安全 | 攻击欺骗技术在护网行动的应用

前言

由于众所周知的原因，2021年的护网行动来的特别早，预计4月8日开始。根据历年来的护网最终披露的结果，绝大部分靶标都被攻陷，但是入侵路径和内参报告，绝大部分人是看不到的。对于这种HW环境，防守方更想提升自身防御体系的溯源能力，从开始的拔网线、关闭关键网络服务、利用各种安全设备快速封禁恶意IP，到部署简单的攻击欺骗系统(蜜罐、密网)，经过这两年的实战业务场景打磨，为了更有效的防御，防守方采用了中高交互蜜罐的方式进行诱捕和攻击引流。具备详细的入侵告警日志、可溯源攻击者身份、具备反制能力的攻击欺骗系统是我们理想的护网利器，下面谈谈我对攻击欺骗技术在护网中应用的理解。

攻击欺骗系统演进历史

我们要想了解如何应用攻击欺骗技术到护网当中，我们就需要了解攻击欺骗产品的演进路线。

早在2014年、gartner自适应安全架构进化中提到了-防御矩阵中包含了诱导攻击者。

转移攻击者：简单来说，该领域功能可是企业在黑客攻防中获得时间上的非对称优势，通过 多种技术使攻击者难以定位真正的系统核心以及可利用漏洞，以及隐藏\混淆系统接口\信息(如创建虚假系统、漏洞和信息)。

例如，被 Juniper 网络收购的 Mykonos 科技可以创建一个无漏洞的应用层镜像，随后提供一个活跃目标的蜜罐。Unisys Stealth 可以将网络系统隐藏，而 CSG's invotas 解决方案整合了丰富多样的偏离技术。虽然隐藏式安全并不能根本性解决问题，这种方式也视作一种可分层的、深层防御策略。

Mykonos Web能够阻止他们破坏关键信息，通过虚假漏洞耗费攻击者时间，并提供有价值情报阻挡潜在攻击

自左向右进行产品介绍：

(1) 2016年是国外攻击欺骗产品的元年，自适应安全架构的理念，从积极防御已经转变成，把黑客放进来，让你留下入侵的痕迹，溯源你，反制你，这样更有效果。

• 以传统安全大厂为代表的麦咖啡的IPS、HP IPS设备、Juniper IPS设备都积极的寻求相对应的攻击欺骗技术产品，要么整合要么自研。这期间，DNS天坑技术被各大IPS厂商玩的如火纯青。这是第一条技术路线。但是后来传统安全大厂发现附加值并不是很大，而且误报率高(当时，威胁情报还没有形成气候)，而且没有革命性的技术选型。最终都放弃整合，Juniper这8000万美金花的冤呀。
• WAF+蜜罐的技术路线，也不错，但是没有经过用户打磨，相对来说技术不成熟。
• 真正革命性的产品是 以Attivo Networks 为代表的独立沙箱+蜜罐的选型，应该是最早使用openstack技术应用到安全产品上，它可模拟中等交互蜜罐：RDP、SSH、FTP等服务、融合kill chain技术，提供蜜罐覆盖率、服务蜜罐管理、malware payload分析、virustotal 威胁情报对接。

(2) 2018年是国内攻击欺骗产品的元年，国内涌现出一批攻击欺骗厂商，针对于内网蜜罐系统，最具代表性有默安科技的幻阵系统;针对公网最具代表性的产品360netlab团队的Anglerfish。可以捕捉0day。这期间的蜜罐、密网技术更成熟，包括可模拟Windows、Linux等操作系统，同时添加了设备指纹功能帮助溯源。也有一些新兴的云厂商开始尝试在公有云上使用原生容器部署蜜罐系统。用户使用反馈也不错。

(3) 2020年是攻击欺骗产品在护网行动中深度实践的一年，这期间的蜜罐系统有了质的飞跃，开始使用容器平台(k8s)部署了，也可以通过多云容器管理平台部署到世界上的任何一个角落。为了更好的隔离也使用了原生Pod等容器技术。

护网行动防守方的挑战与应对之策

护网行动中的技术挑战：

• 许多企业，特别是国有企业、数字政府，在护网建设方面投入的大量的资金，但是实战化的防御支撑能力明显不足。普遍是重边界、轻内网防御，造成了一旦边界被破，内网整体垮掉的风险。
• 面对0day攻击无法有效发现，理论上说0day攻击是无法防御的，目前大部分企业通过设备自带的威胁情报检测。对现有的恶意域名库、恶意IP库等，因为攻击方使用的都是新的域名和IP，这也是黑名单做安全的尴尬。
• 针对攻击溯源，2020年的护网行动大部分用户都部署了内网蜜罐系统，但是绝大部分是内网低交互蜜罐，只是内部发现扫描行为，而且大部分都是设备探活误报，根本没有达到攻击欺骗的效果。

我们如何应对?

