本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第8章8.4节欺骗技术,作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。
8.4 欺骗技术
请君入瓮——APT攻防指南之兵不厌诈
您是否曾有过这样的困惑:威胁到底是如何感染网络的?入侵者又是如何潜入系统的?他们之间如何通信?他们是用什么方法攻陷系统的?他们发送和接收的流量是什么样?他们打算窃取您公司的“王冠”1,还是只想借用您的计算机发送垃圾邮件?好吧,继续往下读。
您可能打算“山寨”一个与您的网络相似的系统,引诱潜在的攻击者来入侵,这样您就可以掌握先机2,向他们学习而不是坐以待毙。经过多年苦心经营,您的骗局日臻完美,这样的付出不是为了换来心力交瘁,而是因为您(或团队成员)必须投入精力才能监视各种威胁并从中汲取经验,形成创造性的威胁应对方案。为了完成这项任务,下面介绍几个新工具。
蜜网系统(Honeynet):作为诱饵,类似真正系统但并不用于实际生产(直接贸易),不过,它可以在企业内部预警恶意行为。
客户端蜜罐(Honeyclient):一种基于客户端的系统,通过配置可以抓取各种网站页面,获得恶意内容与/或客户端可利用漏洞,向安全专家报告具有潜在威胁的网站。其数据源头可能来自企业自身的squid网页日志3、网站代理日志、已知合作伙伴的站点,及组织的内、外部站点等。
所谓蜜网,就是一组蜜罐,是基于多个高交互探头设备搭建,包括简易的真实系统服务器、工作站及网络设备,其设计目的是使其看起来像是真正的生产系统。采用定制配置的蜜罐,则可以提供给对手他们感兴趣的东西,将他们的注意力吸引到蜜罐,而不是业务系统。通过这些高交互蜜罐,您可以得到威胁的相关情报,无论是来自组织内部还是外部。
就概念而论,蜜网被配置为一台主机或多个蜜罐,整合多种生产用的资产,提供给对手虚假目标。由于蜜罐不是真正意义上的生产系统,因此蜜网本身并不具备生产活动和被授权的服务。蜜网的这种状态意味着任何与蜜网/蜜罐之间的交互操作都是未授权和恶意的。通过蜜网的应用,所有网络内、主机/会话级的未授权或恶意的行为,都可以被检测、分析,并据此采取行动。这使得在蜜网里的分析行动变得非常简单。
对于传统的安全技术,如防火墙、IDS和IPS等,想在常规的和例行的企业流量中找出恶意行为,需要借助交互分析,而这种级别的分析会极大地增加响应时间,可能需要数天甚至数周才能识别出潜在的恶意行为。随着蜜网技术的引进,所有进、出流量都被认为是本质上恶意的流量,能够对它们进行快速而清晰的分析。蜜网系统增强了组织识别和应对恶意行为的能力,其信息的清晰度能极大地降低误报和漏报的次数。
蜜网体系运行在严格受控的网络里,本地与远程行为都将受到监控。蜜网就像是一个玻璃培养皿,可在其中创建自定义的网络环境,观察其中发生的一切。这种对于恶意行为的清晰观察,非常有助于区分哪类事件的威胁级别更高。
可以用蜜罐搭建任何类型的网络系统,包含网络服务、用户账户及内容信息。搭建这种网络系统的目的是让对手产生兴趣,确保他们在蜜罐上浪费尽可能多的时间。本质上讲,蜜网架构简单,但是,需要跨地域控制不同地区的多个蜜网,由于现今可用开源产品的局限性,这会出现一些麻烦。当前,采用蜜网技术的可用开源套件处于第三代,第四代蜜网正处于规划和有限研发阶段。
蜜网唯一的作用是代替生产业务或业务系统遭受攻击,从而防范对手。在不对业务系统构成威胁的前提下,蜜网为操作人员提供了影响全面、目标丰富的研究环境。蜜网主要的目标是检测和监视对手试图从某受害组织获取情报或重要信息的行为。
8.4.1 蜜网网关
