在國家相關主管部門組織的2020年大型網絡安全實戰攻防演習行動中,中國兵器裝備集團參與了此次演習,長安汽車作爲其成員單位參與防守。長安汽車積極開展被動防禦部署,並率先嚐試部署了僞裝欺騙溯源系統(以下簡稱“蜜罐”)進行主動防禦和攻擊溯源。
在三個月的實戰攻防演習前期準備過程中,長安汽車迅速組建了行動指揮部,引入奇安信作爲技術支持單位,制定了“戰時八條”、“十不準十做到”等指導性文件,所有成員在“7-13”工作強度下完成了10類92項準備工作。首先完成了所有二級單位的資產點檢、風險排查和整改,從7個方面築牢安全防禦牆,整體防護水平提升30%以上;其次開展了全員網絡安全基礎知識大普及,並通過立體培訓和模擬“釣魚”,提升全員安全意識;三是連續70天的日例會,落實情況,協調整改;最後還組織了5次模擬攻擊演習,通過“實戰演練、總結問題、持續整改”的PDCA,總體防護水平達到了實戰水平。
實戰攻防演習正式開始後,經過14天鏖戰,長安汽車在實戰攻防演習中力保標靶系統和各核心系統防守成功,特別是充分利用蜜罐作爲溯源來源,通過多種線索追蹤,對“攻擊隊”成員進行信息梳理,並最終描繪出攻擊者信息畫像。在此次實戰攻防演習行動中,長安汽車獲得溯源滿分防守成果1個,取得了不錯的防守成績。下面,筆者將以第一視角分享此次大型實戰攻防演習中的蜜罐溯源實踐。
概述
攻擊溯源不僅可以保護長安汽車在網絡攻擊中免遭破壞,也能完成作爲網絡運營者配合監管及公安部門調查取證的義務。在攻防演練活動中,通過多種技術手段相結合的方式,對“攻擊隊”成員進行定位追蹤,形成溯源報告提交裁判組,從而獲得一定程度的加分。
通過利用蜜罐系統本身的自動化記錄及取證的功能,對攻擊者所使用的攻擊手段和攻擊路徑進行記錄,爲安全研究人員提供數據分析的基礎數據。通過這些數據,結合捕獲的攻擊者所使用的相應工具,對攻擊者所利用的安全漏洞進行分析和研判。
瀏覽器攻擊框架(The Browser Exploitation Framework Project簡稱“BeEF”),是一個專注於Web瀏覽器的滲透測試工具。BeEF可以通過JS腳本將HOOK住一個或多個Web瀏覽器,並將它們用作灘頭指示器來啓動定向命令模塊,並在瀏覽器上下文中進一步攻擊系統。
溯源工作開展思路
通過部署蜜罐,完全模擬自有業務系統,對攻擊者進行誘捕,僞裝服務系統本身內置多種社交賬號的溯源工具,當攻擊者訪問僞裝的業務系統或者對缺陷服務進行攻擊的時候,溯源工具對攻擊者的多種社交賬號進行獲取。再使用這些社交賬號,進行交叉查詢驗證,從而定位攻擊者的“真實身份”。
在模擬的自有業務系統中,嵌入EeEF攻擊代碼,一旦攻擊者訪問蜜罐,即可直接反向控制攻擊者瀏覽器,控制攻擊者瀏覽器以便獲取真實攻擊者的更多虛擬身份信息。
建立互聯網誘捕系統
1、網絡規劃
根據整體網絡架構,我們在互聯網核心交換機旁路新建誘捕區,單獨劃分IP地址段,保證與內部業務系統網絡層無法通信。將蜜罐開放的服務端口映射到現有互聯網業務系統IP地址段和端口中,更能夠讓攻擊者在踩點的過程中發現蜜罐。
2、蜜罐部署
蜜罐部署的核心思路就是“仿真”,因此需要多種僞裝服務組件配合工作相輔相成,從而對攻擊者起到更好地迷惑效果。比如,我們現有一個業務系統部署在一臺Windows Server服務器上,要對其進行仿真,則至少需要Web僞裝服務、Windows RDP、Windows系統僞裝服務組件以及數據庫僞裝服務組件等。同時,在系統僞裝服務組件和數據庫僞裝服務組件中,可以放置脫敏脫密的蜜文件或者蜜數據,從而提高整體的業務僞裝程度。
