前言

由于眾所周知的原因，2021年的護(hù)網(wǎng)行動(dòng)來(lái)的特別早，預(yù)計(jì)4月8日開(kāi)始。根據(jù)歷年來(lái)的護(hù)網(wǎng)最終披露的結(jié)果，絕大部分靶標(biāo)都被攻陷，但是入侵路徑和內(nèi)參報(bào)告，絕大部分人是看不到的。對(duì)于這種HW環(huán)境，防守方更想提升自身防御體系的溯源能力，從開(kāi)始的拔網(wǎng)線、關(guān)閉關(guān)鍵網(wǎng)絡(luò)服務(wù)、利用各種安全設(shè)備快速封禁惡意IP，到部署簡(jiǎn)單的攻擊欺騙系統(tǒng)(蜜罐、密網(wǎng))，經(jīng)過(guò)這兩年的實(shí)戰(zhàn)業(yè)務(wù)場(chǎng)景打磨，為了更有效的防御，防守方采用了中高交互蜜罐的方式進(jìn)行誘捕和攻擊引流。具備詳細(xì)的入侵告警日志、可溯源攻擊者身份、具備反制能力的攻擊欺騙系統(tǒng)是我們理想的護(hù)網(wǎng)利器，下面談?wù)勎覍?duì)攻擊欺騙技術(shù)在護(hù)網(wǎng)中應(yīng)用的理解。

攻擊欺騙系統(tǒng)演進(jìn)歷史

我們要想了解如何應(yīng)用攻擊欺騙技術(shù)到護(hù)網(wǎng)當(dāng)中，我們就需要了解攻擊欺騙產(chǎn)品的演進(jìn)路線。

早在2014年、gartner自適應(yīng)安全架構(gòu)進(jìn)化中提到了-防御矩陣中包含了誘導(dǎo)攻擊者。

轉(zhuǎn)移攻擊者：簡(jiǎn)單來(lái)說(shuō)，該領(lǐng)域功能可是企業(yè)在黑客攻防中獲得時(shí)間上的非對(duì)稱優(yōu)勢(shì)，通過(guò) 多種技術(shù)使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞，以及隱藏\混淆系統(tǒng)接口\信息(如創(chuàng)建虛假系統(tǒng)、漏洞和信息)。

例如，被 Juniper 網(wǎng)絡(luò)收購(gòu)的 Mykonos 科技可以創(chuàng)建一個(gè)無(wú)漏洞的應(yīng)用層鏡像，隨后提供一個(gè)活躍目標(biāo)的蜜罐。Unisys Stealth 可以將網(wǎng)絡(luò)系統(tǒng)隱藏，而 CSG's invotas 解決方案整合了豐富多樣的偏離技術(shù)。雖然隱藏式安全并不能根本性解決問(wèn)題，這種方式也視作一種可分層的、深層防御策略。

Mykonos Web能夠阻止他們破壞關(guān)鍵信息，通過(guò)虛假漏洞耗費(fèi)攻擊者時(shí)間，并提供有價(jià)值情報(bào)阻擋潛在攻擊

自左向右進(jìn)行產(chǎn)品介紹：

(1) 2016年是國(guó)外攻擊欺騙產(chǎn)品的元年，自適應(yīng)安全架構(gòu)的理念，從積極防御已經(jīng)轉(zhuǎn)變成，把黑客放進(jìn)來(lái)，讓你留下入侵的痕跡，溯源你，反制你，這樣更有效果。

• 以傳統(tǒng)安全大廠為代表的麥咖啡的IPS、HP IPS設(shè)備、Juniper IPS設(shè)備都積極的尋求相對(duì)應(yīng)的攻擊欺騙技術(shù)產(chǎn)品，要么整合要么自研。這期間，DNS天坑技術(shù)被各大IPS廠商玩的如火純青。這是第一條技術(shù)路線。但是后來(lái)傳統(tǒng)安全大廠發(fā)現(xiàn)附加值并不是很大，而且誤報(bào)率高(當(dāng)時(shí)，威脅情報(bào)還沒(méi)有形成氣候)，而且沒(méi)有革命性的技術(shù)選型。最終都放棄整合，Juniper這8000萬(wàn)美金花的冤呀。
• WAF+蜜罐的技術(shù)路線，也不錯(cuò)，但是沒(méi)有經(jīng)過(guò)用戶打磨，相對(duì)來(lái)說(shuō)技術(shù)不成熟。
• 真正革命性的產(chǎn)品是 以Attivo Networks 為代表的獨(dú)立沙箱+蜜罐的選型，應(yīng)該是最早使用openstack技術(shù)應(yīng)用到安全產(chǎn)品上，它可模擬中等交互蜜罐：RDP、SSH、FTP等服務(wù)、融合kill chain技術(shù)，提供蜜罐覆蓋率、服務(wù)蜜罐管理、malware payload分析、virustotal 威脅情報(bào)對(duì)接。