若想成功地部署一套蜜网系统,必须正确地设计蜜网架构。我们所说的蜜网网关(Honeywall),就是蜜网架构的关键所在,它是蜜网与常规网络的区分边界。蜜网网关是一种网络设备,用于隔离蜜罐与生产网络的其余部分。流向蜜罐或来自蜜罐的任何流量都必须经过蜜网网关。蜜网网关是传统的二层桥接设备,这意味着该设备对于蜜罐(在TCP/IP层)的数据传输应该是透明的。
图8-1所示为蜜网架构的示意图。其中蜜网网关有三个接口,前两个接口(eth0与eth1)用于隔离蜜罐,此处为无IP协议栈的桥接接口。第三个接口(eth2,可选)具有IP协议栈,允许远程管理。
蜜网网关必须满足以下核心需求。
数据控制:描述如何在攻击者无法察觉的前提下控制蜜网活动,意在使生产系统风险最小化。
数据捕获:意在攻击者无法察觉的前提下捕获攻击者所有行为。
数据分析:这是指对数据进行分析的能力。
数据采集:这是指从多个蜜网采集数据到单一数据源的能力。
上述所有需求中,数据控制是最重要的。优先考虑数据控制是因为它扮演了降低了实施蜜网而带来相关风险的角色。下面将对这些需求进行详细阐述。
数据控制
数据控制组件用于控制进、出蜜网数据流,降低风险。蜜网实施人员所假设的风险为,攻击者或恶意代码利用蜜罐对蜜网外部实施攻击或破坏的可能性。需要强调的是,蜜网与外部IP地址间的数据流需要受到控制,以防止攻击者或恶意代码试图滥用蜜网资源。为了尽量降低风险,应在蜜网网关内同时使用多种手段实现数据控制。
以下是蜜网网关数据控制的主要功能。
第二层桥接:在这一层,蜜网网关与生产网络进行桥接,从而混淆生产网络向蜜网内部的延伸,如图8-1所示。
内嵌IPS:该模块常被认为是内嵌Snort,用于阻断跨越蜜网第二层桥接进、出蜜网的恶意行为。该IPS是一个开源模块,采用当前流行的特征码机制。这表明为了加强最高级别的保护,需要尽可能地定期升级特征码。
内嵌IDS:该模块常被认为是Snort,提供了被动数据控制机制,可以使实施人员轻易地识别和应对恶意行为。该模块还可以监控第二层桥接的恶意行为,但不会修改和/或阻断已识别的恶意行为。
防护列表:该模块给实施人员提供一种降低生产系统或关键网络风险的手段。需要在/etc/fencelist.txt文件中加入绝对不应在蜜罐与蜜网间建立通信的IP地址或网络范围。
白名单:该功能向实施人员提供允许指定数据流进、出蜜网但蜜网网关不予记录和监视的手段。这通常被保留给受信应用与/或那些在蜜网中价值极低的连接,同时减少实施人员的分析团队所需分析的流量。例如,白名单可以包括一个网络域中的安全服务,如反病毒产品、主机监控、资产管理软件等,以及/或者用来增加蜜网真实可信性的任何其他类型网络。
黑名单:此功能提供了一种网络隐式拒绝访问的能力,一旦被认为是恶意或对蜜网有威胁的特定的IP地址或网络范围,那么在试图访问网络时将被拒绝并记录下所有尝试。
速率限制:此功能是网络流量的“控制阀”(throttle),主要用于防御外部系统向蜜网发起的拒绝服务攻击。提供根据时间与/或预设流量值允许流量通行的功能。
这些功能通常是在蜜网网关的初始设置中进行配置的,期间需要用到文件/etc/honeywall.conf来配置,也可以单独使用该文件来配置,该文件保存了蜜网环境的全部变量。
正如我们前面所讲,蜜网中的数据控制功能是至今为止最重要的部分。如果无法控制数据,那么就不能将其有效捕获。此时需要谨记,永远不能完全依赖数据控制来消除蜜网实施的风险。
数据捕获
蜜网的数据捕获组件记录蜜网和蜜罐主机的网络活动情况。蜜网网关是基于网络捕获数据的主要组件,Sebek是基于主机的(基于会话)网络数据捕获组件。两者有机结合之后,将会记录恶意事件在蜜网中运行的详细信息并提供给蜜网使用者及相关分析人员。
通过分析所捕获的数据,可以了解攻击者使用的工具、战术以及动机。实施蜜网过程中最具挑战性的部分,是在捕获大量行为数据的同时却不被攻击者发现数据捕获组件。使用多个层次来捕获数据能够简化数据捕获和分析的流程。捕获数据的层次化还可以保证在蜜网出现单点故障时不会影响到整体数据。在分析过程中层次划分得越多,分析人员了解到的攻击者信息也就越多。
