信息化觀察網(wǎng)

0x00、前言

由于眾所周知的原因，2021年的護網(wǎng)行動來的特別早，預計4月8日開始。根據(jù)歷年來的護網(wǎng)最終披露的結(jié)果，絕大部分靶標都被攻陷，但是入侵路徑和內(nèi)參報告，絕大部分人是看不到的。對于這種HW環(huán)境，防守方更想提升自身防御體系的溯源能力，從開始的拔網(wǎng)線、關(guān)閉關(guān)鍵網(wǎng)絡(luò)服務、利用各種安全設(shè)備快速封禁惡意IP，到部署簡單的攻擊欺騙系統(tǒng)（蜜罐、密網(wǎng)），經(jīng)過這兩年的實戰(zhàn)業(yè)務場景打磨，為了更有效的防御，防守方采用了中高交互蜜罐的方式進行誘捕和攻擊引流。具備詳細的入侵告警日志、可溯源攻擊者身份、具備反制能力的攻擊欺騙系統(tǒng)是我們理想的護網(wǎng)利器，下面談談我對攻擊欺騙技術(shù)在護網(wǎng)中應用的理解。

0x01、攻擊欺騙系統(tǒng)演進歷史

我們要想了解如何應用攻擊欺騙技術(shù)到護網(wǎng)當中，我們就需要了解攻擊欺騙產(chǎn)品的演進路線。

早在2014年、gartner自適應安全架構(gòu)進化中提到了-防御矩陣中包含了誘導攻擊者。

轉(zhuǎn)移攻擊者：簡單來說，該領(lǐng)域功能可是企業(yè)在黑客攻防中獲得時間上的非對稱優(yōu)勢，通過多種技術(shù)使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞，以及隱藏混淆系統(tǒng)接口信息（如創(chuàng)建虛假系統(tǒng)、漏洞和信息）。

例如，被Juniper網(wǎng)絡(luò)收購的Mykonos科技可以創(chuàng)建一個無漏洞的應用層鏡像，隨后提供一個活躍目標的蜜罐。Unisys Stealth可以將網(wǎng)絡(luò)系統(tǒng)隱藏，而CSG's invotas解決方案整合了豐富多樣的偏離技術(shù)。雖然隱藏式安全并不能根本性解決問題，這種方式也視作一種可分層的、深層防御策略。

Mykonos Web能夠阻止他們破壞關(guān)鍵信息，通過虛假漏洞耗費攻擊者時間，并提供有價值情報阻擋潛在攻擊。

自左向右進行產(chǎn)品介紹：

1、2016年是國外攻擊欺騙產(chǎn)品的元年，自適應安全架構(gòu)的理念，從積極防御已經(jīng)轉(zhuǎn)變成，把黑客放進來，讓你留下入侵的痕跡，溯源你，反制你，這樣更有效果。

（1）以傳統(tǒng)安全大廠為代表的麥咖啡的IPS、HP IPS設(shè)備、Juniper IPS設(shè)備都積極的尋求相對應的攻擊欺騙技術(shù)產(chǎn)品，要么整合要么自研。這期間，DNS天坑技術(shù)被各大IPS廠商玩的如火純青。這是第一條技術(shù)路線。但是后來傳統(tǒng)安全大廠發(fā)現(xiàn)附加值并不是很大，而且誤報率高（當時，威脅情報還沒有形成氣候），而且沒有革命性的技術(shù)選型。最終都放棄整合，Juniper這8000萬美金花的冤呀。

（2）WAF+蜜罐的技術(shù)路線，也不錯，但是沒有經(jīng)過用戶打磨，相對來說技術(shù)不成熟。

（3）真正革命性的產(chǎn)品是以Attivo Networks為代表的獨立沙箱+蜜罐的選型，應該是最早使用openstack技術(shù)應用到安全產(chǎn)品上，它可模擬中等交互蜜罐：RDP、SSH、FTP等服務、融合kill chain技術(shù)，提供蜜罐覆蓋率、服務蜜罐管理、malware payload分析、virustotal威脅情報對接。