(2) 2018年是國(guó)內(nèi)攻擊欺騙產(chǎn)品的元年，國(guó)內(nèi)涌現(xiàn)出一批攻擊欺騙廠商，針對(duì)于內(nèi)網(wǎng)蜜罐系統(tǒng)，最具代表性有默安科技的幻陣系統(tǒng);針對(duì)公網(wǎng)最具代表性的產(chǎn)品360netlab團(tuán)隊(duì)的Anglerfish?？梢圆蹲?day。這期間的蜜罐、密網(wǎng)技術(shù)更成熟，包括可模擬Windows、Linux等操作系統(tǒng)，同時(shí)添加了設(shè)備指紋功能幫助溯源。也有一些新興的云廠商開(kāi)始嘗試在公有云上使用原生容器部署蜜罐系統(tǒng)。用戶使用反饋也不錯(cuò)。

(3) 2020年是攻擊欺騙產(chǎn)品在護(hù)網(wǎng)行動(dòng)中深度實(shí)踐的一年，這期間的蜜罐系統(tǒng)有了質(zhì)的飛躍，開(kāi)始使用容器平臺(tái)(k8s)部署了，也可以通過(guò)多云容器管理平臺(tái)部署到世界上的任何一個(gè)角落。為了更好的隔離也使用了原生Pod等容器技術(shù)。

護(hù)網(wǎng)行動(dòng)防守方的挑戰(zhàn)與應(yīng)對(duì)之策

護(hù)網(wǎng)行動(dòng)中的技術(shù)挑戰(zhàn)：

• 許多企業(yè)，特別是國(guó)有企業(yè)、數(shù)字政府，在護(hù)網(wǎng)建設(shè)方面投入的大量的資金，但是實(shí)戰(zhàn)化的防御支撐能力明顯不足。普遍是重邊界、輕內(nèi)網(wǎng)防御，造成了一旦邊界被破，內(nèi)網(wǎng)整體垮掉的風(fēng)險(xiǎn)。
• 面對(duì)0day攻擊無(wú)法有效發(fā)現(xiàn)，理論上說(shuō)0day攻擊是無(wú)法防御的，目前大部分企業(yè)通過(guò)設(shè)備自帶的威脅情報(bào)檢測(cè)。對(duì)現(xiàn)有的惡意域名庫(kù)、惡意IP庫(kù)等，因?yàn)楣舴绞褂玫亩际切碌挠蛎虸P，這也是黑名單做安全的尷尬。
• 針對(duì)攻擊溯源，2020年的護(hù)網(wǎng)行動(dòng)大部分用戶都部署了內(nèi)網(wǎng)蜜罐系統(tǒng)，但是絕大部分是內(nèi)網(wǎng)低交互蜜罐，只是內(nèi)部發(fā)現(xiàn)掃描行為，而且大部分都是設(shè)備探活誤報(bào)，根本沒(méi)有達(dá)到攻擊欺騙的效果。

我們?nèi)绾螒?yīng)對(duì)?

• 在內(nèi)外網(wǎng)都部署蜜罐、蜜網(wǎng)系統(tǒng)，尤其是內(nèi)網(wǎng)，護(hù)網(wǎng)期間被擊穿是無(wú)法避免的，那么，我們應(yīng)該把內(nèi)網(wǎng)當(dāng)成外網(wǎng)一樣的級(jí)別防御，不能有重外輕內(nèi)的思想。同時(shí)滿足多場(chǎng)景部署部署，支持公有云、專有云、私有云部署。
• 部署0day事后分析程序、部署Nday漏洞蜜罐。

0day捕獲蜜罐，存儲(chǔ)所有在主機(jī)上socket-process-file信息上傳到clickhouse，存儲(chǔ)，分析。

Nday漏洞模擬：

1. 遠(yuǎn)程代碼執(zhí)行:

(1)Apache Solr XXE & RCE 漏洞(CVE-2017-12629)

(2)Apache Solr DataImportHandler遠(yuǎn)程命令執(zhí)行漏洞(CVE-2019-0193)

(3)Elasticsearch Groovy 遠(yuǎn)程命令執(zhí)行(CVE-2015-1427)

(4)Jenkins 遠(yuǎn)程代碼執(zhí)行(CVE-2018-1000861, CVE-2019-1003005 and CVE-2019-1003029)

(5)Zabbix API JSON-RPC 遠(yuǎn)程命令執(zhí)行漏洞

(6)WordPress 遠(yuǎn)程代碼執(zhí)行漏洞

(7)ThinkPHP 5.0.x 遠(yuǎn)程代碼執(zhí)行漏洞

(8)Supervisord 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-11610)

(9)SaltStack 身份驗(yàn)證繞過(guò)漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652)

(10)Spring Data REST 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8046)

(11)Spring Data Commons 遠(yuǎn)程命令執(zhí)行漏洞(CVE-2018-1273)

(12)Struts2 遠(yuǎn)程命令執(zhí)行漏洞(053 、015、013、007)

