近幾年,攻防演練在各行業(yè)里常態(tài)化開展,對于防守方如何能夠在攻防演練中取得好的成績,蜜罐類產(chǎn)品的使用必不可少。
本文結(jié)合實(shí)際使用經(jīng)驗(yàn)分享DecoyMini(吉星?智能仿真與誘捕防御系統(tǒng),以下簡稱吉星)在攻防演練場景下的使用方法和技巧。吉星采用輕量化仿真誘捕技術(shù),具備豐富的攻擊誘捕和溯源分析能力;支持插件化的仿真模板,提供靈活的蜜罐自定義能力,具備多樣化的攻擊誘捕、分析和處置手段,支持本地高質(zhì)量內(nèi)生情報輸出。
在攻防演練中,攻擊方的攻擊方法也是有套路可循的,通常來說分為三個階段:分別是信息收集、攻擊嘗試,單點(diǎn)突破。
在信息收集階段,攻擊方會廣泛收集攻擊目標(biāo)的各種信息;進(jìn)入正式攻防演練后,攻擊方將會利用前期偵查到的信息,對收集到的系統(tǒng)進(jìn)行攻擊嘗試;當(dāng)發(fā)現(xiàn)感興趣的或可利用的目標(biāo)系統(tǒng)時,就會利用工具等進(jìn)行單點(diǎn)突破攻擊,嘗試獲取系統(tǒng)權(quán)限。
結(jié)合蜜罐的實(shí)戰(zhàn)應(yīng)用經(jīng)驗(yàn),針對以上攻擊方各個攻擊階段,可以采取如下針對性的防守策略:
針對信息收集階段:提前部署好蜜罐,將蜜罐映射到外網(wǎng),暴露給攻擊方;
針對攻擊嘗試階段:通過攻擊監(jiān)測第一時間發(fā)現(xiàn)攻擊方對蜜罐的攻擊行為,防守方可提前采取措施,對攻擊方進(jìn)行有效防御和牽制,贏得寶貴的防御時間;
針對單點(diǎn)突破階段:可以利用蜜罐溯源能力進(jìn)行攻擊溯源,或者利用蜜罐投遞定制的溯源反制載荷,引誘攻擊者去訪問,來對攻擊主機(jī)進(jìn)行控制,實(shí)現(xiàn)對攻擊方的溯源反制,獲得溯源得分。
1.信息收集階段
在信息收集階段,需要提前部署好蜜罐,將蜜罐映射到外網(wǎng)。為了能更有效迷惑攻擊方,可以利用吉星的業(yè)務(wù)服務(wù)仿真、主機(jī)仿真、漏洞仿真等功能將日常使用的業(yè)務(wù)系統(tǒng)和環(huán)境制作成蜜罐來進(jìn)行部署。
1.1.業(yè)務(wù)服務(wù)仿真
吉星已經(jīng)內(nèi)置了常用的服務(wù)、中間件以及典型的安全設(shè)備仿真模板,在能夠連接互聯(lián)網(wǎng)的環(huán)境,使用論壇賬戶登錄后,點(diǎn)擊"下載全部"按鈕,就可以一鍵自動下載技術(shù)論壇里常用仿真模板集合。
內(nèi)置的仿真模板下載后就可以直接部署。對于自有的業(yè)務(wù)系統(tǒng),吉星提供了智能WEB仿真功能,配置要仿真的業(yè)務(wù)系統(tǒng)地址,系統(tǒng)可以自動爬取業(yè)務(wù)系統(tǒng)的頁面數(shù)據(jù)來生成業(yè)務(wù)系統(tǒng)的仿真模板。
對于私有協(xié)議和其他自定義仿真需求,吉星提供了一個可以靈活自定義仿真內(nèi)容的可視化仿真編排引擎,通過界面自定義攻擊請求的解析方法和動態(tài)響應(yīng)數(shù)據(jù),可以靈活擴(kuò)展仿真內(nèi)容,實(shí)現(xiàn)對新的網(wǎng)絡(luò)協(xié)議或服務(wù)進(jìn)行仿真。詳細(xì)配置方法請查看吉星幫助文檔。
當(dāng)準(zhǔn)備好仿真模板后,就可以部署蜜罐了,進(jìn)入“誘捕”-> “誘捕策略”界面,選擇需要使用的仿真模板,配置蜜罐訪問參數(shù),就可以快速部署蜜罐實(shí)例。吉星支持在多網(wǎng)口同時部署蜜罐,通過配置探針節(jié)點(diǎn)的誘捕網(wǎng)口,可以將蜜罐部署到不同的網(wǎng)絡(luò)接口上。
1.2.主機(jī)仿真
