蜜罐技术
本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
使用蜜罐技术的原因
信息安全发展到了今天繁荣的程度,传统的安全还是靠静态的特征码的方式来识别攻击,但是伴随着新型的APT攻击的出现,很多企业才意识到传统安全技术手段已经无法满足对内部威胁的及时发现,于是,很多传统的安全公司大佬都开始转战使用动态沙箱技术来解决问题,有卖设备型的例如Symantec ATP硬件配合终端的SEP构成、有360安全卫士联动威胁情报的方式,来探测未知威胁,当然这种方式主要是针对APT攻击的第一个环节,你黑客通过社会工程学的手段得到用户的信息,使用网络钓鱼或者水坑攻击的方式进入企业内网个人PC。但是要拿到有价值的内部敏感信息,黑客需要进一步部署攻击链,包括获取凭证、内网资产扫描等探测工作,因为很多行业包括金融机构是不允许在业务服务器上安装安全解决方案的,甚至配置日志系统都不可以,那么,目前部署蜜罐是最好的解决方案了。
蜜罐技术分析:
蜜罐技术通过建立仿真系统,达到欺骗攻击者、增加攻击成本、降低系统安全威胁的目的。同时,蜜罐技术能够记录攻击者使用的攻击工具和方法以供研究,从而选择正确的安全措施。蜜罐技术主要由蜜罐欺骗、数据采集、数据控制和数据分析四个关键环节组成。
蜜罐欺骗主要通过系统漏洞欺骗、IP欺骗、流量欺骗等技 术手段进行。系统漏洞欺骗通常模拟系统服务和包含漏洞的 端口, 以此吸引攻击者进行攻击, 以便通过端口和服务响应收 集所需的信息;IP 欺骗是通过单网卡多IP来误导攻击者的判断, 使其认为存在一个目标网络可供攻击; 流量欺骗使用各种流量实时复制与模拟的手段来产生虚拟的网络流量,使其与真实网络环境中的流量高度相似, 达到虚构网络的目的, 从而诈骗攻击者进行攻击和利用。
数据捕获的主要目的是获取并记录攻击者的行为,其具体实现可分为主机捕获和网络捕获两种形式。主机捕获在蜜罐主机上获取并记录攻击者行为的数据信息,这种方式快捷简单,但容易被攻击者识破;网络捕获是指通过构造蜜罐网络来获取与记录攻击者的行为信息, 这种方式不易被攻击者发现, 但在环境实现上较为复杂。
数据控制是蜜罐系统的核心功能之一,主要防止攻击者通过蜜罐系统攻击其它的信息系统,这就需要对攻击者的行为进行监控与限制,通常有防火墙控制和路由器控制两种形式。
数据分析的主要作用是将蜜罐捕获的各种数据解析为有意义的、可理解的信息,并通过这些有价值的信息来理解和把握攻击者的攻击方法和攻击策略,为攻防的防范提供信息支持。
蜜罐引流技术:
蜜罐防护过程包括诱骗环境构建、入侵行为监控、后期处理措施3个阶段。诱骗环境构建:通过构建欺骗性数据、文件等,增加蜜罐环境甜度,引诱攻击者入侵系统, 实现攻击交互目的。交互度高低取决于诱骗环境仿真度与真实性,目前主要有模拟环境仿真和真实系统构建方案。
模拟环境仿真方案通过模拟真实系统的重要特 征吸引攻击者,具备易部署优势。利用一种或多种 开源蜜罐进行模拟仿真,多蜜罐结合方案有利于不同蜜罐的优势集成;将仿真程序与虚拟系统结合构建蜜罐自定义架构,提高交互度;对硬件利用模拟器实现硬件虚拟化,避免实际硬件破坏。然而,虚拟特性使模拟环境仿真方案存在被识别风险。
真实系统构建方案则采用真实软硬件系统作为运作环境,降低识别率,极大提高了攻击交互度。 在软件系统方面,采用真实系统接口、真实主机服务、业务运作系统等,具备较高欺骗性与交互 度,但其维护代价较高且受保护资源面临着一定被 损害风险。在硬件设备方面,可直接利用真实设备 进行攻击信息诱捕,如将物理可穿戴设备作为引诱 节点、以手机SIM卡作为蜜卡等,通过构建真实软硬件系统环境提高诱骗度。在低能耗场景下采用真实软硬件设备引诱攻击者具有一定优势,然而对于某些数据交互频繁的业务系统内,存在高能耗、不易部署、维护成本大等缺陷。
国外的蜜罐诱骗研究:
Sochor等人分析蜜网拓扑模型、SSH仿真感应器攻击、模拟Windows服务攻击与Web服务攻击,研究网络威胁检测中蜜罐与蜜网吸引力,即蜜罐甜度。实验表明安全防御措施对诱惑攻击者起到重要推动作用。