(13)泛微OA BSH 遠(yuǎn)程代碼執(zhí)行漏洞

2. 未授權(quán)訪問(wèn)：

(1)Redis 弱密碼

(2)MongoDB未授權(quán)或弱口令

(3)Memcached未授權(quán)訪問(wèn)或弱口令

(4)phpMyAdmin 存在弱口令

(5)Zabbix對(duì)外開(kāi)放或弱口令

(6)Docker(Swarm) api 未授權(quán)訪問(wèn)漏洞

(7)Kubernetes API 未授權(quán)訪問(wèn)

(8)Jenkins 未授權(quán)訪問(wèn)

(9)Kibana 未授權(quán)訪問(wèn)

(10)Hadoop YARN ResourceManager 未授權(quán)訪問(wèn)

(11)Harbor 未授權(quán)創(chuàng)建管理員漏洞(CVE-2019-16097)[版本檢測(cè)]

(12)Spark Master Web UI 未授權(quán)訪問(wèn)漏洞

3. Java反序列化：

(1)Java RMI 反序列化漏洞

(2)JBoss readonly Java 反序列化漏洞(CVE-2017-12149)

(3)Jenkins 反序列化遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-1000353)

(4)WebLogic XMLDecoer Java 反序列化漏洞

(5)WebLogic T3 協(xié)議反序列化漏洞(CVE-2016-0638、CVE-2016-3510、CVE-2017-3248)

(6)WebLogic cve-2019-2725/cve-2019-2729 反序列化遠(yuǎn)程命令執(zhí)行漏洞

(7)Apache Log4j Server 反序列化命令執(zhí)行漏洞(CVE-2017-5645)

(8)Apache Shiro 1.2.4 反序列化遠(yuǎn)程代碼執(zhí)行漏洞

(9)fastjson 反序列化漏洞

4. 文件讀取/上傳：

(1)Confluence 任意文件讀取漏洞

(2)用友NC SQL注入漏洞

(3)Apache Tomcat 文件包含漏洞(CVE-2020-1938)

(4)Weblogic 任意文件上傳漏洞(CVE-2018-2894)

5. SQL注入：

(1)Apache Solr Velocity模板注入

(2)Apache APISIX Admin API 默認(rèn)Token漏洞(CVE-2020-13945)

(3)Zabbix jsrpc.php SQL注入漏洞

(4)Zabbix latest.php SQL注入漏洞

(5)泛微OA e-cology SQL注入漏洞

內(nèi)網(wǎng)外網(wǎng)部署中高交互蜜罐，內(nèi)網(wǎng)需要部署漏洞靶標(biāo)。加快黑客入侵速度，可獲取黑客payload溯源。下面做一下定義：

• 高交互蜜罐：模擬真實(shí)的系統(tǒng)，根據(jù)蜜罐業(yè)務(wù)需要重點(diǎn)模擬：windows操作系統(tǒng)沙箱，linux沙箱等(sysdig)
• 中交互蜜罐：只是簡(jiǎn)單模擬服務(wù)，記錄用戶攻擊行為。只對(duì)部分操作的操作進(jìn)行響應(yīng)(當(dāng)然需要模擬文件系統(tǒng))。例如：Cowrie、kippo等。
• 基礎(chǔ)服務(wù)：Windows AD域、Exchange、SSH、RDP
• 中間件服務(wù)：apache、tomcat、weblogic、jboss、websphere、Nginx
• 數(shù)據(jù)庫(kù)服務(wù)：elastic search、MongoDB、memcache、MySQL、Redis、oracle
• 應(yīng)用服務(wù)：wordpress、金蝶-U9、泛微OA、jumpserver、gitlab、jenkins、zabbix、conflunece、harbor、rancher

業(yè)務(wù)賦能場(chǎng)景

(1) 在公有云或者專有云internet區(qū)部署中高交互蜜罐、蜜網(wǎng)系統(tǒng)。

在專有云中，建議通過(guò)k8s方式部署，可以安全的采集基礎(chǔ)數(shù)據(jù)，包括Pod中運(yùn)行的進(jìn)程信息、DNS訪問(wèn)信息、可通過(guò)Fluentd-elasticsearch對(duì)接所有日志。

(2) 設(shè)置云蜜網(wǎng)，使用WAF重定向能力把惡意數(shù)據(jù)引流到云蜜網(wǎng)中。

(3) 通過(guò)EDR獲取詳細(xì)蜜罐基礎(chǔ)數(shù)據(jù)，防止0day入侵后，有據(jù)可查。

對(duì)存在問(wèn)題蜜罐數(shù)據(jù)采集。

(4) 溯源

在wordpress、金蝶-U9、泛微OA等web應(yīng)用中部署Jsonp探針，獲取社交網(wǎng)站信息、瀏覽器指紋，過(guò)去30天行為。聯(lián)動(dòng)威脅情報(bào)處置，設(shè)置webhook，可通知釘釘、飛書(shū)、微信。發(fā)生攻擊可及時(shí)發(fā)現(xiàn)。

攻擊欺騙技術(shù)未來(lái)規(guī)劃

能想到的：引流部分增加AI識(shí)別惡意流量重定向，快速克隆業(yè)務(wù)系統(tǒng)，深度設(shè)備指紋技術(shù)。但是更重要的是HW的防守方產(chǎn)品用的順手。