論蜜罐及其反制技術(shù)

【摘 要】 本文闡述了蜜罐的防護(hù)方法、蜜罐的引誘能力及蜜罐分類，并結(jié)合蜜罐的特點(diǎn)，詳細(xì)論述了蜜罐反制技術(shù)，以期為蜜罐的開(kāi)發(fā)使用及網(wǎng)絡(luò)安全的主動(dòng)解決方案提供研究思路。

【關(guān)鍵詞】 蜜罐 蜜罐反制 未知威脅 網(wǎng)絡(luò)安全

1 引言

隨著信息技術(shù)的不斷發(fā)展，物聯(lián)網(wǎng)、云計(jì)算、人工智能（AI）等技術(shù)深刻影響著我們的工作、學(xué)習(xí)、生活。網(wǎng)絡(luò)技術(shù)的發(fā)展同樣帶來(lái)諸多隱患，網(wǎng)絡(luò)安全成為無(wú)法回避的關(guān)鍵性問(wèn)題。從早年的“熊貓燒香”“永恒之藍(lán)”，到勒索病毒、高級(jí)可持續(xù)威脅（APT）攻擊，網(wǎng)絡(luò)攻擊方式多種多樣，攻擊成本不斷降低，隱蔽性增強(qiáng)，使溯源取證更加困難。尤其在一些特定領(lǐng)域，如打擊網(wǎng)絡(luò)犯罪過(guò)程中，由于網(wǎng)絡(luò)攻擊手段多樣且手法隱蔽，終端網(wǎng)絡(luò)犯罪的取證素材獲取是網(wǎng)絡(luò)犯罪取證的難點(diǎn)，研究并實(shí)現(xiàn)未知攻擊鏈各個(gè)階段相應(yīng)取證素材的獲取技術(shù)已迫在眉睫。

基于蜜罐防御體系的出現(xiàn)打破了防守方只能被動(dòng)防守的局面，防守方不僅能在攻擊者接觸到真實(shí)資產(chǎn)前做出反應(yīng)，而且還能采取富有針對(duì)性的反制措施，解決相關(guān)部門對(duì)網(wǎng)絡(luò)攻擊事件調(diào)查取證困難的問(wèn)題。本文對(duì)蜜罐與蜜罐反制進(jìn)行總結(jié)和分析，對(duì)仿真、反制技術(shù)進(jìn)行了闡述，并指出蜜罐所能達(dá)到的攻擊防御效果。

2 蜜罐闡述

根據(jù)蜜罐仿真程度及交互能力，可分為低交互蜜罐、中交互蜜罐、高交互蜜罐，如圖1所示。

圖1 蜜罐類型

低交互蜜罐是指實(shí)現(xiàn)某個(gè)特定服務(wù)模擬，可以模擬這個(gè)服務(wù)的全部交互，也可以是部分服務(wù)的模擬，交互程度可以是攻擊者初始訪問(wèn)的一個(gè)反饋。這種蜜罐雖然仿真程度不高，但是已經(jīng)達(dá)到了引誘攻擊者，并捕獲其IP、協(xié)議、端口及請(qǐng)求載荷等信息的目的。低交互蜜罐因其創(chuàng)建釋放快捷、資源占用低、協(xié)議輕便的特點(diǎn)，目前在威脅檢測(cè)方面應(yīng)用普遍。

中交互蜜罐除了要具備特定服務(wù)的模擬外，還要對(duì)設(shè)備環(huán)境進(jìn)行模擬。正常應(yīng)用程序、惡意二進(jìn)制文件都需要在系統(tǒng)環(huán)境中執(zhí)行，假如1個(gè)攻擊者上傳了1個(gè)惡意文件，執(zhí)行后釋放出動(dòng)態(tài)鏈接文件并創(chuàng)建出系統(tǒng)服務(wù)，產(chǎn)生2個(gè)進(jìn)程，1個(gè)用來(lái)挖礦，1個(gè)用來(lái)進(jìn)行橫向移動(dòng)，中交互蜜罐會(huì)把整個(gè)攻擊過(guò)程全部記錄下來(lái)，并且保存攻擊文件。中交互蜜罐是基于進(jìn)程級(jí)的服務(wù)模擬，能夠提供更完整的攻擊交互，為溯源留存攻擊記錄和攻擊文件。

