蜜罐技術
本質上是一種對攻擊方進行欺騙的技術,通過布置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防御方清晰地了解他們所面對的安全威脅,並通過技術和管理手段來增強實際系統的安全防護能力。
使用蜜罐技術的原因
信息安全發展到了今天繁榮的程度,傳統的安全還是靠靜態的特征碼的方式來識別攻擊,但是伴隨着新型的APT攻擊的出現,很多企業才意識到傳統安全技術手段已經無法滿足對內部威脅的及時發現,於是,很多傳統的安全公司大佬都開始轉戰使用動態沙箱技術來解決問題,有賣設備型的例如Symantec ATP硬件配合終端的SEP構成、有360安全衛士聯動威脅情報的方式,來探測未知威脅,當然這種方式主要是針對APT攻擊的第一個環節,你黑客通過社會工程學的手段得到用戶的信息,使用網絡釣魚或者水坑攻擊的方式進入企業內網個人PC。但是要拿到有價值的內部敏感信息,黑客需要進一步部署攻擊鏈,包括獲取憑證、內網資產掃描等探測工作,因為很多行業包括金融機構是不允許在業務服務器上安裝安全解決方案的,甚至配置日志系統都不可以,那么,目前部署蜜罐是最好的解決方案了。
蜜罐技術分析:
蜜罐技術通過建立仿真系統,達到欺騙攻擊者、增加攻擊成本、降低系統安全威脅的目的。同時,蜜罐技術能夠記錄攻擊者使用的攻擊工具和方法以供研究,從而選擇正確的安全措施。蜜罐技術主要由蜜罐欺騙、數據采集、數據控制和數據分析四個關鍵環節組成。
蜜罐欺騙主要通過系統漏洞欺騙、IP欺騙、流量欺騙等技 術手段進行。系統漏洞欺騙通常模擬系統服務和包含漏洞的 端口, 以此吸引攻擊者進行攻擊, 以便通過端口和服務響應收 集所需的信息;IP 欺騙是通過單網卡多IP來誤導攻擊者的判斷, 使其認為存在一個目標網絡可供攻擊; 流量欺騙使用各種流量實時復制與模擬的手段來產生虛擬的網絡流量,使其與真實網絡環境中的流量高度相似, 達到虛構網絡的目的, 從而詐騙攻擊者進行攻擊和利用。
數據捕獲的主要目的是獲取並記錄攻擊者的行為,其具體實現可分為主機捕獲和網絡捕獲兩種形式。主機捕獲在蜜罐主機上獲取並記錄攻擊者行為的數據信息,這種方式快捷簡單,但容易被攻擊者識破;網絡捕獲是指通過構造蜜罐網絡來獲取與記錄攻擊者的行為信息, 這種方式不易被攻擊者發現, 但在環境實現上較為復雜。
數據控制是蜜罐系統的核心功能之一,主要防止攻擊者通過蜜罐系統攻擊其它的信息系統,這就需要對攻擊者的行為進行監控與限制,通常有防火牆控制和路由器控制兩種形式。
數據分析的主要作用是將蜜罐捕獲的各種數據解析為有意義的、可理解的信息,並通過這些有價值的信息來理解和把握攻擊者的攻擊方法和攻擊策略,為攻防的防范提供信息支持。
蜜罐引流技術:
蜜罐防護過程包括誘騙環境構建、入侵行為監控、后期處理措施3個階段。誘騙環境構建:通過構建欺騙性數據、文件等,增加蜜罐環境甜度,引誘攻擊者入侵系統, 實現攻擊交互目的。交互度高低取決於誘騙環境仿真度與真實性,目前主要有模擬環境仿真和真實系統構建方案。
模擬環境仿真方案通過模擬真實系統的重要特 征吸引攻擊者,具備易部署優勢。利用一種或多種 開源蜜罐進行模擬仿真,多蜜罐結合方案有利於不同蜜罐的優勢集成;將仿真程序與虛擬系統結合構建蜜罐自定義架構,提高交互度;對硬件利用模擬器實現硬件虛擬化,避免實際硬件破壞。然而,虛擬特性使模擬環境仿真方案存在被識別風險。
真實系統構建方案則采用真實軟硬件系統作為運作環境,降低識別率,極大提高了攻擊交互度。 在軟件系統方面,采用真實系統接口、真實主機服務、業務運作系統等,具備較高欺騙性與交互 度,但其維護代價較高且受保護資源面臨着一定被 損害風險。在硬件設備方面,可直接利用真實設備 進行攻擊信息誘捕,如將物理可穿戴設備作為引誘 節點、以手機SIM卡作為蜜卡等,通過構建真實軟硬件系統環境提高誘騙度。在低能耗場景下采用真實軟硬件設備引誘攻擊者具有一定優勢,然而對於某些數據交互頻繁的業務系統內,存在高能耗、不易部署、維護成本大等缺陷。
國外的蜜罐誘騙研究:
Sochor等人分析蜜網拓撲模型、SSH仿真感應器攻擊、模擬Windows服務攻擊與Web服務攻擊,研究網絡威脅檢測中蜜罐與蜜網吸引力,即蜜罐甜度。實驗表明安全防御措施對誘惑攻擊者起到重要推動作用。