2、2018年是國內(nèi)攻擊欺騙產(chǎn)品的元年，國內(nèi)涌現(xiàn)出一批攻擊欺騙廠商，針對于內(nèi)網(wǎng)蜜罐系統(tǒng)，最具代表性有默安科技的幻陣系統(tǒng)；針對公網(wǎng)最具代表性的產(chǎn)品360netlab團隊的Anglerfish?？梢圆蹲?day。這期間的蜜罐、密網(wǎng)技術(shù)更成熟，包括可模擬Windows、Linux等操作系統(tǒng)，同時添加了設(shè)備指紋功能幫助溯源。也有一些新興的云廠商開始嘗試在公有云上使用原生容器部署蜜罐系統(tǒng)。用戶使用反饋也不錯。

3、2020年是攻擊欺騙產(chǎn)品在護網(wǎng)行動中深度實踐的一年，這期間的蜜罐系統(tǒng)有了質(zhì)的飛躍，開始使用容器平臺（k8s）部署了，也可以通過多云容器管理平臺部署到世界上的任何一個角落。為了更好的隔離也使用了原生Pod等容器技術(shù)。

0x02、護網(wǎng)行動防守方的挑戰(zhàn)與應對之策

護網(wǎng)行動中的技術(shù)挑戰(zhàn)：

1、許多企業(yè)，特別是國有企業(yè)、數(shù)字政府，在護網(wǎng)建設(shè)方面投入的大量的資金，但是實戰(zhàn)化的防御支撐能力明顯不足。普遍是重邊界、輕內(nèi)網(wǎng)防御，造成了一旦邊界被破，內(nèi)網(wǎng)整體垮掉的風險。

2、面對0day攻擊無法有效發(fā)現(xiàn)，理論上說0day攻擊是無法防御的，目前大部分企業(yè)通過設(shè)備自帶的威脅情報檢測。對現(xiàn)有的惡意域名庫、惡意IP庫等，因為攻擊方使用的都是新的域名和IP，這也是黑名單做安全的尷尬。

3、針對攻擊溯源，2020年的護網(wǎng)行動大部分用戶都部署了內(nèi)網(wǎng)蜜罐系統(tǒng)，但是絕大部分是內(nèi)網(wǎng)低交互蜜罐，只是內(nèi)部發(fā)現(xiàn)掃描行為，而且大部分都是設(shè)備探活誤報，根本沒有達到攻擊欺騙的效果。

我們?nèi)绾螒獙Γ?/p>

1、在內(nèi)外網(wǎng)都部署蜜罐、蜜網(wǎng)系統(tǒng)，尤其是內(nèi)網(wǎng)，護網(wǎng)期間被擊穿是無法避免的，那么，我們應該把內(nèi)網(wǎng)當成外網(wǎng)一樣的級別防御，不能有重外輕內(nèi)的思想。同時滿足多場景部署部署，支持公有云、專有云、私有云部署。

2、部署0day事后分析程序、部署Nday漏洞蜜罐。

0day捕獲蜜罐，存儲所有在主機上socket-process-file信息上傳到clickhouse，存儲，分析。

Nday漏洞模擬：

一、遠程代碼執(zhí)行:

（1）Apache Solr XXE&RCE漏洞（CVE-2017-12629）

（2）Apache Solr DataImportHandler遠程命令執(zhí)行漏洞（CVE-2019-0193)

（3）Elasticsearch Groovy遠程命令執(zhí)行（CVE-2015-1427）

（4）Jenkins遠程代碼執(zhí)行（CVE-2018-1000861,CVE-2019-1003005 and CVE-2019-1003029）

（5）Zabbix API JSON-RPC遠程命令執(zhí)行漏洞

（6）WordPress遠程代碼執(zhí)行漏洞

（7）ThinkPHP 5.0.x遠程代碼執(zhí)行漏洞

（8）Supervisord遠程代碼執(zhí)行漏洞（CVE-2017-11610）

（9）SaltStack身份驗證繞過漏洞（CVE-2020-11651）和目錄遍歷漏洞（CVE-2020-11652）

（10）Spring Data REST遠程代碼執(zhí)行漏洞（CVE-2017-8046）

（11）Spring Data Commons遠程命令執(zhí)行漏洞（CVE-2018-1273）

（12）Struts2遠程命令執(zhí)行漏洞（053、015、013、007）

（13）泛微OA BSH遠程代碼執(zhí)行漏洞

二、未授權(quán)訪問：

（1）Redis弱密碼

（2）MongoDB未授權(quán)或弱口令

（3）Memcached未授權(quán)訪問或弱口令

（4）phpMyAdmin存在弱口令

（5）Zabbix對外開放或弱口令

（6）Docker(Swarm)api未授權(quán)訪問漏洞

（7）Kubernetes API未授權(quán)訪問

（8）Jenkins未授權(quán)訪問

（9）Kibana未授權(quán)訪問

（10）Hadoop YARN ResourceManager未授權(quán)訪問

（11）Harbor未授權(quán)創(chuàng)建管理員漏洞（CVE-2019-16097）[版本檢測]