通常仿真操作系統(tǒng)、主機(jī)終端需要使用基于虛擬機(jī)或容器的高交互蜜罐來實(shí)現(xiàn),一般在商用蜜罐產(chǎn)品里才支持。吉星作為免費(fèi)蜜罐軟件也提供了智能仿真主機(jī)的功能,在不使用虛擬機(jī)、僅需要極小資源的情況下支持對主機(jī)終端提供中高交互的仿真能力。其原理是通過SSH等協(xié)議連接目標(biāo)主機(jī)自動獲取該主機(jī)的各種信息和常見命令執(zhí)行結(jié)果,從而快速構(gòu)建出一個克隆的高仿真的主機(jī)終端環(huán)境。利用此功能,可以將自有的業(yè)務(wù)系統(tǒng)主機(jī)制作成蜜罐部署出來,這樣在攻防演練實(shí)戰(zhàn)場景下對攻擊的誘捕效果更佳。
在“增加仿真主機(jī)”界面,配置待仿真的主機(jī)信息,包括目標(biāo)主機(jī)連接信息、仿真文件目錄范圍、仿真命令列表等,點(diǎn)擊“增加”按鈕后開始自動獲取仿真主機(jī)的數(shù)據(jù),待獲取完成后,就可以生成對應(yīng)主機(jī)的仿真模板。
主機(jī)仿真模板生成好后,就可以在“誘捕”-> “誘捕策略”里進(jìn)行部署。
部署后通過SSH等方式連接蜜罐,終端的輸入輸出可以達(dá)到以假亂真的效果。
1.3.漏洞仿真
吉星還有一個很有特色的功能,就是支持漏洞仿真。Nuclei(https://github.com/projectdiscovery/nuclei)是一個開源的漏洞掃描工具,里面包含了豐富的漏洞檢測模板,吉星支持直接利用Nuclei漏洞檢測模板實(shí)現(xiàn)對該漏洞進(jìn)行仿真的功能,同時也提供擴(kuò)展語法支持更靈活的自定義漏洞仿真能力。
吉星已經(jīng)內(nèi)置了大量的漏洞仿真模板,對于新的漏洞仿真需求,可以在“漏洞仿真模板”管理界面點(diǎn)擊"增加"按鈕,輸入Nuclei漏洞檢測規(guī)則及相關(guān)屬性后進(jìn)行增加。
吉星在標(biāo)準(zhǔn)Nuclei漏洞檢測模板語法基礎(chǔ)上,支持?jǐn)U展語法,可以提供更靈活的漏洞自定義仿真能力。具體配置方法,可以查看吉星幫助文檔。
增加好漏洞仿真模板后,在部署WEB類蜜罐時,就可以配置該WEB蜜罐同時仿真的漏洞列表。
部署后,使用Nuclei等漏洞掃描工具對蜜罐進(jìn)行掃描,就可以掃描到配置的仿真漏洞列表。
2.攻擊嘗試階段
在完成蜜罐部署,進(jìn)入正式攻防演練后,可以按需配置針對性的攻擊誘捕和檢測規(guī)則,提供對攻擊方的各種攻擊嘗試行為進(jìn)行監(jiān)測和分析。
2.1.攻擊誘捕
部署好蜜罐后,在“誘捕策略”->“參數(shù)配置”標(biāo)簽頁可以配置更多攻擊誘捕參數(shù)。
誘捕參數(shù)主要包括針對PING監(jiān)測、TCP掃描監(jiān)測、TCP嘗試連接監(jiān)測、TCP連接監(jiān)測、網(wǎng)絡(luò)攻擊監(jiān)測等,根據(jù)監(jiān)測需求可以按需啟用這些誘捕功能。
對于攻擊方的攻擊行為,吉星基于攻擊特征匹配(使用Snort規(guī)則語法定義)提供對攻擊手法進(jìn)行檢測的能力,系統(tǒng)已經(jīng)內(nèi)置了典型的攻擊特征規(guī)則,可以參考Snort規(guī)則語法自定義新的規(guī)則,當(dāng)攻擊流量匹配到攻擊特征規(guī)則后,將生成誘捕日志和風(fēng)險事件。
吉星還支持威脅情報檢測功能,通過定期和云端威脅情報平臺同步,及時更新最新的情報數(shù)據(jù)到本地。從實(shí)際使用情況看吉星對互聯(lián)網(wǎng)掃描器的掃描行為識別比較準(zhǔn)確,同時也支持對惡意IP和惡意文件的識別。
2.2.監(jiān)測分析
在完成蜜罐部署和誘捕策略配置后,日常的主要工作就是對攻擊進(jìn)行監(jiān)測了。在系統(tǒng)“攻擊”->“風(fēng)險事件”界面,提供了對風(fēng)險事件進(jìn)行集中監(jiān)控和綜合管理的功能。
風(fēng)險事件為攻擊日志經(jīng)過歸并、去重后的攻擊記錄,按時間由近到遠(yuǎn)進(jìn)行排序,支持按不同類別進(jìn)行分類展示,點(diǎn)擊對應(yīng)的標(biāo)簽頁便可以展示對應(yīng)分類的風(fēng)險事件。系統(tǒng)默認(rèn)類別包括:
風(fēng)險事件:展示攻擊者執(zhí)行的攻擊事件;
掃描器事件:展示由掃描器、掃描工具等產(chǎn)生的掃描事件;