攻击者的行为在业务网络中难于发现,是因为他们具备将攻击方法混淆在业务流量中的方法。不过,一旦这些行为在蜜网中被捕获到,分析人员就可以清晰地描绘攻击者的活动,将所了解的行为信息应用于生产网络的其他部分,以便快速识别攻击者是否已在被保护资产中潜伏。
攻击者也有可能发现他们是在蜜网中进行操作,所以,想让蜜网捕获到最优数据,需要注意一些事项。以下关键点应在实施蜜网数据捕获组件前加以注意。
位置:为了保证数据捕获的完整性,蜜网的安装位置很重要,因为需要允许攻击者适当访问蜜网,带给攻击者与生产网络其他部分完全一致的认知。
类型:为了保持攻击者视角的认知一致性,蜜罐的类型也很重要。尤其重要的一点是,如果您使用基于微软的网络,就不能部署基于Linux的蜜罐。如果这样做了,您的“数据损失”只能更多,因为所捕获的数据对于网络防御者并无作用。
变更:部署蜜网之前必须全面制订修改计划,因为每次变更蜜网,都将增加攻击者意识到他们活动于蜜网之内的可能性。
数据存储:设计及配置蜜网系统时,要确保捕获的数据没有存储在蜜罐与/或蜜网网关本地磁盘。在蜜网网关总会发生数据存储的情况,但当实施面向业务的蜜网时,您不能在探头设备上直接分析,而是应该离线分析,以避免增加蜜网被攻击者发现的可能性。
内容:为诱使攻击者长时间停留在蜜罐里,有必要在蜜网中采用内容分段以及内容填充的方式,这一点将在本章稍后详细讨论。必须确保蜜网部署之前,已填充了准确且适当的信息内容。
补丁级别:如果蜜罐系统补丁级别过旧,会导致蜜网被填充级别不断提高的垃圾数据,它们可能来自较老的蠕虫、僵尸网络和低水平的攻击者。如果补丁级别过高,您可能会错过近期的或正在实施攻击的攻击者,他们也许已经感染了您其他的网络系统,正试图感染您的蜜网。最佳实践建议,蜜罐的补丁级别一般保持晚于其他生产网络30~45天,这将增加捕获可靠数据的概率。
数据分析
典型的蜜网分析分为三步:网络分析、主机分析和二进制文件分析。本节中,我们将讨论分析蜜网捕获数据的多种方法。
分析生产系统和蜜网之间的唯一差别在于分析人员的视角。在分析生产网络时,重要的是大海捞针般地识别恶意和未授权行为。在分析蜜网数据时,重要的是让分析人员理解每个网络流都是“针”,必须被适当分类。对于每一个看似无害的行为,分析人员都必须审核,因为该行为可作为识别攻击者进入网络的依据,这也算是一种回报。分析人员可以实时分析,也可以事后分析。因此,蜜网的真正价值在于,当攻击者怀着尝试入侵或激活漏洞的企图,一脚踏入蜜网的小径(通过蜜网网关)时,它具有实时提供当前威胁情报的能力。
蜜网层次:捕获数据的层次或形态有三种划分方法:基于网络、基于主机、网络设备在网络边界与蜜网之间捕获到的。蜜网各个组件都有多个分析层次,借此可在您的网络中识别攻击者行为的全部外延。
外部蜜网(生产系统)包含以下层次。
路由器日志:日志将会记录攻击者通过蜜网的路由器轨迹,以及攻击者可能入侵的其他网络部分。
防火墙日志:防火墙日志记录来自攻击者的入侵行为。
服务器/工作站日志:在分析人员完成蜜罐分析并发现特定的注入因素、注入方法或攻击手段后,这些日志将被用于针对生产资产求证,从而识别攻击是否已经蔓延到了生产网络。
IDS/IPS日志:这些日志可用于任何数据流,但如果流量产生于蜜网,它们一般不够可靠。分析人员通常会发现传统蜜网在分析点到点(IP-to-IP)通信时,简直毫无用处。
反病毒日志:这些日志用于识别攻击者当前或持续行为期间是否出现恶意软件警报。
以下为(蜜网)网络层。
时间戳:这一层提供分析人员回顾攻击事件所需的时间或时限。
Argus流量数据:这一层为分析人员提供常用的网络流信息,包括攻击者和蜜罐间的点对点通信流量信息4。
Snort IDS:这一层提供的信息是基于攻击者为了绕过传统的IDS特征而控制其行为的能力。