（12）Spark Master Web UI未授權(quán)訪問漏洞

三、Java反序列化：

（1）Java RMI反序列化漏洞

（2）JBoss readonly Java反序列化漏洞（CVE-2017-12149）

（3）Jenkins反序列化遠程代碼執(zhí)行漏洞（CVE-2017-1000353）

（4）WebLogic XMLDecoer Java反序列化漏洞

（5）WebLogic T3協(xié)議反序列化漏洞（CVE-2016-0638、CVE-2016-3510、CVE-2017-3248）

（6）WebLogic cve-2019-2725/cve-2019-2729反序列化遠程命令執(zhí)行漏洞

（7）Apache Log4j Server反序列化命令執(zhí)行漏洞（CVE-2017-5645）

（8）Apache Shiro 1.2.4反序列化遠程代碼執(zhí)行漏洞

（9）fastjson反序列化漏洞

四、文件讀取/上傳：

（1）Confluence任意文件讀取漏洞

（2）用友NC SQL注入漏洞

（3）Apache Tomcat文件包含漏洞（CVE-2020-1938）

（4）Weblogic任意文件上傳漏洞（CVE-2018-2894）

五、SQL注入：

（1）Apache Solr Velocity模板注入

（2）Apache APISIX Admin API默認Token漏洞（CVE-2020-13945）

（3）Zabbix jsrpc.php SQL注入漏洞

（4）Zabbix latest.php SQL注入漏洞

（5）泛微OA e-cology SQL注入漏洞

3、內(nèi)網(wǎng)外網(wǎng)部署中高交互蜜罐，內(nèi)網(wǎng)需要部署漏洞靶標。加快黑客入侵速度，可獲取黑客payload溯源。下面做一下定義：

高交互蜜罐：模擬真實的系統(tǒng)，根據(jù)蜜罐業(yè)務需要重點模擬：windows操作系統(tǒng)沙箱，linux沙箱等（sysdig）

中交互蜜罐：只是簡單模擬服務，記錄用戶攻擊行為。只對部分操作的操作進行響應（當然需要模擬文件系統(tǒng)）。例如：Cowrie、kippo等。

基礎(chǔ)服務：Windows AD域、Exchange、SSH、RDP

中間件服務：apache、tomcat、weblogic、jboss、websphere、Nginx

數(shù)據(jù)庫服務：elastic search、MongoDB、memcache、MySQL、Redis、oracle

應用服務：wordpress、金蝶-U9、泛微OA、jumpserver、gitlab、jenkins、zabbix、conflunece、harbor、rancher

0x03、業(yè)務賦能場景

1、在公有云或者專有云internet區(qū)部署中高交互蜜罐、蜜網(wǎng)系統(tǒng)。

在專有云中，建議通過k8s方式部署，可以安全的采集基礎(chǔ)數(shù)據(jù)，包括Pod中運行的進程信息、DNS訪問信息、可通過Fluentd-elasticsearch對接所有日志。

2、設(shè)置云蜜網(wǎng)，使用WAF重定向能力把惡意數(shù)據(jù)引流到云蜜網(wǎng)中。

3、通過EDR獲取詳細蜜罐基礎(chǔ)數(shù)據(jù)，防止0day入侵后，有據(jù)可查。

對存在問題蜜罐數(shù)據(jù)采集。

4、溯源

在wordpress、金蝶-U9、泛微OA等web應用中部署Jsonp探針，獲取社交網(wǎng)站信息、瀏覽器指紋，過去30天行為。聯(lián)動威脅情報處置，設(shè)置webhook，可通知釘釘、飛書、微信。發(fā)生攻擊可及時發(fā)現(xiàn)。

0x04、攻擊欺騙技術(shù)未來規(guī)劃

能想到的：引流部分增加AI識別惡意流量重定向，快速克隆業(yè)務系統(tǒng)，深度設(shè)備指紋技術(shù)。但是更重要的是HW的防守方產(chǎn)品用的順手。