Dahbul等人利用网络服务指纹识别增强蜜罐欺骗能力,构建3种攻击威胁模型来分析指纹识别潜在安全威胁, 并在此基础上建立蜜罐系统和真实系统,通过开放和配置必要端口、固定时间戳、配置脚本等手段对蜜罐进行系统性增强。
蜜罐架构技术:
1.BitSaucer。它是一个集低交互式和高交互式蜜罐 为一体的混合式蜜罐,同时具备低交互式蜜罐对资源要求低和高 互式蜜罐响应能力高的特征。机制的关键在于设计运行在主机上 的代理。代理是守护进程,负责根据网络流量按需自动生成虚拟 主机并构建高交互式蜜罐。由于高交互式蜜罐是按需生成,大大 降低了资源消耗。
2.Honeynet http://www.honeynet.org/
3.kippo https://github.com/desaster/kippo
4.glastopf https://github.com/mushorg/glastopf
5.elastichoney https://github.com/jordan-wright/elastichoney
6.beeswarm https://github.com/honeynet/beeswarm
7.DejaVU是一款开源欺骗框架,框架都docker搭建,当攻击者在侦察过程中触摸诱饵或执行认证尝试时,会产生高度准确的警报,用于防御者进行调查。
8.MHN(现代蜜网)MHN是一个开源软件,它简化了蜜罐的部署,同时便于收集和统计蜜罐的数据。
用ThreatStream(http://threatstream.github.io/mhn/)来部署,MHN使用开源蜜罐来收集数据,整理后保存在Mongodb中,收集到的信息也可以通过web接口来展示或者通过开发的API访问。MHN能够提供多种开源的蜜罐,可以通过web接口来添加他们。一个蜜罐的部署过程很简单,只需要粘贴,复制一些命令就可以完成部署,部署完成后,可以通过开源的协议hpfeeds来收集的信息。
MHN支持以下蜜罐:
Sort:https://www.snort.org/
Suricata:http://suricata-ids.org/
Dionaea:http://dionaea.carnivore.it/,Dionaea是运行于Linux上的一个应用程序,将程序运行于网络环境下,它开放Internet常见服务的默认端口,当有外来连接时,模拟正常服务给予反馈,同时记录下出入网络数据流。网络数据流经由检测模块检测后按类别进行处理,如果有 shellcode 则进行仿真执行;程序会自动下载 shellcode 中指定或后续攻击命令指定下载的恶意文件。drops中有一篇介绍:http://drops.wooyun.org/papers/4584
Conpot:http://conpot.org/
Kippo:https://github.com/desaster/kippo,它是一个中等交互的蜜罐,能够下载任意文件。 drops中有一篇介绍:http://drops.wooyun.org/papers/4578
Amun:http://amunhoney.sourceforge.net/,它是一个低交互式蜜罐,但是已经从2012年之后不在维护了。
Glastopf:http://glastopf.org/:低交互型Web应用蜜罐, Glastopf蜜罐它能够模拟成千上万的web漏洞,针对攻击的不同攻击手段来回应攻击者,然后从对目标Web应用程序的攻击过程中收集数据。它的目标是针对自动化漏洞扫描/利用工具,通过对漏洞利用方式进行归类,针对某一类的利用方式返回对应的合理结果,以此实现低交互。
Wordpot:https://github.com/gbrindisi/wordpot
ShockPot:https://github.com/threatstream/shockpot,模拟的CVE-2014-6271,即破壳漏洞
p0f:https://github.com/p0f/p0f
9.Cowrie是一款交互型SSH蜜罐,用于获取攻击者用于对SSH进行暴力破解的字典,输入命令以及上传或下载恶意文件 这些记录都会被记载到日志当中或者倒入数据库当中更方便查询。