Dahbul等人利用網絡服務指紋識別增強蜜罐欺騙能力,構建3種攻擊威脅模型來分析指紋識別潛在安全威脅, 並在此基礎上建立蜜罐系統和真實系統,通過開放和配置必要端口、固定時間戳、配置腳本等手段對蜜罐進行系統性增強。
蜜罐架構技術:
1.BitSaucer。它是一個集低交互式和高交互式蜜罐 為一體的混合式蜜罐,同時具備低交互式蜜罐對資源要求低和高 互式蜜罐響應能力高的特征。機制的關鍵在於設計運行在主機上 的代理。代理是守護進程,負責根據網絡流量按需自動生成虛擬 主機並構建高交互式蜜罐。由於高交互式蜜罐是按需生成,大大 降低了資源消耗。
2.Honeynet http://www.honeynet.org/
3.kippo https://github.com/desaster/kippo
4.glastopf https://github.com/mushorg/glastopf
5.elastichoney https://github.com/jordan-wright/elastichoney
6.beeswarm https://github.com/honeynet/beeswarm
7.DejaVU是一款開源欺騙框架,框架都docker搭建,當攻擊者在偵察過程中觸摸誘餌或執行認證嘗試時,會產生高度准確的警報,用於防御者進行調查。
8.MHN(現代蜜網)MHN是一個開源軟件,它簡化了蜜罐的部署,同時便於收集和統計蜜罐的數據。
- 用ThreatStream(http://threatstream.github.io/mhn/)來部署,MHN使用開源蜜罐來收集數據,整理后保存在Mongodb中,收集到的信息也可以通過web接口來展示或者通過開發的API訪問。MHN能夠提供多種開源的蜜罐,可以通過web接口來添加他們。一個蜜罐的部署過程很簡單,只需要粘貼,復制一些命令就可以完成部署,部署完成后,可以通過開源的協議hpfeeds來收集的信息。
- MHN支持以下蜜罐:
- Sort:https://www.snort.org/
- Suricata:http://suricata-ids.org/
- Dionaea:http://dionaea.carnivore.it/,Dionaea是運行於Linux上的一個應用程序,將程序運行於網絡環境下,它開放Internet常見服務的默認端口,當有外來連接時,模擬正常服務給予反饋,同時記錄下出入網絡數據流。網絡數據流經由檢測模塊檢測后按類別進行處理,如果有 shellcode 則進行仿真執行;程序會自動下載 shellcode 中指定或后續攻擊命令指定下載的惡意文件。drops中有一篇介紹:http://drops.wooyun.org/papers/4584
- Conpot:http://conpot.org/
- Kippo:https://github.com/desaster/kippo,它是一個中等交互的蜜罐,能夠下載任意文件。 drops中有一篇介紹:http://drops.wooyun.org/papers/4578
- Amun:http://amunhoney.sourceforge.net/,它是一個低交互式蜜罐,但是已經從2012年之后不在維護了。
- Glastopf:http://glastopf.org/:低交互型Web應用蜜罐, Glastopf蜜罐它能夠模擬成千上萬的web漏洞,針對攻擊的不同攻擊手段來回應攻擊者,然后從對目標Web應用程序的攻擊過程中收集數據。它的目標是針對自動化漏洞掃描/利用工具,通過對漏洞利用方式進行歸類,針對某一類的利用方式返回對應的合理結果,以此實現低交互。
- Wordpot:https://github.com/gbrindisi/wordpot
- ShockPot:https://github.com/threatstream/shockpot,模擬的CVE-2014-6271,即破殼漏洞
- p0f:https://github.com/p0f/p0f
9.Cowrie是一款交互型SSH蜜罐,用於獲取攻擊者用於對SSH進行暴力破解的字典,輸入命令以及上傳或下載惡意文件 這些記錄都會被記載到日志當中或者倒入數據庫當中更方便查詢。
