近幾年,攻防演練在各行業(yè)里常態(tài)化開(kāi)展,對(duì)于防守方如何能夠在攻防演練中取得好的成績(jī),蜜罐類(lèi)產(chǎn)品的使用必不可少。
本文結(jié)合實(shí)際使用經(jīng)驗(yàn)分享DecoyMini(吉星?智能仿真與誘捕防御系統(tǒng),以下簡(jiǎn)稱(chēng)吉星)在攻防演練場(chǎng)景下的使用方法和技巧。吉星采用輕量化仿真誘捕技術(shù),具備豐富的攻擊誘捕和溯源分析能力;支持插件化的仿真模板,提供靈活的蜜罐自定義能力,具備多樣化的攻擊誘捕、分析和處置手段,支持本地高質(zhì)量?jī)?nèi)生情報(bào)輸出。
在攻防演練中,攻擊方的攻擊方法也是有套路可循的,通常來(lái)說(shuō)分為三個(gè)階段:分別是信息收集、攻擊嘗試,單點(diǎn)突破。
在信息收集階段,攻擊方會(huì)廣泛收集攻擊目標(biāo)的各種信息;進(jìn)入正式攻防演練后,攻擊方將會(huì)利用前期偵查到的信息,對(duì)收集到的系統(tǒng)進(jìn)行攻擊嘗試;當(dāng)發(fā)現(xiàn)感興趣的或可利用的目標(biāo)系統(tǒng)時(shí),就會(huì)利用工具等進(jìn)行單點(diǎn)突破攻擊,嘗試獲取系統(tǒng)權(quán)限。
結(jié)合蜜罐的實(shí)戰(zhàn)應(yīng)用經(jīng)驗(yàn),針對(duì)以上攻擊方各個(gè)攻擊階段,可以采取如下針對(duì)性的防守策略:
針對(duì)信息收集階段:提前部署好蜜罐,將蜜罐映射到外網(wǎng),暴露給攻擊方;
針對(duì)攻擊嘗試階段:通過(guò)攻擊監(jiān)測(cè)第一時(shí)間發(fā)現(xiàn)攻擊方對(duì)蜜罐的攻擊行為,防守方可提前采取措施,對(duì)攻擊方進(jìn)行有效防御和牽制,贏得寶貴的防御時(shí)間;
針對(duì)單點(diǎn)突破階段:可以利用蜜罐溯源能力進(jìn)行攻擊溯源,或者利用蜜罐投遞定制的溯源反制載荷,引誘攻擊者去訪問(wèn),來(lái)對(duì)攻擊主機(jī)進(jìn)行控制,實(shí)現(xiàn)對(duì)攻擊方的溯源反制,獲得溯源得分。
1.信息收集階段
在信息收集階段,需要提前部署好蜜罐,將蜜罐映射到外網(wǎng)。為了能更有效迷惑攻擊方,可以利用吉星的業(yè)務(wù)服務(wù)仿真、主機(jī)仿真、漏洞仿真等功能將日常使用的業(yè)務(wù)系統(tǒng)和環(huán)境制作成蜜罐來(lái)進(jìn)行部署。
1.1.業(yè)務(wù)服務(wù)仿真
吉星已經(jīng)內(nèi)置了常用的服務(wù)、中間件以及典型的安全設(shè)備仿真模板,在能夠連接互聯(lián)網(wǎng)的環(huán)境,使用論壇賬戶(hù)登錄后,點(diǎn)擊"下載全部"按鈕,就可以一鍵自動(dòng)下載技術(shù)論壇里常用仿真模板集合。
內(nèi)置的仿真模板下載后就可以直接部署。對(duì)于自有的業(yè)務(wù)系統(tǒng),吉星提供了智能WEB仿真功能,配置要仿真的業(yè)務(wù)系統(tǒng)地址,系統(tǒng)可以自動(dòng)爬取業(yè)務(wù)系統(tǒng)的頁(yè)面數(shù)據(jù)來(lái)生成業(yè)務(wù)系統(tǒng)的仿真模板。
對(duì)于私有協(xié)議和其他自定義仿真需求,吉星提供了一個(gè)可以靈活自定義仿真內(nèi)容的可視化仿真編排引擎,通過(guò)界面自定義攻擊請(qǐng)求的解析方法和動(dòng)態(tài)響應(yīng)數(shù)據(jù),可以靈活擴(kuò)展仿真內(nèi)容,實(shí)現(xiàn)對(duì)新的網(wǎng)絡(luò)協(xié)議或服務(wù)進(jìn)行仿真。詳細(xì)配置方法請(qǐng)查看吉星幫助文檔。
