近几年,攻防演练在各行业里常态化开展,对于防守方如何能够在攻防演练中取得好的成绩,蜜罐类产品的使用必不可少。
本文介绍一款功能丰富的免费蜜罐——DecoyMini(吉星•智能仿真与诱捕防御系统,以下简称吉星),该蜜罐采用轻量化仿真诱捕技术,具备丰富的攻击诱捕和溯源分析能力;支持插件化的仿真模板,提供灵活的蜜罐自定义能力,具备多样化的攻击诱捕、分析和处置手段,支持本地高质量内生情报输出。
本文结合实际使用经验分享吉星在攻防演练场景下的使用方法和技巧。
在攻防演练中,攻击方的攻击方法也是有套路可循的,通常来说分为三个阶段:分别是信息收集、攻击尝试,单点突破。
在信息收集阶段,攻击方会广泛收集攻击目标的各种信息;进入正式攻防演练后,攻击方将会利用前期侦查到的信息,对收集到的系统进行攻击尝试;当发现感兴趣的或可利用的目标系统时,就会利用工具等进行单点突破攻击,尝试获取系统权限。
结合蜜罐的实战应用经验,针对以上攻击方各个攻击阶段,可以采取如下针对性的防守策略:
- 针对信息收集阶段:提前部署好蜜罐,将蜜罐映射到外网,暴露给攻击方;
- 针对攻击尝试阶段:通过攻击监测第一时间发现攻击方对蜜罐的攻击行为,防守方可提前采取措施,对攻击方进行有效防御和牵制,赢得宝贵的防御时间;
- 针对单点突破阶段:可以利用蜜罐溯源能力进行攻击溯源,或者利用蜜罐投递定制的溯源反制载荷,引诱攻击者去访问,来对攻击主机进行控制,实现对攻击方的溯源反制,获得溯源得分。
1 信息收集阶段
在信息收集阶段,需要提前部署好蜜罐,将蜜罐映射到外网。为了能更有效迷惑攻击方,可以利用吉星的业务服务仿真、主机仿真、漏洞仿真等功能将日常使用的业务系统和环境制作成蜜罐来进行部署。
1.1 业务服务仿真
系统已经内置了常用的服务、中间件以及典型的安全设备仿真模板,在能够连接互联网的环境,使用论坛账户登录后,点击"下载全部"按钮,就可以一键自动下载技术论坛里常用仿真模板集合。
内置的仿真模板下载后就可以直接部署。对于自有的业务系统,系统提供了智能WEB仿真功能,配置要仿真的业务系统地址,系统可以自动爬取业务系统的页面数据来生成业务系统的仿真模板。
对于私有协议和其他自定义仿真需求,系统提供了一个可以灵活自定义仿真内容的可视化仿真编排引擎,通过界面自定义攻击请求的解析方法和动态响应数据,可以灵活扩展仿真内容,实现对新的网络协议或服务进行仿真。详细配置方法请查看吉星帮助文档。
当准备好仿真模板后,就可以部署蜜罐了,进入“诱捕”-> “诱捕策略”界面,选择需要使用的仿真模板,配置蜜罐访问参数,就可以快速部署蜜罐实例。系统支持在多网口同时部署蜜罐,通过配置探针节点的诱捕网口,可以将蜜罐部署到不同的网络接口上。
1.2 主机仿真
通常仿真操作系统、主机终端需要使用基于虚拟机或容器的高交互蜜罐来实现,一般在商用蜜罐产品里才支持。吉星作为免费蜜罐软件也提供了智能仿真主机的功能,在不使用虚拟机、仅需要极小资源的情况下支持对主机终端提供中高交互的仿真能力。其原理是通过SSH等协议连接目标主机自动获取该主机的各种信息和常见命令执行结果,从而快速构建出一个克隆的高仿真的主机终端环境。利用此功能,可以将自有的业务系统主机制作成蜜罐部署出来,这样在攻防演练实战场景下对攻击的诱捕效果更佳。
在“增加仿真主机”界面,配置待仿真的主机信息,包括目标主机连接信息、仿真文件目录范围、仿真命令列表等,点击“增加”按钮后开始自动获取仿真主机的数据,待获取完成后,就可以生成对应主机的仿真模板。
主机仿真模板生成好后,就可以在“诱捕”-> “诱捕策略”里进行部署。
部署后通过SSH等方式连接蜜罐,终端的输入输出可以达到以假乱真的效果。
1.3 漏洞仿真
吉星还有一个很有特色的功能,就是支持漏洞仿真。Nuclei(https://github.com/projectdiscovery/nuclei)是一个开源的漏洞扫描工具,里面包含了丰富的漏洞检测模板,系统支持直接利用Nuclei漏洞检测模板实现对该漏洞进行仿真的功能,同时也提供扩展语法支持更灵活的自定义漏洞仿真能力。
系统已经内置了大量的漏洞仿真模板,对于新的漏洞仿真需求,可以在“漏洞仿真模板”管理界面点击"增加"按钮,输入Nuclei漏洞检测规则及相关属性后进行增加。
系统在标准Nuclei漏洞检测模板语法基础上,支持扩展语法,可以提供更灵活的漏洞自定义仿真能力。具体配置方法,可以查看吉星帮助文档。
增加好漏洞仿真模板后,在部署WEB类蜜罐时,就可以配置该WEB蜜罐同时仿真的漏洞列表。
