第95篇：国护零失分防守经验3：蜜罐环绕靶标的围点打援策略

 Part1 前言 

大家好，我是ABC_123。作为了一个打了8年红队和多年国护的老兵，之前在qax时期和团队一起有一次国护零失分防守经历，于是也分享一下蓝队防守经验。ABC_123专门研究了以前留下来的资料，结合现有的一些新的防护手段和思路，把这些宝贵的思路和经验以连载的形式分享给大家，对我自己也是一个很大的提高。对比下来，红队的攻击思路都是不存在争议的，而蓝队防守的一些观点会存在很多的讨论空间。

注：前两篇文章是《第93篇：记一次国护零失分的防守经验总结（上篇）》、《第94篇：记一次国护零失分的防守经验总结（中篇）》中。

注：“希潭实验室”公众号作为自媒体，会一直保持中立原则，未与任何公司绑定，在文章中也不会评论任何厂商的安全设备的好坏，所以关于设备的选择需要大家自己斟酌，适合自己的就是最好的。

 Part2 技术研究过程 

• 蜜罐环绕靶标的“围点打援”

对于靶标的防护一般是重中之重，如果攻击者通过外围打点或者社工钓鱼等手段突破了网络边界，经过一系列内网横向，最终打到了靶标段，已经开始对靶标进行探测。在这种情况下，已经说明整个安全体系已经被突破，外网的WAF、主机的终端防护、各vlan间的流量监控等等，已经阻挡不了攻击者的步伐。

为了应对这种情况，我们当时设计了后来被证明非常可行的思路，梳理了攻击者可能拿下靶标的攻击路径，在每一条攻击路径的重要节点放置蜜罐；在靶标所处的C段，围绕靶标放置很多蜜罐。在攻击者尝试通过内网横向拿下靶标的过程中，蜜罐的告警可以及时反应攻击者的内网横向进程，快速定位攻击者在内网的源头IP。一旦蜜罐发生告警，及时将源IP主机下线，进行应急处置，相当于打掉了攻击队的一个内网据点，来一个打掉一个。

优点：笔者在以往参与红队实战演练过程中，遇到过这种情况：在攻打靶标的时候，由于靶标系统完全是蜜罐围绕起来的一个孤岛，这写蜜罐几乎是攻下靶标的必经之路。我们手中的内网的几个关键据点或者跳板机，都因攻打靶标的过程中全部掉线，对我们造成了非常大的困扰，也间接证明了这个方法的可行性。

注：这种策略防不了两种情况：

1、集权系统失陷：就是攻击者进入内网后，直接通过0day拿下堡垒机系统权限或者集权设备权限，或者通过Nday漏洞/NTLM中继等方法拿下域控权限，最终导致内网关键业务系统全部沦陷，从中翻到靶标系统，不用经过蜜罐，直连靶标系统的情况。

2、靶标暴露公网：有些单位上报靶标资产，但其靶标暴露在公网上，相当于直接暴露给攻击队员，对靶标的攻击路径也就不需要经过蜜罐。这种情况下，攻击队员可以从各种渠道收集源码，审计出一个0day，可以直接将目标单位打穿出局。

• 不同vlan内部署蜜罐

一般来讲，比较建议在内网的不同vlan间都部署蜜罐设备，因为防守策略一定是多重的，一旦一些防护被绕过或者没有被检测到，蜜罐就成了坚守岗位的小哨兵，蜜罐的告警也可能是最后一道防线。

对于这种策略，蜜罐仿真度要高，可以在蜜罐里放置一些脱敏的真实数据，提高其可信度诱捕攻击队员；外网可以部署一些办公蜜罐，内网可以部署集权系统蜜罐、靶标系统蜜罐；在内网主机上，也可以伪造一些高危的端口，一两个端口足够，伪造端口太多了，反而容易被攻击者发现异常；这些端口可以进行流量转发，转发到内网的蜜罐系统，这些可以给攻击者带来不小的阻挠。

这里需要注意的是，蜜罐放置在外网，还是要谨慎一些，这里有多个原因：

1、二级域名问题：蜜罐放在二级域名，容易出现一些风险：被境外组织误以为是真实网站，直接植入一些政治敏感页面，会造成甲方客户说不清道不明。

2、虚拟机逃逸问题：部分蜜罐系统可能会是docker小集群，因此需要考虑到虚拟机逃逸0day漏洞的情况。网络隔离策略一定要做好，目前一些国内的高级红队，存在多个虚拟机逃逸0day漏洞，具体影响范围和适用范围不清楚。

3、网络隔离问题：ABC_123之前做红队评估项目，遇到过2、3次蜜罐网络隔离没有做好的情况。拿下蜜罐之后，放置一个fscan内网扫描工具，扫一个大B段，还真能遇到能真实网络的情况。所以红队人员遇到蜜罐的时候，也不要放弃，说不定真有所突破。

• 红队破解”围点打援”的”围魏救赵”策略

攻防总是相对的，“围点打援”这种策略，也有破解方法，ABC_123在分析国外的APT案例的时候，看到关于这方面的战术。攻击者在内网横向过程中，原本目标是攻下A系统，但是攻击过程已经被监测发现，受害者已经开始应急。于是攻击者故意去攻击B系统，用各种手段使其出现大量的告警及设备日志，造成一种攻击目标是B系统的假象，使应急响应人员消耗大量精力在B系统的防护上，而暗地里却一直在缓慢攻击A系统。

这就像极了在历史课本上讲的军事战争中的故事，A国使用“围点打援”的战术将B国的军队团团围起来，围而不攻，在对B国救援的必经之路上，布置好伏兵和弓箭手，来一个队伍消灭一个队伍；随后B国想出一个策略，将A国的另一支队伍围困起来，导致A国为了救援，放弃围点策略，分出兵力去救援。这就是经典的“围魏救赵”。

 Part3 总结 

1.  本公众号最近开启了留言功能，大家对文章有什么疑问，可以在留言里写上自己的经验看法，集思广益，我看后都会回复。

公众号专注于网络安全技术分享，包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等，每周一篇，99%原创，敬请关注。

Contact me: 0day123abc#gmail.com

(replace # with @)