當(dāng)準(zhǔn)備好仿真模板后,就可以部署蜜罐了,進(jìn)入“誘捕”-> “誘捕策略”界面,選擇需要使用的仿真模板,配置蜜罐訪問(wèn)參數(shù),就可以快速部署蜜罐實(shí)例。吉星支持在多網(wǎng)口同時(shí)部署蜜罐,通過(guò)配置探針節(jié)點(diǎn)的誘捕網(wǎng)口,可以將蜜罐部署到不同的網(wǎng)絡(luò)接口上。
1.2.主機(jī)仿真
通常仿真操作系統(tǒng)、主機(jī)終端需要使用基于虛擬機(jī)或容器的高交互蜜罐來(lái)實(shí)現(xiàn),一般在商用蜜罐產(chǎn)品里才支持。吉星作為免費(fèi)蜜罐軟件也提供了智能仿真主機(jī)的功能,在不使用虛擬機(jī)、僅需要極小資源的情況下支持對(duì)主機(jī)終端提供中高交互的仿真能力。其原理是通過(guò)SSH等協(xié)議連接目標(biāo)主機(jī)自動(dòng)獲取該主機(jī)的各種信息和常見(jiàn)命令執(zhí)行結(jié)果,從而快速構(gòu)建出一個(gè)克隆的高仿真的主機(jī)終端環(huán)境。利用此功能,可以將自有的業(yè)務(wù)系統(tǒng)主機(jī)制作成蜜罐部署出來(lái),這樣在攻防演練實(shí)戰(zhàn)場(chǎng)景下對(duì)攻擊的誘捕效果更佳。
在“增加仿真主機(jī)”界面,配置待仿真的主機(jī)信息,包括目標(biāo)主機(jī)連接信息、仿真文件目錄范圍、仿真命令列表等,點(diǎn)擊“增加”按鈕后開(kāi)始自動(dòng)獲取仿真主機(jī)的數(shù)據(jù),待獲取完成后,就可以生成對(duì)應(yīng)主機(jī)的仿真模板。
主機(jī)仿真模板生成好后,就可以在“誘捕”-> “誘捕策略”里進(jìn)行部署。
部署后通過(guò)SSH等方式連接蜜罐,終端的輸入輸出可以達(dá)到以假亂真的效果。
1.3.漏洞仿真
吉星還有一個(gè)很有特色的功能,就是支持漏洞仿真。Nuclei(https://github.com/projectdiscovery/nuclei)是一個(gè)開(kāi)源的漏洞掃描工具,里面包含了豐富的漏洞檢測(cè)模板,吉星支持直接利用Nuclei漏洞檢測(cè)模板實(shí)現(xiàn)對(duì)該漏洞進(jìn)行仿真的功能,同時(shí)也提供擴(kuò)展語(yǔ)法支持更靈活的自定義漏洞仿真能力。
吉星已經(jīng)內(nèi)置了大量的漏洞仿真模板,對(duì)于新的漏洞仿真需求,可以在“漏洞仿真模板”管理界面點(diǎn)擊"增加"按鈕,輸入Nuclei漏洞檢測(cè)規(guī)則及相關(guān)屬性后進(jìn)行增加。
吉星在標(biāo)準(zhǔn)Nuclei漏洞檢測(cè)模板語(yǔ)法基礎(chǔ)上,支持?jǐn)U展語(yǔ)法,可以提供更靈活的漏洞自定義仿真能力。具體配置方法,可以查看吉星幫助文檔。
增加好漏洞仿真模板后,在部署WEB類(lèi)蜜罐時(shí),就可以配置該WEB蜜罐同時(shí)仿真的漏洞列表。
部署后,使用Nuclei等漏洞掃描工具對(duì)蜜罐進(jìn)行掃描,就可以?huà)呙璧脚渲玫姆抡媛┒戳斜怼?/span>
2.攻擊嘗試階段
在完成蜜罐部署,進(jìn)入正式攻防演練后,可以按需配置針對(duì)性的攻擊誘捕和檢測(cè)規(guī)則,提供對(duì)攻擊方的各種攻擊嘗試行為進(jìn)行監(jiān)測(cè)和分析。
2.1.攻擊誘捕