自定義查詢:展示所有事件,可以自定義查詢所關(guān)注的事件;
點(diǎn)擊事件列表或事件詳情中的“攻擊IP”,可以展示對應(yīng)攻擊IP的攻擊者畫像信息,通過畫像,可以查看到攻擊者的基本信息、攻擊主機(jī)特征、瀏覽器特征、賬戶信息、主機(jī)曾使用的服務(wù)、攻擊過的蜜罐列表等。
點(diǎn)擊事件列表或事件詳情中的“被攻擊IP”,可以查看該IP畫像信息,主要包括在該IP上部署的蜜罐被攻擊情況,以及攻擊的主要來源,圓點(diǎn)越大代表攻擊/被攻擊的次數(shù)越多。
在事件詳情中,點(diǎn)擊攻擊IP后的更多按鈕,支持一鍵跳轉(zhuǎn)第三方威脅情報平臺功能,系統(tǒng)已經(jīng)預(yù)置了奇安信威脅情報中心、守望者威脅情報平臺查詢接口,點(diǎn)擊后可以直接跳轉(zhuǎn)到對應(yīng)威脅情報平臺查詢該IP更多威脅信息。
如果需要查詢其他第三方威脅情報平臺,吉星也提供了擴(kuò)展支持能力,在“系統(tǒng)”/ “參數(shù)配置”/“情報查詢”里可以按需增加。
3.單點(diǎn)突破階段
在攻擊方發(fā)現(xiàn)感興趣的目標(biāo)系統(tǒng)后,就會對系統(tǒng)展開攻擊,嘗試獲取系統(tǒng)權(quán)限。在此階段,通過吉星可以實(shí)現(xiàn)基礎(chǔ)的攻擊溯源能力和聯(lián)動處置能力。
3.1.攻擊溯源
吉星內(nèi)置了基礎(chǔ)的攻擊溯源能力,支持通過webjs來自動獲取攻擊者主機(jī)、瀏覽器等特征信息。在“溯源信息”管理界面,可以查看到系統(tǒng)已經(jīng)抓取到的攻擊者信息列表。
雙擊列表項(xiàng)或點(diǎn)擊“分析”按鈕,可以查看攻擊者畫像信息,主要包括基本信息、瀏覽器特征、賬號信息和主機(jī)特征等信息。
吉星預(yù)留了WEB溯源擴(kuò)展接口,利用接口可以將其他方式采集到的設(shè)備指紋、社交賬號等溯源信息進(jìn)行統(tǒng)一上報管理。在需要增加自定義溯源功能的WEB蜜罐頁面里,加入如下腳本:
更詳細(xì)的操作介紹,請參考吉星幫助手冊。
除開WEB溯源外,也可以利用FTP、WEB等蜜罐來投遞定制的溯源反制蜜餌文件,當(dāng)攻擊者訪問蜜罐里的蜜餌文件后,攻擊主機(jī)將會被防守方控制,實(shí)現(xiàn)對攻擊方的溯源反制。
3.2.聯(lián)動處置
在攻防演練中,對攻擊事件的實(shí)時通知和處置也是至關(guān)重要。吉星支持多種聯(lián)動處置方式,當(dāng)產(chǎn)生了指定的風(fēng)險事件或誘捕日志后,支持通過郵件、彈窗、企業(yè)微信,釘釘、飛信等方式及時發(fā)送告警通知監(jiān)控人員,通過Syslog將告警發(fā)送到目標(biāo)設(shè)備或系統(tǒng)進(jìn)行聯(lián)動處置。
內(nèi)生情報是威脅情報體系重要組成部分,利用內(nèi)生情報可以有效提高對本地攻擊的監(jiān)測、預(yù)警和響應(yīng)能力。吉星支持輸出列表格式和STIX2標(biāo)準(zhǔn)格式內(nèi)生情報,可以應(yīng)用到網(wǎng)關(guān)等設(shè)備上對攻擊進(jìn)行及時封堵,應(yīng)用到分析平臺上協(xié)助對攻擊進(jìn)行發(fā)現(xiàn)和分析。
4.總結(jié)
吉星作為一款免費(fèi)的蜜罐軟件,具備功能完備、高可擴(kuò)展的攻擊仿真誘捕能力,采用軟件模擬的輕量化仿真誘捕技術(shù),避免了傳統(tǒng)蜜罐可能會被逃逸成為攻擊跳板的風(fēng)險,是一款安全穩(wěn)定、可以媲美商業(yè)蜜罐產(chǎn)品的免費(fèi)蜜罐軟件,是企業(yè)零成本構(gòu)建主動防御能力的得力工具,可以放心的在各種攻防演練場景中使用,有效提升對攻擊的感知監(jiān)測和處置響應(yīng)能力。對于有攻防演練監(jiān)測需求的用戶,不妨一試。
下載地址:
Github:https://github.com/decoymini/DecoyMini
備用鏈接:https://decoymini.decoyit.com/
幫助文檔:http://help.decoymini.com/