部署后,使用Nuclei等漏洞扫描工具对蜜罐进行扫描,就可以扫描到配置的仿真漏洞列表。
2 攻击尝试阶段
在完成蜜罐部署,进入正式攻防演练后,可以按需配置针对性的攻击诱捕和检测规则,提供对攻击方的各种攻击尝试行为进行监测和分析。
2.1 攻击诱捕
部署好蜜罐后,在“诱捕策略”->“参数配置”标签页可以配置更多攻击诱捕参数。
诱捕参数主要包括针对PING监测、TCP扫描监测、TCP尝试连接监测、TCP连接监测、网络攻击监测等,根据监测需求可以按需启用这些诱捕功能。
对于攻击方的攻击行为,系统基于攻击特征匹配(使用Snort规则语法定义)提供对攻击手法进行检测的能力,系统已经内置了典型的攻击特征规则,可以参考Snort规则语法自定义新的规则,当攻击流量匹配到攻击特征规则后,将生成诱捕日志和风险事件。
系统还支持威胁情报检测功能,通过定期和云端威胁情报平台同步,及时更新最新的情报数据到本地。从实际使用情况看吉星对互联网扫描器的扫描行为识别比较准确,同时也支持对恶意IP和恶意文件的识别。
2.2 监测分析
在完成蜜罐部署和诱捕策略配置后,日常的主要工作就是对攻击进行监测了。在系统“攻击”->“风险事件”界面,提供了对风险事件进行集中监控和综合管理的功能。
风险事件为攻击日志经过归并、去重后的攻击记录,按时间由近到远进行排序,支持按不同类别进行分类展示,点击对应的标签页便可以展示对应分类的风险事件。系统默认类别包括:
- 风险事件:展示攻击者执行的攻击事件;
- 扫描器事件:展示由扫描器、扫描工具等产生的扫描事件;
- 自定义查询:展示所有事件,可以自定义查询所关注的事件;
点击事件列表或事件详情中的“攻击IP”,可以展示对应攻击IP的攻击者画像信息,通过画像,可以查看到攻击者的基本信息、攻击主机特征、浏览器特征、账户信息、主机曾使用的服务、攻击过的蜜罐列表等。
点击事件列表或事件详情中的“被攻击IP”,可以查看该IP画像信息,主要包括在该IP上部署的蜜罐被攻击情况,以及攻击的主要来源,圆点越大代表攻击/被攻击的次数越多。
在事件详情中,点击攻击IP后的更多按钮,支持一键跳转第三方威胁情报平台功能,系统已经预置了奇安信威胁情报中心、守望者威胁情报平台查询接口,点击后可以直接跳转到对应威胁情报平台查询该IP更多威胁信息。
如果需要查询其他第三方威胁情报平台,系统也提供了扩展支持能力,在“系统”/ “参数配置”/“情报查询”里可以按需增加。
3 单点突破阶段
在攻击方发现感兴趣的目标系统后,就会对系统展开攻击,尝试获取系统权限。在此阶段,通过吉星可以实现基础的攻击溯源能力和联动处置能力。
3.1 攻击溯源
系统内置了基础的攻击溯源能力,支持通过webjs来自动获取攻击者主机、浏览器等特征信息。在“溯源信息”管理界面,可以查看到系统已经抓取到的攻击者信息列表。
双击列表项或点击“分析”按钮,可以查看攻击者画像信息,主要包括基本信息、浏览器特征、账号信息和主机特征等信息。
系统预留了WEB溯源扩展接口,利用接口可以将其他方式采集到的设备指纹、社交账号等溯源信息进行统一上报管理。在需要增加自定义溯源功能的WEB蜜罐页面里,加入如下脚本:
更详细的操作介绍,请参考吉星帮助手册。
除开WEB溯源外,也可以利用FTP、WEB等蜜罐来投递定制的溯源反制蜜饵文件,当攻击者访问蜜罐里的蜜饵文件后,攻击主机将会被防守方控制,实现对攻击方的溯源反制。
3.2 联动处置
在攻防演练中,对攻击事件的实时通知和处置也是至关重要。系统支持多种联动处置方式,当产生了指定的风险事件或诱捕日志后,支持通过邮件、弹窗、企业微信,钉钉、飞信等方式及时发送告警通知监控人员,通过Syslog将告警发送到目标设备或系统进行联动处置。
内生情报是威胁情报体系重要组成部分,利用内生情报可以有效提高对本地攻击的监测、预警和响应能力。系统支持输出列表格式和STIX2标准格式内生情报,可以应用到网关等设备上对攻击进行及时封堵,应用到分析平台上协助对攻击进行发现和分析。
总结
吉星作为一款免费的蜜罐软件,具备功能完备、高可扩展的攻击仿真诱捕能力,采用软件模拟的轻量化仿真诱捕技术,避免了传统蜜罐可能会被逃逸成为攻击跳板的风险,是一款安全稳定、可以媲美商业蜜罐产品的免费蜜罐软件,是企业零成本构建主动防御能力的得力工具,可以放心的在各种攻防演练场景中使用,有效提升对攻击的感知监测和处置响应能力。对于有攻防演练监测需求的用户,不妨一试。
下载地址:
3390
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