10.Elasticpot: 模拟elastcisearch RCE漏洞的蜜罐,通过伪造函数在/,/_search, /_nodes的请求上回应脆弱ES实例的JSON格式消息。
11.Emobility: 在T-Pot中使用的高交互蜜罐容器, 旨在收集针对下一代交通基础设施的攻击动机和方法。Emobility蜜网包含一个中央收费系统,几个收费点,模拟用户的事务。一旦攻击者访问中控系统web界面,监控并处理运行收费交易,并与收费点交互。除此之外,在随机时间,黑客可能与正在收取车辆费用的用户进行交互。
12.Honeytrap: 观察针对TCP或UDP服务的攻击,作为一个守护程序模拟一些知名的服务,并能够分析攻击字符串,执行相应的下载文件指令。
13.Conpot: 低交互工控蜜罐,提供一系列通用工业控制协议, 能够模拟复杂的工控基础设施。
14.Opencanary内网低交互蜜罐正式开源!当前0.4版本与官方保持同步,支持16种协议,24种攻击特征识别。项目地址:https://github.com/p1r06u3/opencanary_web
蜜罐方向新技术:
蜜罐与攻击者之间的攻防演化将持续升级,在自身技术方面,提高蜜罐甜度、欺骗能力及改善 传统架构仍是发展重点,主要有:(1) 人工智能技术与蜜罐相融合:针对入侵者攻击动机,采用人工智能技术,使蜜罐具备智能交互性,提高蜜罐学习、反识别能力,以此获取更多 攻击交互数据有利于防御决策。(2) 区块链技术与蜜罐相融合:针对分布式蜜 罐、分布式蜜网等架构,借鉴区块链分布式、去中 心化技术,建立基于P2P架构的私有链或联盟链, 使蜜罐自动化运作并保证系统内部数据隐匿性。(3) 遗传演化计算与蜜罐相融合:针对攻防环境的复杂、变换,蜜罐可充分利用演化计算的高鲁棒性、普适性以适应不同环境下不同问题,使蜜罐具备自适应、自组织、自演化等优势。
在蜜罐应用方面,蜜罐与新技术应用相融合、 扩展至新兴领域是一种未来趋势: (1) 各层次云服务(IaaS, PaaS, SaaS)的普及, 为安全人员进行蜜罐研究提供了便利,作为云计算的延伸,边缘计算利用了网络边缘设备,具有极低时延优势。将蜜罐与边缘计算结合,对物联网终端蜜罐设备和传感器进行数据收集处理,并将结果传送至云端服务层,提高即时处理速度和降低服务端负荷。 (2) 目前蜜罐研究主要针对传统网络架构,作 为一种新型优势网络架构,SDN(软件定义网络)具有可编程、开放接口等特性,而在一些SDN开源项目中,存在拒绝服务攻击、北向接口协议攻击等行为,因此,蜜罐可应用至SDN,从控制器、接口等方面诱骗攻击者,维护网络安全稳定。 (3) 以硬件软件高度结合为特征的“新硬件时代”来临,无人驾驶技术、3D打印等新硬件设备成为攻击新靶标,可将轻量级蜜罐与新硬件设备结合,识别探测可疑攻击,拒绝恶意指令执行。
蜜罐新技术:高保真自适应欺骗仿真系统( High-Fidelity Adaptive Deception & Emulation System ),HADES的主旨在于提供欺骗环境并推进欺骗活动以梳理正在进行的攻击的相关情报和特征码。技术层面上看,HADES利用了云技术,特别是软件定义网络和虚拟机自省技术,可将被攻击虚拟系统从生产网络快速转移至去除了敏感数据的高保真虚拟版网络副本。HADES可将该虚拟机的状态迁移到网络的其他部分并开始模拟其周边环境。
在入侵者毫无所觉地探测该沙箱网络时,分析师就可以观察入侵者的行动,获悉他们的目标和所用攻击工具。可以观察对手的行为,重构防御工具,即时发展自身智能。
即便黑客最终发现自己是在沙箱中操作,因为不知道是何时被移出真实网络的,也就不清楚自己收集的数据到底有多少是真实的。HADES的目的就是要让攻击者产生疑虑。即便拿到了什么东西,到底是真的还是假的?对攻击者而言最恐怖的事,就是“世界还是那个世界,但发生了改变”。
但是,HADES并未取代攻击检测工具。事实上,虽然HADES也提供入侵检测工具,但却是利用了第三方应用。HADES提供了灵活的应用程序编程接口来与这些工具互动。