• 在内外网都部署蜜罐、蜜网系统，尤其是内网，护网期间被击穿是无法避免的，那么，我们应该把内网当成外网一样的级别防御，不能有重外轻内的思想。同时满足多场景部署部署，支持公有云、专有云、私有云部署。
• 部署0day事后分析程序、部署Nday漏洞蜜罐。

0day捕获蜜罐，存储所有在主机上socket-process-file信息上传到clickhouse，存储，分析。

Nday漏洞模拟：

1. 远程代码执行:

(1)Apache Solr XXE & RCE 漏洞(CVE-2017-12629)

(2)Apache Solr DataImportHandler远程命令执行漏洞(CVE-2019-0193)

(3)Elasticsearch Groovy 远程命令执行(CVE-2015-1427)

(4)Jenkins 远程代码执行(CVE-2018-1000861, CVE-2019-1003005 and CVE-2019-1003029)

(5)Zabbix API JSON-RPC 远程命令执行漏洞

(6)WordPress 远程代码执行漏洞

(7)ThinkPHP 5.0.x 远程代码执行漏洞

(8)Supervisord 远程代码执行漏洞(CVE-2017-11610)

(9)SaltStack 身份验证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)

(10)Spring Data REST 远程代码执行漏洞(CVE-2017-8046)

(11)Spring Data Commons 远程命令执行漏洞(CVE-2018-1273)

(12)Struts2 远程命令执行漏洞(053 、015、013、007)

(13)泛微OA BSH 远程代码执行漏洞

2. 未授权访问：

(1)Redis 弱密码

(2)MongoDB未授权或弱口令

(3)Memcached未授权访问或弱口令

(4)phpMyAdmin 存在弱口令

(5)Zabbix对外开放或弱口令

(6)Docker(Swarm) api 未授权访问漏洞

(7)Kubernetes API 未授权访问

(8)Jenkins 未授权访问

(9)Kibana 未授权访问

(10)Hadoop YARN ResourceManager 未授权访问

(11)Harbor 未授权创建管理员漏洞(CVE-2019-16097)[版本检测]

(12)Spark Master Web UI 未授权访问漏洞

3. Java反序列化：

(1)Java RMI 反序列化漏洞

(2)JBoss readonly Java 反序列化漏洞(CVE-2017-12149)

(3)Jenkins 反序列化远程代码执行漏洞(CVE-2017-1000353)

(4)WebLogic XMLDecoer Java 反序列化漏洞

(5)WebLogic T3 协议反序列化漏洞(CVE-2016-0638、CVE-2016-3510、CVE-2017-3248)

(6)WebLogic cve-2019-2725/cve-2019-2729 反序列化远程命令执行漏洞

(7)Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)

(8)Apache Shiro 1.2.4 反序列化远程代码执行漏洞

(9)fastjson 反序列化漏洞

4. 文件读取/上传：

(1)Confluence 任意文件读取漏洞

(2)用友NC SQL注入漏洞

(3)Apache Tomcat 文件包含漏洞(CVE-2020-1938)

(4)Weblogic 任意文件上传漏洞(CVE-2018-2894)

5. SQL注入：

(1)Apache Solr Velocity模板注入

(2)Apache APISIX Admin API 默认Token漏洞(CVE-2020-13945)

(3)Zabbix jsrpc.php SQL注入漏洞

(4)Zabbix latest.php SQL注入漏洞

(5)泛微OA e-cology SQL注入漏洞

内网外网部署中高交互蜜罐，内网需要部署漏洞靶标。加快黑客入侵速度，可获取黑客payload溯源。下面做一下定义：

• 高交互蜜罐：模拟真实的系统，根据蜜罐业务需要重点模拟：windows操作系统沙箱，linux沙箱等(sysdig)
• 中交互蜜罐：只是简单模拟服务，记录用户攻击行为。只对部分操作的操作进行响应(当然需要模拟文件系统)。例如：Cowrie、kippo等。
• 基础服务：Windows AD域、Exchange、SSH、RDP
• 中间件服务：apache、tomcat、weblogic、jboss、websphere、Nginx
• 数据库服务：elastic search、MongoDB、memcache、MySQL、Redis、oracle
• 应用服务：wordpress、金蝶-U9、泛微OA、jumpserver、gitlab、jenkins、zabbix、conflunece、harbor、rancher

业务赋能场景

(1) 在公有云或者专有云internet区部署中高交互蜜罐、蜜网系统。

在专有云中，建议通过k8s方式部署，可以安全的采集基础数据，包括Pod中运行的进程信息、DNS访问信息、可通过Fluentd-elasticsearch对接所有日志。

(2) 设置云蜜网，使用WAF重定向能力把恶意数据引流到云蜜网中。

(3) 通过EDR获取详细蜜罐基础数据，防止0day入侵后，有据可查。

对存在问题蜜罐数据采集。

(4) 溯源

在wordpress、金蝶-U9、泛微OA等web应用中部署Jsonp探针，获取社交网站信息、浏览器指纹，过去30天行为。联动威胁情报处置，设置webhook，可通知钉钉、飞书、微信。发生攻击可及时发现。

攻击欺骗技术未来规划

能想到的：引流部分增加AI识别恶意流量重定向，快速克隆业务系统，深度设备指纹技术。但是更重要的是HW的防守方产品用的顺手。