Snort IPS:这一层的作用是尝试识别并阻止网关中的指定行为。
被动操作系统指纹识别(p0f):这一层的作用是尝试识别攻击者使用哪种平台操作或攻击您的蜜罐或生产系统。
数据包捕获(PCAP):这一层捕获整个网络会话事件的完整数据包,可以从蜜网网关导出,由多种第三方分析工具离线分析。
以下为(蜜罐)主机层。
时间戳:本层为分析人员提供指定事件的发生时间信息,需要与网络时间/日期戳匹配。
攻击者IP地址:本层记录攻击者的IP地址,用于匹配网络流数据(如果在同一蜜罐中存在两个攻击者)。
所使用的进程:本层为分析人员提供攻击者与受害系统远程交互时所使用的漏洞或乐于使用的攻击方法。
所使用的进程描述符(PID):本层提供一些可以发现攻击者进入系统并提升权限的方法。此信息应匹配该会话中攻击者使用的进程。
会话的输入/输出(攻击者的击键信息):本层提供攻击者进入蜜罐后逐个字母输入的命令、选项和参数。这些内容通常在DOS提示符或UNIX终端下(通过SSH、Telnet等方式)输入。本层也有助于分析人员更好地理解攻击者的思维模式和惯用手法5。
为识别某个指定事件是否为真正的恶意事件,分析人员应该借助外部蜜网设备捕获的数据验证蜜网信息。然而,上述各层中最有力的一层是会话的输入/输出层。这一层能为分析人员提供关于攻击者自身的出乎意料的信息。行为、社会、刑事方面的科学家/分析人员可以从攻击者所用的工具、方法和程序中发现一些特定的可观测信息。通过分析攻击者与蜜罐长时间的交互,分析人员能够识别攻击者的如下特征。
动机:投入力度与专注程度水平。
目标:炫耀、干扰系统运行、破坏系统、探知机密、牟利。
时效性:他们工作得有多快(数年?数月?几天?几小时?)。
资源:资金是否充足。
风险承受力:从高(毫不在乎)到低(生怕被抓)。
技能与方法:漏洞复杂度(从脚本攻击到硬件全生命周期的攻击)。
行动:充分彩排的、临时决定的、随机实施的、受到约束还是不受约束。
攻击源点:外部、内部、单点、多点。
参与攻击人数:单人的、小组的、大型组织的。
信息源:聊天群、网站信息、有人口述、内部消息、间谍行为。
不同于针对个人IP地址的相关规定,公开展示特定恶意IP地址的行为是合法的。根据上述特点,在按照标准操作流程,遵循相应准入制度且具有合理目的的前提下,是非常有机会看到恶意IP地址数据的。当被分析对象涉及类似政府网络那样的大型组织时,这些信息表明生产网络的哪个区域需要保护,从而升级防御态势,增强保护级别。
分析人员工作流:对于分析人员来说,遵循清晰的文档化工作流程是重要的。其工作流程应能够全面覆盖业务、情报,及攻击生产网络所造成技术影响的每个方面。工作流程大致如下。
事件分类
确认/威胁评估:确认威胁的事件。
案例综述
评估
历史/热点:与该网段前期活动的关联。
目标信息特性:攻击者所见的目标。
被入侵系统用途:评估被影响的系统。
攻击
脆弱性/漏洞:评估攻击者使用的注入因素。
公开历史:评估注入因素的背景。
惯用手法(modus operandi)、签名、内容、模式:评估攻击者所见信息。
工具:评估攻击值使用的工具(公开的或者定制的)。
访问情况:评估攻击者的访问时间。
数据传输手法:评估攻击者如何窃走数据。
日志记录变更/删除手法:攻击者是否打算隐匿行踪。
在使用蜜网进行工作时,为了保证任务按部就班地完成,分析人员需要确保在有限时间内完成尽可能多的日常需求任务。分析人员必须花费时间跟进以下三类工作,如图8-2所示。
实时:通过信息管理接口在事件发生几分钟内实时分析事件。
日常:与所有客户节点相关的总流量。查询工作需每天进行,并采用人工检查。
案例:分析工程师需要与外部团队进行合作交流,例如一些业务运营、客户、开发人员及一些利益相关者。
分析环境:大部分分析环境工作于联网的基于内核的虚拟机(KVM),便于信息共享和系统导航。
以下是一些常见的商业工具,可以直接用于蜜网数据分析。