10.Elasticpot: 模擬elastcisearch RCE漏洞的蜜罐,通過偽造函數在/,/_search, /_nodes的請求上回應脆弱ES實例的JSON格式消息。
11.Emobility: 在T-Pot中使用的高交互蜜罐容器, 旨在收集針對下一代交通基礎設施的攻擊動機和方法。Emobility蜜網包含一個中央收費系統,幾個收費點,模擬用戶的事務。一旦攻擊者訪問中控系統web界面,監控並處理運行收費交易,並與收費點交互。除此之外,在隨機時間,黑客可能與正在收取車輛費用的用戶進行交互。
12.Honeytrap: 觀察針對TCP或UDP服務的攻擊,作為一個守護程序模擬一些知名的服務,並能夠分析攻擊字符串,執行相應的下載文件指令。
13.Conpot: 低交互工控蜜罐,提供一系列通用工業控制協議, 能夠模擬復雜的工控基礎設施。
14.Opencanary內網低交互蜜罐正式開源!當前0.4版本與官方保持同步,支持16種協議,24種攻擊特征識別。項目地址:https://github.com/p1r06u3/opencanary_web
蜜罐方向新技術:
蜜罐與攻擊者之間的攻防演化將持續升級,在自身技術方面,提高蜜罐甜度、欺騙能力及改善 傳統架構仍是發展重點,主要有:(1) 人工智能技術與蜜罐相融合:針對入侵者攻擊動機,采用人工智能技術,使蜜罐具備智能交互性,提高蜜罐學習、反識別能力,以此獲取更多 攻擊交互數據有利於防御決策。(2) 區塊鏈技術與蜜罐相融合:針對分布式蜜 罐、分布式蜜網等架構,借鑒區塊鏈分布式、去中 心化技術,建立基於P2P架構的私有鏈或聯盟鏈, 使蜜罐自動化運作並保證系統內部數據隱匿性。(3) 遺傳演化計算與蜜罐相融合:針對攻防環境的復雜、變換,蜜罐可充分利用演化計算的高魯棒性、普適性以適應不同環境下不同問題,使蜜罐具備自適應、自組織、自演化等優勢。
在蜜罐應用方面,蜜罐與新技術應用相融合、 擴展至新興領域是一種未來趨勢: (1) 各層次雲服務(IaaS, PaaS, SaaS)的普及, 為安全人員進行蜜罐研究提供了便利,作為雲計算的延伸,邊緣計算利用了網絡邊緣設備,具有極低時延優勢。將蜜罐與邊緣計算結合,對物聯網終端蜜罐設備和傳感器進行數據收集處理,並將結果傳送至雲端服務層,提高即時處理速度和降低服務端負荷。 (2) 目前蜜罐研究主要針對傳統網絡架構,作 為一種新型優勢網絡架構,SDN(軟件定義網絡)具有可編程、開放接口等特性,而在一些SDN開源項目中,存在拒絕服務攻擊、北向接口協議攻擊等行為,因此,蜜罐可應用至SDN,從控制器、接口等方面誘騙攻擊者,維護網絡安全穩定。 (3) 以硬件軟件高度結合為特征的“新硬件時代”來臨,無人駕駛技術、3D打印等新硬件設備成為攻擊新靶標,可將輕量級蜜罐與新硬件設備結合,識別探測可疑攻擊,拒絕惡意指令執行。
蜜罐新技術:高保真自適應欺騙仿真系統( High-Fidelity Adaptive Deception & Emulation System ),HADES的主旨在於提供欺騙環境並推進欺騙活動以梳理正在進行的攻擊的相關情報和特征碼。技術層面上看,HADES利用了雲技術,特別是軟件定義網絡和虛擬機自省技術,可將被攻擊虛擬系統從生產網絡快速轉移至去除了敏感數據的高保真虛擬版網絡副本。HADES可將該虛擬機的狀態遷移到網絡的其他部分並開始模擬其周邊環境。
在入侵者毫無所覺地探測該沙箱網絡時,分析師就可以觀察入侵者的行動,獲悉他們的目標和所用攻擊工具。可以觀察對手的行為,重構防御工具,即時發展自身智能。
即便黑客最終發現自己是在沙箱中操作,因為不知道是何時被移出真實網絡的,也就不清楚自己收集的數據到底有多少是真實的。HADES的目的就是要讓攻擊者產生疑慮。即便拿到了什么東西,到底是真的還是假的?對攻擊者而言最恐怖的事,就是“世界還是那個世界,但發生了改變”。
但是,HADES並未取代攻擊檢測工具。事實上,雖然HADES也提供入侵檢測工具,但卻是利用了第三方應用。HADES提供了靈活的應用程序編程接口來與這些工具互動。
介紹一下我自己吧,我是Fisher,互聯網安全作者一枚,日常是分享有趣的安全技術與故事,當然也會記錄學習之路的收獲。對安全領域感興趣,可以關注我的個人微信公眾號:austfish。不想走丟的話,請關注【Fisher的安全日記】!(別忘了加星標哦)or 個人博客:www.austfish.cn