「斗象攻防演练宝典」之妙手部署“云蜜罐”
2022-7-20 15:52:44 Author: www.freebuf.com(查看原文) 阅读量:21 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

网络安全的本质是对抗,对抗的本质是攻防两端能力的较量。

攻防演练中,蜜罐的欺骗诱捕技术可以令防守方逆转被动防御的局面,通过缜密的布防,步步为营、诱敌深入,让攻击者深陷其中,攻击行为暴露无遗。然而在实战布局中,不同“蜜罐棋手”的效果却大相径庭...

9f72e76c215f46c4aa0b1c909ba6b614.jpeg

传统的蜜罐防御方案以部署仿真的、特定的服务和应用为主,侧重于攻击感知。但往往存在低交互、低仿真、低覆盖等缺陷,难以在攻防棋局中达到用户的期望。

585583e2bfb8411ca854acb2cd73772e.jpeg下滑查看蜜罐

5ebb7c6544d14258a3b4669ceb18ee95.jpeg下滑查看蜜罐

cddd03de0e4a405d9aee72b794757362.jpeg

在攻防演练中,传统蜜罐部署以业务页面仿真为主、溯源蜜饵为辅,在一定程度上具备迷惑性和基本溯源能力(IP信息等),但也存在一定缺陷,比如:

  • 1 溯源能力弱,存在浏览器版本限制等问题;
  • 2 迷惑性低,未经过攻防诱捕场景设计;
  • 3 引诱能力弱,没有诱饵运营以诱捕攻击者。

cd1b62a3b6954b92bdd8d26b94cde66e.jpeg

74dfd680e95248a390e0051ad8682884.png下滑查看秘籍

9df217219bd948e1a9f46b1db4978f5a.png

456a0fb1f4874ebc8d80bded1191012c.gif

在云蜜罐部署的场景下,一般将「惊鸿」服务器直接部署于云端,蜜罐地址以企业的二级域名做映射,将映射的企业二级域名投放到公网环境中。当攻击者试图攻击“伪装”的域名时,实际已经落入了云上蜜罐的陷阱中。

db13d6b0ac9b4bd0a10d2d4ec61859f8.png

a2917c9427a84a9d861b4eb526ed61e6.gif

a916b15f79f047aaa9284536c41c9ddc.jpeg

16369d18e306445a9d40bc73f6907026.jpeg

神剑精心设计出若干与蜜罐关联的企业域名,并将域名绑定到蜜罐的对外IP,攻击方可以利用资产探测直接发现蜜罐营造的“伪资产”,继而落入陷阱。

c28859be2992458a9c12cd31cd71e75e.gif

  • 1 灵活使用溯源模块

灵活配置的溯源模块,让攻击者的IP信息、设备信息、社交信息等处处留痕,身份信息无所遁形;

  • 2 精心设计诱捕场景

精心设计攻防场景,在攻击者常见的攻击路径上精巧设计反制诱饵,先让他们尝到甜头,再步步为营,令攻击者在为其设置好的道路上越陷越深,直至落入套中;

  • 3 反制蜜罐用处大

利用攻击者的客户端漏洞来反制攻击者。「惊鸿」云蜜罐系统配套的反制蜜罐能力强,可以反制攻击者于无形。浏览器信息、社交信息、文件信息,均可通过深度溯源得到,是防守队完善溯源报告的好帮手;

  • 4 细心查询,查缺补漏

任何一点细微信息都可能关联着攻击者的身份信息。不放过任何信息,一个小小的IP信息背后也可能溯源出一个完整的攻击链。

cd643ab245a346d995e0dde98223a7e0.png

76a79addf1464f4381f1aacfec8ac052.jpeg

c2e516bfef3d471a8e360bd769a77ebb.jpeg

反制蜜罐,再显神威:攻击者连接了MySQL反制蜜罐,反制蜜罐获取到攻击者的浏览器记录信息。经过防守方的抽丝剥茧,精准定位到攻击者的邮箱、QQ身份信息,为防守队成功上分。

cb78c1e0150d435b871eedaef1afb495.jpeg

dcdc8832d4324f6bba5d3ce4dd6c6cfe.jpeg

诱捕场景,精巧布局:在攻击者的资产探测路径上,提前精巧布局,灵活散布反制诱饵,攻击者在精心设计的内容诱导下,误以为发现了”敏感文件“,下载并执行了内容中的反制诱饵,最终成功反制攻击队成员。

3a3ffce56ecf440caee6b1accec807de.jpeg

aa8254145f1e46dfafffa6275971293b.jpeg

67130663a1de43c1b877383c5719490c.png

根据历年来国家级攻防演练最终披露的结果来看:绝大部分靶标都会被攻陷,但多数情况下守方对于攻击者的入侵路径和内参报告却并不明朗。在这种环境背景下,防守方想要提升自身的防御体系和溯源反制能力,采用中高交互的蜜罐进行诱捕和攻击引流是不错的选择。

「惊鸿」云蜜罐系统部署效率快,成本低,可还原完整的攻击链路,记录未知攻击方式、常用工具和目标资产,捕获攻击过程中上传的恶意文件,抓取攻击者主流社交身份信息,实时告警黑客的网络入侵行为,使其行踪完全被企业掌控。在攻防演练中对于金融、政府、运营商、互联网等包含敏感信息和机密数据的企事业单位的提分效果显著!


文章来源: https://www.freebuf.com/articles/database/339646.html
如有侵权请联系:admin#unsafe.sh