前言

在hvv中,从事溯源工作,对蜜罐产生了兴趣,学习学习,浅谈了解下蜜罐技术.

简介

为什么产生蜜罐?

在如今的互联网社会中,每个人都比现实生活中更加善于隐藏自己,而恶意的网络攻击者更加神秘,他们往往躲在肉鸡,代理,匿名服务器身后,进行网络攻击.

为了溯源,得到攻击者的相关信息,因此产生了蜜罐.

蜜罐是一种安全资源 ,其价值在于被扫描,攻击和攻陷. 它是一种在互联网上运行的,目的在于吸引攻击者,然后 记录下攻击者的一举一动的计算机系统.

简单的说,蜜罐是一个伪装成正常应用环境的一个容器,专门用来诱导攻击者对其进行攻击,然后通过蜜罐技术获得攻击者的信息. 蜜罐是一个被动中的主动.

蜜罐安全产品

知道创宇蜜罐

image

核心功能

  • 欺骗伪装,可以模拟企业多种真实业务
  • 威胁告警实时告警,能及时阻断攻击
  • 威胁态势同步展示,大屏实时监测威胁
  • 可以对攻击溯源,并分析入侵路径与攻击源
  • 系统状态性能监控

长亭谛听

image

核心功能

  • 全端口威胁感知
  • 异常流量监测与重定向
  • 高仿真高交互蜜罐
  • 攻击预警与行为分析
  • 攻击者溯源

默安幻阵

image

核心功能

  • 基于行为的威胁检测
  • 动态网络隔离攻击
  • 设备指纹威胁溯源
  • 防抵赖入侵取证
  • 覆盖企业多种IT环境

锦行科技-幻云

image

核心功能

  • 攻击欺骗与转移
  • 真实资产隔离防护
  • 攻击过程捕获分析

  • 蜃景(360)
  • 有影、有饵(元支点)
  • 春秋云阵(永信至诚)
  • 魅影(观安)
  • 捕风(安天)
  • 明鉴迷网(安恒)
  • 御阵(腾讯)
  • 潜听(天融信)
  • 听无声、戍将(经纬信安)
  • 幻影(非凡安全)
  • 天燕(启明星辰)
  • 幻境(卫达)

蜜罐技术

在蜜罐等基础上首先其支持是防真技术(防真才会诱导攻击者进行攻击)

仿真技术主要以下几种:
image

在防真技术的功能上主要分为以下几种:

  • 攻击诱导

    • 诱饵投放
    • 流量转发
    • 虚拟IP
    • 网络动态配置
  • 溯源反制

    • WEB反制
    • 扫描反制
    • 蜜标反制

这里简单说下:

  • 攻击诱导

    • 诱饵投放是指: 再服务器中投递一些开放端口,组织架构,员工邮箱,蜜罐的web站点登陆密码,蜜罐的web站点源码等,总之通过诱饵将攻击者引导至仿真环境中.
    • 流量转发:当安全产品识别为恶意攻击者时,通过流量转发,将攻击者试图访问正常资产等流量转发到仿真环境中去.
    • 虚拟ip是指:给单个主机绑定多个IP地址,通过在仿真环境里将IP资源绑定到蜜罐诱捕环境上来批量生成虚拟资产,提高蜜罐的覆盖率,增加攻击者攻击蜜罐的概率.
    • 网络动态配置: 真实网络系统的状态具有动态性,如果蜜罐系统是静态的,那么在入侵者的长期监视下,这种欺骗就容易暴露。因此需要动态配置系统,使其状态随时间而改变,从而更接近真实的系统,以增加蜜罐的欺骗性。
  • 溯源反制

    • web反制: 攻击者在浏览网站或WEB应用页面时,会下载页面数据、脚本文件在用户本地解析执行、渲染展示。利用这个特性,将反制脚本嵌入到正常的网站或WEB应用页面里,攻击者访问时也会将反制脚本自动下载到攻击者本地运行来获取溯源信息。

      • 获取攻击者主机操作系统和浏览器的特性信息,包括攻击者主机的操作系统类型、操作系统时区、屏幕分辨率、浏览器指纹、浏览器类型、浏览器版本等信息;
      • 通过应用的JSONP漏洞获取攻击者主机上曾经使用过的社交账号、攻击者手机号等个人信息;
      • 对攻击者本地端口进行扫描,获取攻击者本机开放端口等数据;
    • 扫描反制: 通过利用攻击者的扫描器漏洞,对攻击者在进行扫描或尝试攻击的同时,反向来获取攻击者的身份信息。常见扫描反制如下: mysql客户端任意文件下载,sqlmap反制,awvs反制,goby反制.
    • 蜜标文件多采用攻击者感兴趣的文件类型或文件名称,通过代码捆绑等技术向该文件中嵌入特定数据和代码,通过构造场景引诱攻击者去访问、下载蜜标文件,当攻击者下载并在本地打开蜜标文件时,就会触发内嵌代码,记录并回传攻击主机和攻击者特征信息来实现溯源和反制。

蜜罐风险

在蜜罐取证过程中,可能存在未被发现的黑客对蜜罐进行接管的风险。如果未意识到黑客对蜜罐的接管,那么这样的蜜罐是充满危险的。也就是说,如果一个蜜罐被入侵者攻陷,蜜罐管理员者却没有发现,那么蜜罐取证显然难以实
现,而且还可能会给真正的系统带来一定的风险。攻击者可以反而控制蜜罐,将蜜罐作为自己的一个跳板机,利用蜜罐继续相关的攻击.

蜜罐的风险控制

  • 根据实际需要选择最低风险的蜜罐
  • 强化系统的数据获取和报警功能
  • 增加连接控制和路由控制

参考链接:

https://safe.zol.com.cn/766/7662815.html

http://www.jsjkx.com/CN/article/openArticlePDF.jsp?id=3683

最后修改:2021 年 04 月 17 日 11 : 02 AM
如果觉得我的文章对你有用,请随意赞赏