初識蜜罐技術
0x01 何為蜜罐
蜜罐技術從本質上來講就是一種對攻擊方進行欺騙的技術,用以監視、檢測、分析和溯源攻擊行為,其沒有業務上的用途;通過布置一些誘餌主機、網絡服務或者信息,誘使攻擊者對他進行攻擊,從而獲取對攻擊行為進行捕獲和分析,了解攻擊者使用的工具和方法,推測攻擊意圖和動機,能夠使防御方清晰的了解他們面對的安全威脅,並通過技術和管理手段來增強實際系統的安全防護能力。
蜜罐可以實現對攻擊者的主動誘捕,能夠詳細地記錄攻擊者攻擊過程中的許多痕跡,可以收集到大量有價值的數據,如病毒或蠕蟲的源碼、黑客的操作等,從而便於提供豐富的溯源數據。另外蜜罐也可以消耗攻擊者的時間,基於JSONP等方式來獲取攻擊者的畫像。
蜜罐看似漏洞百出,卻一切都在管理者的掌控之中;但是蜜罐也存在安全隱患,如果沒有做好隔離,就會形成新的攻擊源。
0x02 蜜罐類別
根據蜜罐的部署目標不同,可以把蜜罐分類為產品型和研究型。
產品型側重於分流真實的網絡攻擊流量,吸引攻擊者把注意力和目標從真實系統轉移到蜜罐,常見於非安全業務為主的公司和網絡,不需要網管做很多工作。這一類的代表產品如:KFSensor, Specter, ManTrap。研究型蜜罐主要是由安全公司和安全研究人員部署,主要目的是收集攻擊流量,研究攻擊行為、了解攻擊意圖和提取攻擊主體特征等,基於蜜罐來獲得第一手、最真實的網絡攻擊數據並應用於安全防御產品的改進升級和測試,這需要大量時間和人力的投入。這一類的代表產品如:Gen II蜜網和Honeyd
根據蜜罐的交互性差異,即根據攻擊者在蜜罐中活動的交互性級別,蜜罐又可以細分為:低交互型、高交互型和混合型。其中:
- 低交互型蜜罐通常表現為模擬部分網絡服務和操作系統特征,只能捕獲少量信息,容易部署,被徹底攻陷淪為肉雞的風險較小。典型代表實例如:Specter, KFSensor, Dionaea, Honeyd。
- 高交互型蜜罐通常表現為提供真實的操作系統和服務,而不是模擬。攻擊行為信息獲取方面更有優勢,可以捕獲更豐富的信息。但這一類蜜罐通常也存在部署復雜,自身安全風險較高的缺陷。典型代表實例如:ManTrap, Gen II蜜⽹。
除了上述兩種分類方法,新型蜜罐的出現則更加豐富和完善了蜜罐的存在形式。例如:
- 主動式蜜罐
表現為使用了動態蜜罐和被動指紋識別技術。具備即插即用、自動調整等特性,被動指紋識別意味着不會在信息收集過程中主動發出探測數據,降低了被攻擊者發現的概率。結合虛擬化技術,蜜罐的動態可配置性更加完備
- 蜜場(HoneyFarm)
如上圖所示,蜜場又被稱為蜜罐場(Honeypot Farm),這是一個由很多個蜜罐組成的蜜罐集群。通常被配置為真實網絡中的高價值目標主機的替身主機,當網絡中的入侵檢測設備檢測到高價值主機被攻擊時會動態的將攻擊流量重定向到蜜場中的預定義蜜罐。這樣做的好處是不需要創建新的目標,直接使用已存在的目標,惡意的、未經授權的活動被透明的重定向到蜜罐,在攻擊者無法察覺的情況下實現秘密監視和捕獲攻擊者在蜜罐中的活動,同時可以應用計算機取證技術。
- 蜜信(HoneyToken)
威脅不僅僅是針對信息系統,很多情況下攻擊者的目的就是為了竊密,獲取重要數據,針對信息本身。因此,蜜信指的是正常情況下不會使用和傳輸的一些誘餌數據。例如:數據庫中設置的誘餌記錄,偽造的弱口令用戶數據等。一旦在系統中檢測到蜜信數據被訪問或在網絡中蜜信數據被傳輸,則預示着攻擊很可能已經發生,這時需要對蜜信的訪問和傳輸行為進行密切監視跟蹤。
0x03 蜜罐識別
攻擊者也會嘗試對蜜罐進行識別。比較容易的識別的是低交互的蜜罐,嘗試一些比較復雜且少見的操作能比較容易的識別低交互的蜜罐。相對困難的是高交互蜜罐的識別,因為高交互蜜罐通常以真實系統為基礎來構建,和真實系統比較近似。對這種情況,通常會基於虛擬文件系統和注冊表的信息、內存分配特征、硬件特征、特殊指令等來識別
部分蜜罐在實現的過程中,協議的部分參數固定或隨機的范圍有限,可以通過特定參數的范圍來識別蜜罐。部分蜜罐協議支持的版本范圍為某一特定版本范圍,可以通過對應的版本范圍來推測是否為蜜罐。部分蜜罐在交互過程中有探測客戶端特征的交互,可以通過這些交互過程來識別蜜罐。部分蜜罐對不正確的請求也返回正常的相應,可以通過這種特征來判定蜜罐
部分蜜罐的用戶名、密碼固定,或內存使用、進程占用等動態特征變化較為規律,可以通過這種方式來判斷是否為蜜罐。
-
協議響應特征的蜜罐
-
具有明顯WEB特征的蜜罐
0x04 參考文章
https://c4pr1c3.github.io/cuc-ns/chap0x11/main.html
https://websec.readthedocs.io/zh/latest/defense/honeypot.html