部署好蜜罐后,在“誘捕策略”->“參數(shù)配置”標(biāo)簽頁(yè)可以配置更多攻擊誘捕參數(shù)。
誘捕參數(shù)主要包括針對(duì)PING監(jiān)測(cè)、TCP掃描監(jiān)測(cè)、TCP嘗試連接監(jiān)測(cè)、TCP連接監(jiān)測(cè)、網(wǎng)絡(luò)攻擊監(jiān)測(cè)等,根據(jù)監(jiān)測(cè)需求可以按需啟用這些誘捕功能。
對(duì)于攻擊方的攻擊行為,吉星基于攻擊特征匹配(使用Snort規(guī)則語(yǔ)法定義)提供對(duì)攻擊手法進(jìn)行檢測(cè)的能力,系統(tǒng)已經(jīng)內(nèi)置了典型的攻擊特征規(guī)則,可以參考Snort規(guī)則語(yǔ)法自定義新的規(guī)則,當(dāng)攻擊流量匹配到攻擊特征規(guī)則后,將生成誘捕日志和風(fēng)險(xiǎn)事件。
吉星還支持威脅情報(bào)檢測(cè)功能,通過(guò)定期和云端威脅情報(bào)平臺(tái)同步,及時(shí)更新最新的情報(bào)數(shù)據(jù)到本地。從實(shí)際使用情況看吉星對(duì)互聯(lián)網(wǎng)掃描器的掃描行為識(shí)別比較準(zhǔn)確,同時(shí)也支持對(duì)惡意IP和惡意文件的識(shí)別。
2.2.監(jiān)測(cè)分析
在完成蜜罐部署和誘捕策略配置后,日常的主要工作就是對(duì)攻擊進(jìn)行監(jiān)測(cè)了。在系統(tǒng)“攻擊”->“風(fēng)險(xiǎn)事件”界面,提供了對(duì)風(fēng)險(xiǎn)事件進(jìn)行集中監(jiān)控和綜合管理的功能。
風(fēng)險(xiǎn)事件為攻擊日志經(jīng)過(guò)歸并、去重后的攻擊記錄,按時(shí)間由近到遠(yuǎn)進(jìn)行排序,支持按不同類(lèi)別進(jìn)行分類(lèi)展示,點(diǎn)擊對(duì)應(yīng)的標(biāo)簽頁(yè)便可以展示對(duì)應(yīng)分類(lèi)的風(fēng)險(xiǎn)事件。系統(tǒng)默認(rèn)類(lèi)別包括:
風(fēng)險(xiǎn)事件:展示攻擊者執(zhí)行的攻擊事件;
掃描器事件:展示由掃描器、掃描工具等產(chǎn)生的掃描事件;
自定義查詢(xún):展示所有事件,可以自定義查詢(xún)所關(guān)注的事件;
點(diǎn)擊事件列表或事件詳情中的“攻擊IP”,可以展示對(duì)應(yīng)攻擊IP的攻擊者畫(huà)像信息,通過(guò)畫(huà)像,可以查看到攻擊者的基本信息、攻擊主機(jī)特征、瀏覽器特征、賬戶(hù)信息、主機(jī)曾使用的服務(wù)、攻擊過(guò)的蜜罐列表等。
點(diǎn)擊事件列表或事件詳情中的“被攻擊IP”,可以查看該IP畫(huà)像信息,主要包括在該IP上部署的蜜罐被攻擊情況,以及攻擊的主要來(lái)源,圓點(diǎn)越大代表攻擊/被攻擊的次數(shù)越多。
在事件詳情中,點(diǎn)擊攻擊IP后的更多按鈕,支持一鍵跳轉(zhuǎn)第三方威脅情報(bào)平臺(tái)功能,系統(tǒng)已經(jīng)預(yù)置了奇安信威脅情報(bào)中心、守望者威脅情報(bào)平臺(tái)查詢(xún)接口,點(diǎn)擊后可以直接跳轉(zhuǎn)到對(duì)應(yīng)威脅情報(bào)平臺(tái)查詢(xún)?cè)揑P更多威脅信息。
如果需要查詢(xún)其他第三方威脅情報(bào)平臺(tái),吉星也提供了擴(kuò)展支持能力,在“系統(tǒng)”/ “參數(shù)配置”/“情報(bào)查詢(xún)”里可以按需增加。
