“迷网”系列科普(二):欺骗诱捕技术的基础组件,“钓鱼”得靠它们!
上期,我们简单讲解了欺骗诱捕体系的概念与作用。
“迷网”系列科普(一):让攻击者逃不出的“盗梦空间”——欺骗诱捕技术介绍
这次我们将重点谈谈,主要应用与实践的几项技术。
想要搭建欺骗诱捕体系,主要有几个步骤:
1、制定剧本,设计预期的攻击走向,后续的步骤均将诱使攻击者的攻击活动按照预定轨迹行动。
2、对保护对象进行仿真,对象可能是终端,也可能是网站,也可能是数据库等等。
3、设置诱饵,对内容进行仿真、伪造,给攻击者制定更具有诱惑力的目标,可以是文件、某个网站页面也可以是数据库中的数据等等。
4、准备所需的专用软件、反制工具、溯源工具等。
5、按照预定剧本配置引流入口并进行组网。
为了完成这一系列目标,我们需要更专业一些的描述方式。在此之前,我们需要先来了解几个概念,也是本期的重点:蜜罐、蜜饵、蜜标、蜜网与蜜场。
01
蜜罐
蜜罐,英文名Honeypot。这个概念早在1988年就被CliffordStoll提出,他认为“蜜罐是一个了解黑客的有效手段”,并且有出版一部黑客小说《The Cuckoo's Egg》。我们再参考一下维基百科、百度百科上的解释:专指用来侦测或抵御未经授权操作或者是黑客攻击的陷阱,因原理类似诱捕昆虫的蜜罐因而得名。其作用方法是通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击。
这样我们大致可以理解为,其是通过构建一个专门用来吸引攻击者攻击的目标对象,以捕获攻击者的一个陷阱。考虑到资源利用率问题,这类技术往往采用虚拟化技术实现,如KVM、VMware、Docker等。
蜜罐有很多种分类方法:按其部署目的可分为产品型与研究型;按照其交互等级,可以分为低交互、中交互、高交互三种;按照其表现出来的形态区分,种类无疑就更多了,操作系统类、服务类、Web应用类、数据库类、物联网终端类、工控设备类等等。
这里我们重点讨论一下按照交互等级的分类方法。什么是低交互蜜罐呢?想必在仔细阅读本文的你应该具备一定的攻防经验吧。我们都了解过,要想入侵一个目标,最开始的过程就是信息收集,扫描、探测是常用的手段,我们利用自动化工具比如NMAP,对目标主机发起探测后,对应的主机会返回一段信息作为反馈,通过对这个信息进行分析NMAP就得到了目标主机是否存活、开放了哪些端口和服务、可能是怎样的操作系统等等诸如此类的信息,没错,低交互就是主要作用于这个阶段,其仿造了这样的存活的IP、网站、服务,在攻击者进行探测扫描时能够发现这样的对象。那高交互蜜罐呢?其实就是更深入一些,不仅仅作用于这个阶段,高交互蜜罐具有更多的操作空间,你可以利用弱口令登录它,可以像一个真正的网站访问它,可以用数据库客户端连接访问它。想必说到这,你已经大致了解了高交互、低交互蜜罐的差别了,低交互只提供了应答仿真,并不能进行后续的深度交互,就是这样的一个界定区别。在实际应用中,我们一般不去讨论中交互蜜罐,主要也是因为其不好界定,可以理解其是在低交互蜜罐的基础上做了进一步的延伸,但又并非通过实体硬件或虚拟化技术仿真出的可操作性实例。
从对蜜罐交互性层面上的讨论,您大致可以了解到这样的一个概念,就是蜜罐是有仿真度差别的。那问题又来了,为什么不都用高交互蜜罐呢?为什么要做低交互蜜罐?主要有两方面原因:一是,并不是所有的仿真对象,都那么容易仿真,高交互蜜罐大多数的实现方式就是“真正的搭建了一套相似的环境”,这个过程最好有与目标完全相同的软件环境,比如实现一个数据库类型的高交互蜜罐,最好的办法就是在虚拟机中直接搭建一套数据库软件,并在其中添加一些仿真数据,但并不是所有的环境都如此容易的获得对应的软件,比如工业控制系统设备,我们只能对其协议与应答进行仿真。第二点原因在于资源的利用率问题,上文我们讲到欺骗技术的根本目的有两个,其一是干扰攻击者的认知、攻击过程,增加网络复杂度是极好的一种干扰方式,可以增加攻击者的攻击成本,另一方面可以感知攻击者的攻击动作,低交互的方式由于其资源耗损比较少,因此占用资源更低,往往可以用于扩大蜜罐的部署范围以及将网络复杂化工作。而高交互蜜罐则往往用于希望捕捉攻击者更多信息的时候使用,比如身份追溯、行为分析。
02
蜜饵与蜜标
蜜饵(Honeybait),从字面意义上理解就是诱饵的意思,通过布置一些攻击者可能感兴趣的资源作为诱饵,以达到吸引攻击者的目的。该资源同样不提供真实的服务,所以一般情况下不会被正常人触动,所以一旦触动时基本可以判断为系统被入侵。到这大家是不是发现,概念上跟蜜罐有一点相似?同样都是吸引攻击者攻击,同样都是仿真。二者的主要区别其实在于,蜜饵是布置在“用户真实环境”当中的,可以是文件、数据或某个Web页面等,当攻击者对真实环境中的目标进行入侵时起到诱饵的作用,而蜜罐本身是“虚假的对象”,本身就是诱导攻击者进行攻击的目标。
另一个概念,蜜标(Honeytoken),这个概念其实是在蜜饵的基础上,增加了反制手段,比如在文件中增加了反制方法(如木马、反溯脚本等),当文件被打开时,蜜标可以反向采集攻击者信息甚至反控攻击者主机。
实际交流时,二者往往不做区分,统一用蜜饵代指。
03
蜜网与蜜场
再来说说蜜网(Honeynet),蜜网是由1个或多个实例化的蜜罐构成的诱捕网络,就是对蜜罐通过网络配置、网络编排的技术进行组网的产物,一般是纯粹由蜜罐构成的,独立于“用户真实环境”的。
一个独立的网络,脱离了用户的真实环境,显然不是最佳的部署方案,而且都由蜜罐来构成网络,网络越大,资源的消耗也越大,对蜜网范围的扩张也是不利的。那对此,通常来说厂商会提供一个专用的重定向器(俗称Agent),用以安装在用户真实环境中的空闲主机或服务器中,并将其指定端口的流量转发引流至蜜罐。那在蜜网的基础上,结合这种引流技术形成的新的网络,就叫做蜜场(Honeyfarm)了。
实际交流时,二者往往不做区分,统一用蜜网代指。
本期我们主要讲述了构建欺骗诱捕体系时,常用的几种概念,这些都是在构建欺骗诱捕网络时的基础组件。在这些组件技术的基础上,按照提前准备好的剧本,安排引流入口、诱捕信息的发布渠道,并且布置好仿真的数据、应用,之后就是等待鱼儿上钩了。
当然,仅仅了解几种概念,你可能还没解渴,后面我们会再由浅入深,逐渐分享一些“干货”。
//下期预告
理论介绍篇(一)欺骗诱捕网络的部署方式
往期精选
围观
热文
护航亚运|安恒信息重磅推出“九维五星” 网络安全场景化保障体系
热文