根據實際情況,可定製外網業務系統的Web僞裝服務組件,這些僞裝服務組件中,可放置真實業務系統的前端數據。對於仿真的業務系統,綁定無法被域名猜解猜解到的域名,發佈在互聯網上。在後端,可配置基於真實業務系統後端服務的僞裝服務組件,提高業務系統整體的仿真度。
爲提供蜜罐的迷惑性,我們還重新編制了高交互的頁面,完全模擬現有業務系統的後臺登錄頁面,並強制觸發URL跳轉關鍵字,並在正常業務系統中不存在的高風險目錄加入重定向代碼,對有企圖的攻擊者進行引流。
3、BeEF部署
BeFF部署分爲兩部分,一是服務器的部署,通過外部雲VPS,部署BeEF系統,二是BeFF攻擊代碼的部署,在蜜罐中部署的各類應用系統及部分真實的業務系統的敏感頁面(如,管理後臺登錄界面,假的敏感信息泄露頁面,黑客字典中的敏感頁面等)web代碼中嵌入BeEF的控制代碼,來反向入侵併控制攻擊者的瀏覽器並獲取攻擊者的網絡信息。
利用誘捕系統溯源攻擊者
1、識別攻擊者
1)、主動訪問蜜罐的IP地址90%都是攻擊者的IP地址,小部分是互聯網各類爬蟲、探針等IP,正常用戶是不會主動訪問蜜罐端口的;
2)、通過互聯網側的應用防護設備、全流量威脅感知分析系統採集到的各類攻擊者IP地址均可以作爲攻擊者IP的;
3)、訪問正常業務不存在的高風險目錄行爲的IP地址是攻擊IP地址,正常的用戶是不會主動訪問不存在的web目錄的。
2、獲取攻擊者虛擬身份信息
1)、訪問蜜罐的設備在蜜罐及BeEF上線後,嘗試通過蜜罐抓取攻擊者的虛擬身份信息,如果不能直接抓取到攻擊者的真實身份信息,則通過BeEF向攻擊者終端發送重定向命令執行,讓攻擊者的瀏覽器主動去訪問其他能夠獲取到更多信息的蜜罐中去,比如重定向到百度網盤、163郵箱、優酷等頁面,一旦攻擊者瀏覽器依然存在上述站點的登陸信息則有可能通過蜜罐獲取到攻擊者上述站點的虛擬身份信息。
2)、訪問真實系統觸發安全告警的攻擊者IP地址後,在BeEF後臺上線後,通過BeEF向攻擊者瀏覽器發送重定向指令,讓攻擊者的瀏覽器主動去訪問其他能夠獲取到更多信息的蜜罐中去,一旦攻擊者瀏覽器中仍然存在百度、163、優酷等站點登錄信息,則可以通過蜜罐獲取到攻擊者上述站點的虛擬身份信息,進行進一步的攻擊溯源。
3)、在正常業務系統不存在的目錄中嵌入代碼,將攻擊者重定向至蜜罐系統,通過蜜罐及BeEF獲取攻擊者的虛擬身份信息。
3、虛擬身份信息的溯源
我們在獲取到攻擊者的虛擬身份信息後,則通過搜索引擎、論壇、貼吧、微博等社交平臺及社工庫嘗試分析攻擊者的真實身份信息。比如在一個攻擊IP(139.224.XXX.XXX)對企業門戶和蜜罐系統進行攻擊時,蜜罐成功誘導攻擊者獲取相關信息,捕獲了攻擊者瀏覽器中的百度賬號暱稱“蛋疼***”,根據外部情報平臺和社工庫完成對攻擊隊員溯源,成功獲取了攻擊者的詳細真實身份信息,完成對攻擊者的完整畫像,獲得蜜罐溯源類滿分1500分。
總結
以上即是在此次實戰攻防演習行動中我們利用蜜罐和BeEF平臺結合使用對攻擊者進行定位和溯源的一次成功實踐。通過此次實踐,網絡安全防禦不再是被動防禦,我們通過利用蜜罐產品結合BeEF開源框架實現對攻擊者的主動發現、誘騙、反制主動防禦。未來長安汽車在網絡安全的規劃中將繼續完善現有被動防禦框架體系的基礎上繼續對主動防禦的技術路線進行探索。