(jī)號,這個注冊流程可以接入真實的短信網(wǎng)關(guān),發(fā)送真實的短信驗證碼。

圖2 獲取手機(jī)號

通過同樣的方法,可在仿真Web頁面上添加微信掃一掃二維碼,偽裝成公眾號或客服等,引誘攻擊者掃描,之后可以使用網(wǎng)上開源免費(fèi)的后臺登記訪客系統(tǒng),獲取掃描者的微信信息。

在Web上預(yù)置代碼書寫不規(guī)范的漏洞也是反制方法之一。代碼編寫具有一定的書寫規(guī)范,代碼注釋是代碼編寫中不可缺少的一部分,但是當(dāng)項目上線代碼打包后,這些注釋必須要全部清除,避免直接暴露出來。利用這一點,可以在仿真的Web頁面里制造代碼注釋未刪除的假象,如將“//mysql數(shù)據(jù)庫10.0.0.1 root/admin@123”這樣的注釋,植入蜜罐的公網(wǎng)IP,模擬成開發(fā)時的后端服務(wù)器,從而欺騙攻擊者,引誘攻擊者進(jìn)行攻擊。

3.2 數(shù)據(jù)庫蜜罐反制

MySQL反制蜜罐的工作原理是通過搭建一個簡單的MySQ服務(wù),如果攻擊者對目標(biāo)進(jìn)行3306端口爆破,且嘗試使用mysql客戶端工具遠(yuǎn)程連接MySQL蜜罐服務(wù)器,就可能獲取攻擊者的IP、讀取本地文件,包括微信配置文件等。MySQL服務(wù)端能夠用讀取命令獲取MYSQL客戶端的任意文件,然后偽造惡意服務(wù)器向連接這個服務(wù)器的客戶端發(fā)送讀取文件的載荷(payload)。

3.3 誘餌反制

誘餌反制的原理是利用脫敏的用戶數(shù)據(jù)文件,或是可執(zhí)行程序,如虛擬專用網(wǎng)(VPN)安裝程序,把其與反制程序捆綁到一起,通過對反制程序添加花指令、編譯器多次編譯、對shellcode編碼、程序加殼等多種方式對反制程序打包、混淆,同時在反制程序運(yùn)行時減少對系統(tǒng)的修改,減少敏感行為應(yīng)用程序接口(API)調(diào)用,多在內(nèi)存里進(jìn)行操作,使用反彈的連接,對傳輸數(shù)據(jù)進(jìn)行壓縮、加密等方式繞過殺毒軟件攔截。此方法支持獲取攻擊者終端中的文件、主機(jī)名、主機(jī)權(quán)限、操作系統(tǒng)、用戶信息、網(wǎng)卡信息等,如圖3所示。

圖3 觸碰誘餌

反制終端的信息在回傳時,可于蜜罐管理頁接收信息,此時需要連接互聯(lián)網(wǎng)在公網(wǎng)搭建一個接收服務(wù)端,并且IP應(yīng)歸屬被攻擊IP地址,這樣在回傳的時候哪怕攻擊者發(fā)現(xiàn)有外發(fā)請求,但因IP地址不是可疑的,可以避免攻擊者發(fā)現(xiàn)疑點漏洞,刪除反制文件。

3.4 陷阱反制

蜜罐系統(tǒng)一般支持釣魚郵件自定義功能,原理是在系統(tǒng)中生成一封郵件,通過郵件服務(wù)器發(fā)送到指定郵箱,如果此郵箱被攻擊爆破,攻擊者打開了釣魚郵件,就會產(chǎn)生告警信息。另外郵件里面的內(nèi)容同樣可以偽造成虛假信息,把蜜罐IP寫進(jìn)去,連環(huán)誘騙攻擊者。

另外,接收釣魚郵件的郵箱可以使用一個新的釣魚郵箱,設(shè)置成弱口令,植入到偽裝Web頁面里,故意暴露給攻擊者進(jìn)行爆破。

4結(jié)語

本文對蜜罐技術(shù)及蜜罐的反制思路進(jìn)行了闡述,明確了蜜罐作為一種主動防御手段,其溯源與反制能力的效果及發(fā)揮空間,列舉了蜜罐反制技術(shù)的方法,以期為蜜罐的開發(fā)使用及網(wǎng)絡(luò)安全的主動解決方案提供研究思路。

(原載于《保密科學(xué)技術(shù)》雜志2023年4月刊)