高交互蜜罐是基于真實(shí)的系統(tǒng)和服務(wù)構(gòu)建的。雖然中交互蜜罐已經(jīng)可以提供足夠的交互能力，但面對(duì)APT攻擊時(shí)容易被識(shí)破，攻擊者長(zhǎng)期對(duì)被攻擊者進(jìn)行富有針對(duì)性的、持續(xù)性的攻擊，熟悉被攻擊者的業(yè)務(wù)環(huán)境。因此，高交互蜜罐需要用戶參與設(shè)計(jì)，模擬出符合用戶業(yè)務(wù)及物理空間的蜜罐，針對(duì)載荷的信息建立模型，以虛擬出的真實(shí)的業(yè)務(wù)環(huán)境誘騙高級(jí)別攻擊者實(shí)施攻擊，從而捕獲高級(jí)別攻擊者。

3蜜罐反制技術(shù)

蜜罐攻擊反制的目的是獲取攻擊者的有用信息，是攻擊溯源環(huán)節(jié)的一部分，而不是以暴制暴。網(wǎng)絡(luò)攻防長(zhǎng)久以來(lái)存在著攻強(qiáng)守弱的局面，攻擊方可以在任何時(shí)間、使用任何攻擊手段實(shí)施攻擊，而防守方只能被動(dòng)防守。蜜罐則具備主動(dòng)防御能力，它可以通過(guò)主動(dòng)布防，主動(dòng)示弱攻擊者，并且進(jìn)行反制，使網(wǎng)絡(luò)攻擊不再是一個(gè)沒(méi)有損失、只有收益的事情。攻擊者要為其網(wǎng)絡(luò)攻擊行為承擔(dān)被發(fā)現(xiàn)的風(fēng)險(xiǎn)，以及法律責(zé)任，這對(duì)從事網(wǎng)絡(luò)犯罪、威脅網(wǎng)絡(luò)安全的不法分子起到了威懾作用。

3.1 Web蜜罐反制

瀏覽器反制主要利用了Js腳本攻擊的原理。jsonp解決跨域問(wèn)題的同時(shí)帶來(lái)了安全性問(wèn)題，攻擊者利用<script>標(biāo)簽獲得json數(shù)據(jù)，執(zhí)行后可獲取敏感數(shù)據(jù)。一般這種攻擊先會(huì)對(duì)Web進(jìn)行整體測(cè)試，了解功能和調(diào)用情況后將腳本代碼插入頁(yè)面，用戶瀏覽頁(yè)面進(jìn)行輸入時(shí)，js腳本會(huì)無(wú)聲無(wú)息地執(zhí)行，從而獲取攻擊者的信息。使用蜜罐進(jìn)行反制時(shí)，首先需模擬出業(yè)務(wù)系統(tǒng)的Web網(wǎng)站，偽裝網(wǎng)站里內(nèi)置了js反制腳本，當(dāng)攻擊者被誘導(dǎo)，通過(guò)瀏覽器訪問(wèn)Web蜜罐時(shí)腳本會(huì)自動(dòng)執(zhí)行，獲取攻擊者的硬件指紋信息與網(wǎng)絡(luò)攻擊信息。將這2種信息相關(guān)聯(lián)并溯源分析，就可定位攻擊者。通過(guò)這種方式，可有效獲取攻擊者信息，包括瀏覽器、屏幕、硬件、頁(yè)面、插件、網(wǎng)絡(luò)、網(wǎng)絡(luò)社交，如表1所示。

表1 Web反制獲取信息列舉

網(wǎng)絡(luò)社交信息的獲取，可通過(guò)跨站跨域模擬請(qǐng)求，獲取瀏覽器中社交網(wǎng)站的賬戶緩存信息。

如圖2所示，在仿真Web頁(yè)面上，可以添加注冊(cè)流程，需要輸入手機(jī)號(hào)碼作為賬號(hào)名，從而獲取攻擊者的手機(jī)號(hào)，這個(gè)注冊(cè)流程可以接入真實(shí)的短信網(wǎng)關(guān)，發(fā)送真實(shí)的短信驗(yàn)證碼。

圖2 獲取手機(jī)號(hào)

通過(guò)同樣的方法，可在仿真Web頁(yè)面上添加微信掃一掃二維碼，偽裝成公眾號(hào)或客服等，引誘攻擊者掃描，之后可以使用網(wǎng)上開(kāi)源免費(fèi)的后臺(tái)登記訪客系統(tǒng)，獲取掃描者的微信信息。