VMware Physical 2 Virtual
VMware Player or Workstation
VirtualBox VMM solution
EnCase
CWSandbox
IDA Pro
以下是一些开源的分析工具。
VirusTotal(网站)
Forensic Toolkit(FTK)
Md5sum
Wireshark
以上列表信息并不全面,许多类似的工具可用于分析基于产品的蜜网系统。
数据采集
数据采集组件主要适用于组织实施多个蜜网,通过蜜网服务器集中管理。通常,该架构拥有大量的蜜网网关(roo),用来向蜜网网关管理服务器(kanga)发送报告。roo是第三代蜜网,kanga是为企业准备的高度分布式蜜网管理服务器。蜜网网关在蜜网中负责收集信息,并发送给kanga。kanga它可以管理100多个roo。这一思想是从蜜网项目中借鉴的。
一般情况下,大多数机构只需要部署一个单独的蜜网。然而有时,大型企业需要在多个地点部署不同类型的蜜网,以便充分了解网络的真实防御状态。以数据集中存储、收集情报为目的,并且与网络防御者有关联的蜜网也被归类到分布式蜜网。
到目前为止,开源的蜜网项目还没有发布任何稳定或可扩展的企业级探头以供管理层部署应用。Savid公司是美国唯一一家通过政府认证的可提供蜜网解决方案的公司,它提供定制和个性化需求的服务,实施部署企业的蜜网系统。图8-3是一个简单的数据采集体系结构,经常被用于以生产为基础的蜜网装置。
虽然在规模较大的企业里数据采集法更为常见,但它也同样适用于单一的蜜网部署。这种情况下,蜜网网关的管理通道(eth2)需要在蜜网网关与实际的数据管理与分析系统之间进行安全传输。可按照如下方式(被视为简单的方法),配置具有基本功能的开源蜜网网关,实现探头和管理器之间的数据传输。
RSYNC over SSH
$ rsync -avz -e sshremoteuser@remotehost:/var/log/pcapvarlog/pcap/sensor/
RSYNC over SSH with Crontab
#!/bin/sh
RSYNC=/usr/bin/rsync
SSH=/usr/bin/ssh
KEY=/home/thisuser/cron/thishost-rsync-key RUSER=remoteuser
RHOST=remotehost
RPATH=/remote/dir
LPATH=/this/dir/
$RSYNC -az -e "$SSH -i $KEY" $RUSER@$RHOST:$RPATH $LPATH
8.4.2 蜜网:深度防御的一部分
美国国家安全局(NSA)编写了一份名为Gldoal Information Grid Information Assurance Capability/Technology Roadmap的文档,这样一来,任何政府组织在进行网络运营与网络防护时,可将该文档视作全面实行深度防御安全架构的基本指南。文中第366页第2.6.3.2节提到的“Deception Technologies”部分明确规定,当需要在政府网络中快速识别和锁定未授权的或恶意的行为时,蜜网技术是唯一可行的方案。
该文档使用20多页的篇幅讨论了蜜网技术及其提升网络入侵检测能力的显著作用,同时也为安全小组提供了快速识别和响应未授权和/或恶意行为的能力。这套技术被NIPRNET和SIPRNET(美国政府网络作战所依赖的两个主要网络)所认可。为了更好地了解网络威胁,增强自身的网络防护能力,许多防御部门、司法机构和能源组织也对该技术进行不断研究。
8.4.3 研究型蜜网与生产型蜜网的对比
在蜜网实现的早期设计阶段,了解蜜网的类型十分关键。蜜网主要有两种类型,即基于研究的蜜网和基于生产的蜜网,两种类型的蜜网主要区别在于目的不同,但都适用于以下场合。
