前言由于众所周知的原因,2021年的网络保护行动来得非常早,预计将于4月8日启动。根据网络保护最终公开结果显示,这些年来,大部分目标都被攻陷,但入侵路径和内部参考报告对大多数人来说是看不见的。针对这种HW环境,防御者想要提高自身防御系统的可追溯性,从拔掉网线、关闭关键网络服务、使用各种安全设备快速封堵恶意IP、部署简单的攻击欺骗系统等着手(蜜罐,Densenetwork),经过两年实际业务场景的打磨,为了更有效的防御,防御方采用中高交互蜜罐的方式进行诱捕和攻击引流。具有详细的入侵告警日志、可追溯的攻击者身份和反制能力的攻击和欺骗系统是我们保护网络的理想武器。下面谈谈我对攻击欺骗技术在网络防护中应用的理解。攻击欺骗系统的演进史要想了解攻击欺骗技术如何应用??到保护网络中,就需要了解攻击欺骗产品的演进路线。早在2014年,Gartner在自适应安全架构的演进中就提到——防御矩阵包含诱导攻击者。Transferattackers:简单来说,该字段的作用是为企业在攻击和防御黑客时及时获取不对称优势。通过多种技术,攻击者很难定位真正的系统核心和可利用的漏洞,隐藏\混淆系统接口\信息(如制造虚假系统、漏洞和信息)。例如,被JuniperNetworks收购的Mykonos技术可以创建一个无漏洞的应用层图像,随后提供一个活动目标的蜜罐。UnisysStealth可以隐藏网络系统,而CSG的invotas解决方案集成了丰富的偏差技术。虽然隐藏安全不能从根本上解决问题,但这种做法也被视为一种分层的纵深防御策略。MykonosWeb可以防止他们破坏关键信息,通过虚假漏洞浪费攻击者的时间,并提供有价值的情报来阻止潜在的攻击产品介绍从左到右:(1)2016年是国外攻击和欺骗产品的元年,自适应安全架构的理念从主动防御变成了让黑客进来,让你入侵留下痕迹,追根溯源,反制你,这样更有效。以McCafe的IPS、HPIPS、JuniperIPS设备为代表的各大传统安全公司,都在积极寻求相应的攻击和欺骗技术产品,有集成的,也有自研的。在此期间,DNS天坑技术被各大IPS厂商玩得不亦乐乎。这是第一条技术路线。但后来传统安全公司发现附加值不是很大,误报率高(那时候威胁情报还没有形成气候),没有革命性的技术选型。最后都放弃了整合,Juniper的8000万被冤枉了。WAF+honeypot的技术路线也不错,但是还没有被用户打磨,技术相对不成熟。真正革命性的产品是以AttivoNetworks为代表的独立沙箱+蜜罐的选择。应该是最早将openstack技术应用到安全产品上的。可模拟中等交互蜜罐:RDP、SSH、FTP等服务,集成killchain技术,提供蜜罐覆盖、服务蜜罐管理、恶意软件载荷分析、virustotal威胁情报对接。(2)2018年是国产攻击欺骗产品元年。国内出现了一批攻击欺骗厂商。对于内网蜜罐系统,最具代表性的是摩安科技的魔法阵系统;最具代表性的公网性产品360netlab团队的Anglerfish。可以捕获0day。在此期间,蜜罐和密网技术更加成熟,包括能够模拟Windows、Linux等操作系统,并增加了设备指纹功能,有助于溯源。一些新兴的云厂商也开始尝试使用原生容器在公有云上部署蜜罐系统。用户反馈也不错。(3)2020年是网络防护作战攻击欺骗产品深入实践的一年。在此期间,蜜罐系统有了质的飞跃。已经开始使用容器平台(k8s)进行部署,也可以通过多云容器管理平台进行部署。到世界的任何一个角落。容器技术(如原生Pod)也用于更好的隔离。网络防护作战防御者面临的挑战与对策网络防护作战的技术挑战:很多企业,尤其是国有企业和数字政府,在网络防护建设上投入了大量资金,但实际的防御保障能力明显不足不足的。一般强调边界而忽视内网防御,一旦边界被打破,内网将面临整体崩溃的风险。面对0-day攻击,无法对其进行有效检测。理论上,零日攻击是无法防御的。目前,大多数企业使用设备自带的威胁情报来检测它们。对于已有的恶意域名库、恶意IP库等,由于攻击者使用了新的域名和IP,这也是黑名单安全的一大尴尬。对于攻击溯源,2020年网络防护行动中,大部分用户都部署了内网蜜罐系统,但内网多为低交互蜜罐,仅有内部检测扫描行为,且多为设备检测误报,根本没有达到攻击欺骗的效果。我们如何处理它?在内网和外网都部署蜜罐和蜜网系统,尤其是内网。网络保护时难免被渗透。那么,我们就应该把内网当作和外网一样的防御级别。从外部照亮内部的想法。同时满足多场景部署需求,支持公有云、专有云、私有云部署。部署0day事后分析程序,部署Nday漏洞蜜罐。0day捕获蜜罐,将所有socket-process-file信息存储在主机上,并上传到clickhouse进行存储和分析。