3.單點(diǎn)突破階段
在攻擊方發(fā)現(xiàn)感興趣的目標(biāo)系統(tǒng)后,就會(huì)對(duì)系統(tǒng)展開(kāi)攻擊,嘗試獲取系統(tǒng)權(quán)限。在此階段,通過(guò)吉星可以實(shí)現(xiàn)基礎(chǔ)的攻擊溯源能力和聯(lián)動(dòng)處置能力。
3.1.攻擊溯源
吉星內(nèi)置了基礎(chǔ)的攻擊溯源能力,支持通過(guò)webjs來(lái)自動(dòng)獲取攻擊者主機(jī)、瀏覽器等特征信息。在“溯源信息”管理界面,可以查看到系統(tǒng)已經(jīng)抓取到的攻擊者信息列表。
雙擊列表項(xiàng)或點(diǎn)擊“分析”按鈕,可以查看攻擊者畫(huà)像信息,主要包括基本信息、瀏覽器特征、賬號(hào)信息和主機(jī)特征等信息。
吉星預(yù)留了WEB溯源擴(kuò)展接口,利用接口可以將其他方式采集到的設(shè)備指紋、社交賬號(hào)等溯源信息進(jìn)行統(tǒng)一上報(bào)管理。在需要增加自定義溯源功能的WEB蜜罐頁(yè)面里,加入如下腳本:
更詳細(xì)的操作介紹,請(qǐng)參考吉星幫助手冊(cè)。
除開(kāi)WEB溯源外,也可以利用FTP、WEB等蜜罐來(lái)投遞定制的溯源反制蜜餌文件,當(dāng)攻擊者訪問(wèn)蜜罐里的蜜餌文件后,攻擊主機(jī)將會(huì)被防守方控制,實(shí)現(xiàn)對(duì)攻擊方的溯源反制。
3.2.聯(lián)動(dòng)處置
在攻防演練中,對(duì)攻擊事件的實(shí)時(shí)通知和處置也是至關(guān)重要。吉星支持多種聯(lián)動(dòng)處置方式,當(dāng)產(chǎn)生了指定的風(fēng)險(xiǎn)事件或誘捕日志后,支持通過(guò)郵件、彈窗、企業(yè)微信,釘釘、飛信等方式及時(shí)發(fā)送告警通知監(jiān)控人員,通過(guò)Syslog將告警發(fā)送到目標(biāo)設(shè)備或系統(tǒng)進(jìn)行聯(lián)動(dòng)處置。
內(nèi)生情報(bào)是威脅情報(bào)體系重要組成部分,利用內(nèi)生情報(bào)可以有效提高對(duì)本地攻擊的監(jiān)測(cè)、預(yù)警和響應(yīng)能力。吉星支持輸出列表格式和STIX2標(biāo)準(zhǔn)格式內(nèi)生情報(bào),可以應(yīng)用到網(wǎng)關(guān)等設(shè)備上對(duì)攻擊進(jìn)行及時(shí)封堵,應(yīng)用到分析平臺(tái)上協(xié)助對(duì)攻擊進(jìn)行發(fā)現(xiàn)和分析。
4.總結(jié)
吉星作為一款免費(fèi)的蜜罐軟件,具備功能完備、高可擴(kuò)展的攻擊仿真誘捕能力,采用軟件模擬的輕量化仿真誘捕技術(shù),避免了傳統(tǒng)蜜罐可能會(huì)被逃逸成為攻擊跳板的風(fēng)險(xiǎn),是一款安全穩(wěn)定、可以媲美商業(yè)蜜罐產(chǎn)品的免費(fèi)蜜罐軟件,是企業(yè)零成本構(gòu)建主動(dòng)防御能力的得力工具,可以放心的在各種攻防演練場(chǎng)景中使用,有效提升對(duì)攻擊的感知監(jiān)測(cè)和處置響應(yīng)能力。對(duì)于有攻防演練監(jiān)測(cè)需求的用戶(hù),不妨一試。
下載地址:
Github:https://github.com/decoymini/DecoyMini
備用鏈接:https://decoymini.decoyit.com/
幫助文檔:http://help.decoymini.com/