在Web上預(yù)置代碼書(shū)寫(xiě)不規(guī)范的漏洞也是反制方法之一。代碼編寫(xiě)具有一定的書(shū)寫(xiě)規(guī)范，代碼注釋是代碼編寫(xiě)中不可缺少的一部分，但是當(dāng)項(xiàng)目上線代碼打包后，這些注釋必須要全部清除，避免直接暴露出來(lái)。利用這一點(diǎn)，可以在仿真的Web頁(yè)面里制造代碼注釋未刪除的假象，如將“//mysql數(shù)據(jù)庫(kù)10.0.0.1 root/admin@123”這樣的注釋，植入蜜罐的公網(wǎng)IP，模擬成開(kāi)發(fā)時(shí)的后端服務(wù)器，從而欺騙攻擊者，引誘攻擊者進(jìn)行攻擊。

3.2 數(shù)據(jù)庫(kù)蜜罐反制

MySQL反制蜜罐的工作原理是通過(guò)搭建一個(gè)簡(jiǎn)單的MySQ服務(wù)，如果攻擊者對(duì)目標(biāo)進(jìn)行3306端口爆破，且嘗試使用mysql客戶端工具遠(yuǎn)程連接MySQL蜜罐服務(wù)器，就可能獲取攻擊者的IP、讀取本地文件，包括微信配置文件等。MySQL服務(wù)端能夠用讀取命令獲取MYSQL客戶端的任意文件，然后偽造惡意服務(wù)器向連接這個(gè)服務(wù)器的客戶端發(fā)送讀取文件的載荷（payload）。

3.3 誘餌反制

誘餌反制的原理是利用脫敏的用戶數(shù)據(jù)文件，或是可執(zhí)行程序，如虛擬專用網(wǎng)（VPN）安裝程序，把其與反制程序捆綁到一起，通過(guò)對(duì)反制程序添加花指令、編譯器多次編譯、對(duì)shellcode編碼、程序加殼等多種方式對(duì)反制程序打包、混淆，同時(shí)在反制程序運(yùn)行時(shí)減少對(duì)系統(tǒng)的修改，減少敏感行為應(yīng)用程序接口（API）調(diào)用，多在內(nèi)存里進(jìn)行操作，使用反彈的連接，對(duì)傳輸數(shù)據(jù)進(jìn)行壓縮、加密等方式繞過(guò)殺毒軟件攔截。此方法支持獲取攻擊者終端中的文件、主機(jī)名、主機(jī)權(quán)限、操作系統(tǒng)、用戶信息、網(wǎng)卡信息等，如圖3所示。

圖3 觸碰誘餌

反制終端的信息在回傳時(shí)，可于蜜罐管理頁(yè)接收信息，此時(shí)需要連接互聯(lián)網(wǎng)在公網(wǎng)搭建一個(gè)接收服務(wù)端，并且IP應(yīng)歸屬被攻擊IP地址，這樣在回傳的時(shí)候哪怕攻擊者發(fā)現(xiàn)有外發(fā)請(qǐng)求，但因IP地址不是可疑的，可以避免攻擊者發(fā)現(xiàn)疑點(diǎn)漏洞，刪除反制文件。

3.4 陷阱反制

蜜罐系統(tǒng)一般支持釣魚(yú)郵件自定義功能，原理是在系統(tǒng)中生成一封郵件，通過(guò)郵件服務(wù)器發(fā)送到指定郵箱，如果此郵箱被攻擊爆破，攻擊者打開(kāi)了釣魚(yú)郵件，就會(huì)產(chǎn)生告警信息。另外郵件里面的內(nèi)容同樣可以偽造成虛假信息，把蜜罐IP寫(xiě)進(jìn)去，連環(huán)誘騙攻擊者。

另外，接收釣魚(yú)郵件的郵箱可以使用一個(gè)新的釣魚(yú)郵箱，設(shè)置成弱口令，植入到偽裝Web頁(yè)面里，故意暴露給攻擊者進(jìn)行爆破。

4結(jié)語(yǔ)

本文對(duì)蜜罐技術(shù)及蜜罐的反制思路進(jìn)行了闡述，明確了蜜罐作為一種主動(dòng)防御手段，其溯源與反制能力的效果及發(fā)揮空間，列舉了蜜罐反制技術(shù)的方法，以期為蜜罐的開(kāi)發(fā)使用及網(wǎng)絡(luò)安全的主動(dòng)解決方案提供研究思路。

（原載于《保密科學(xué)技術(shù)》雜志2023年4月刊）