Nday漏洞模拟:1、远程代码执行:(1)ApacheSolrXXE&RCE漏洞(CVE-2017-12629)(2)ApacheSolrDataImportHandler远程命令执行漏洞(CVE-2019-0193)(3)ElasticsearchGroovy远程命令执行(CVE-2015-1427)(4)Jenkins远程代码执行(CVE-2018-1000861、CVE-2019-1003005和CVE-2019-1003029)(5)ZabbixAPIJSON-RPC远程命令执行漏洞(6)WordPress远程代码执行漏洞(7)ThinkPHP5.0.x远程代码执行漏洞(8)Supervisord远程代码执行漏洞(CVE-2017-11610)(9)SaltStack认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)(10)SpringDataREST远程代码执行漏洞(CVE-2017-8046)(11)SpringDataCommons远程命令执行漏洞(CVE-2018-1273)(12)Struts2远程命令执行漏洞(053,015,013,007)(13)泛微OABSH远程代码执行漏洞ty2.未授权访问:(1)Redis弱密码(2)MongoDB未授权或弱密码(3)Memcached未授权访问或弱密码(4)phpMyAdmin存在弱密码(5)Zabbix对外开放或具有弱口令(6)Docker(Swarm)API未授权访问漏洞(7)KubernetesAPI未授权访问(8)Jenkins未授权访问(9)Kibana未授权访问(10)HadoopYARNResourceManager未授权访问(11)Harbor未授权创建管理员漏洞(CVE-2019-16097)【版本检测】(12)SparkMasterWebUI未授权访问漏洞3.Java反序列化:(1)JavaRMI反序列化漏洞(2)JBossreadonlyJava反序列化漏洞(CVE-2017-12149)(3)Jenkins反序列化远程代码执行漏洞(CVE-2017-1000353)(4)WebLogicXMLDecoerJava反序列化漏洞(5)WebLogicT3协议反序列化漏洞(CVE-2016-0638,CVE-2016-3510,CVE-2017-3248)(6)WebLogiccve-2019-2725/cve-2019-2729反序列化远程命令执行漏洞(7)ApacheLog4jServer反序列化命令执行漏洞(CVE-2017-5645)(8)ApacheShiro1.2.4反序列化远程代码执行漏洞(9)fastjson反序列化漏洞4.文件读取/上传:(1)Confluence任意文件读取漏洞(2)用友NCSQL注入漏洞(3)ApacheTomcat文件包含漏洞(CVE-2020-1938)(4)Weblogic任意文件上传漏洞(CVE-2018-2894)5.SQL注入:(1)ApacheSolrVelocity模板注入(2)ApacheAPISIXAdminAPI默认Token漏洞(CVE-2020-13945)(3)Zabbixjsrpc.phpSQL注入漏洞(4)Zabbixlatest.phpSQL注入漏洞(5)泛微OA生态SQL注入n漏洞在内网和外网部署中高交互蜜罐。需要在内网部署漏洞目标,加速黑客入侵,追踪黑客载荷来源。下面做个定义:高交互蜜罐:模拟真实系统,重点根据蜜罐业务需求模拟:windows操作系统沙箱、linux沙箱等(sysdig)中交互蜜罐:简单模拟服务并记录用户攻击行为。响应只部分操作的操作(当然需要模拟文件系统)。例如:Cowrie、kippo等。基础服务:WindowsAD域、Exchange、SSH、RDP中间件服务:apache、tomcat、weblogic、jboss、websphere、Nginx数据库服务:elasticsearch、MongoDB、memcache、MySQL、Redis、oracle应用服务:wordpress、Kingdee-U9、泛微OA、jumpserver、gitlab、jenkins、zabbix、conflunece、harbor、rancher业务使能场景(1)在公有云或私有云互联网区域部署中高交互蜜罐和蜜网系统。在私有云中,建议通过k8s部署,可以安全收集基础数据,包括Pod中运行的进程信息,DNS访问信息,所有日志都可以通过Fluentd-elasticsearch打通。(2)搭建云蜜网,利用WAF重定向能力将恶意数据导流到云蜜网。(3)通过EDR获取详细的蜜罐基础数据,防止0day入侵,有据可查。有问题的蜜罐的数据收集。(4)Traceability在wordpress、金蝶U9、凡维OA等Web应用中部署Jsonp探针,获取社交网站信息、浏览器指纹、近30天的行为。联动威胁情报处理,设置webhook,可通知钉钉、飞书、微信。可以及时检测到攻击。攻击欺骗技术的未来规划可以考虑:在引流部分加入AI识别恶意流量重定向、快速克隆业务系统、深度设备指纹技术。但更重要的是,HW的防御产品易于使用。