提供高价值小数据集的真实度。
降低漏报率。
降低误报率。
识别和学习新的攻击工具和技术的能力。
将新的攻击行为归类到特殊问题集的能力。
接下来将简要讨论两种类型的蜜网及其利弊。
基于研究型的蜜网
基于研究型的蜜网通常存在于学术研究机构,或作为教学工具存在于某组织内,或由某部门负责的非需求驱使的研究项目。通常情况下,不会对这类网络进行定期管理,它也不具备任何特定的、整套的、明确的标准和报告需求。由于这类蜜网的出发点是研究探索,因此它们的目标大多是基于科研项目和兴趣形成的。除非您在读完本书后,准备开始研究书中推荐的最佳实践、工具和技术,否则研究型的蜜网不会用于作战仿真(测试)平台。
基于研究型的蜜网主要具有以下用途:
了解对手正在干什么;
研究他们的攻击手法;
捕获他们的击键次数;
捕获他们使用的工具;
监控他们的会话。
维护个人的研究型蜜网系统,需要大量的工作。
第二代蜜网设计的出发点是为了适应基于研究型的蜜网的部署,这是通过“蜜网项目”开发的第二代技术。更值得注意的是,贡献资源开发第二代蜜网技术的大多数机构,都是来自于组织或高校的计算机科学与安全研究小组。
生产型的蜜网
基于生产的网络通常存在于对网络防御、情报信息和威胁对抗有明确需求的大型企业和政府机构内。此类蜜网的开发遵循全面的开发计划和报告需求。为了达到最有效的运行投入,它还基于一个严格的配置管理计划。基于生产的蜜网提高了大型企业或生产型网络监控和分析恶意行为的能力。以下为生产型蜜网的一些主要用途。
组织防护:
阻止攻击行为;
检测攻击行为;
收集情报信息;
帮助应对攻击。
运行安全:
使用特定的入侵设置(操作任务);
提供计算机网络防御(CND)态势的经验教训;
收集对手在网络内正在执行的操作信息。
情报收集:
使用指纹识别方法;
发现未知信息;
减少误报;
形成观察列表。
基于生产的蜜网比基于研究的蜜网更容易隐藏、关闭或适应生产环境。同样,它们也比基于研究的蜜网更难以管理。
第三代蜜网开始向更稳定和可扩展的企业级蜜网方向发展。但该项目的开发者认为,“第三代蜜网技术只是完成了构想而已,根本无法付诸实践”。缘起于资源和时间因素,roo的后端数据处理工具和模块以及kanga没有及时开发而错失良机。然而,在部署第三代蜜网技术的最初3年里,大多数这类模块和平台已被作为附加功能完成开发,并投入当前的使用。在“蜜网项目”的网站www.honeynet.org/project/上,您可以了解到上述信息。
8.4.4 蜜网架构
在考虑实施基于生产的蜜网时,设计企业框架是一个重要的步骤。创建一个生产型蜜网或网络时,必须确保重要组件具备确定的解决方案,以生成可操作的信息或创造任何价值。由于系统本身繁琐的处理和传输,以及更新SQL数据库的局限性,才需要对重要组件的确定性。当一个主动威胁发生或解决方案失效时,分析人员需要足够的时间访问可操作的数据,进而采取有效对抗措施。当处理一个主动威胁时,需要实时跟踪和理解观察到的数据。除其他设备以外,蜜网的数据访问能够帮助一个训练有素的反间谍分析员在工作流中呈现数据,处理每一部分,并针对任何可疑的观测值形成假设或提出质疑。可用的数据多多益善,因为这些数据可用于验证观察到的活动或行为。蜜网的放置位置至关重要,因为这关乎到它能否达到您的目标或满足您的需求。下列候选列表中给出一些被证实有效的蜜网放置位置:
互联网网关;
被攻击区域边界;
攻击区域内部;
重要资产附近;
关键路径。
以下架构类型可用于基于生产的蜜网。
集中式:如图8-4所示,所有的组件都安放在一个物理单元。
分布式:如图8-5所示,所有的组件在地理上是分散的,跨越多个网站。
联邦式:如图8-6所示,所有组件都是可信的并且可以在感应器和管理器之间直接访问。
联合式:如图8-7所示,所有组件具有不同程度的信任级别,且在感应器和管理器之间访问受限。
无论是大型企业还是小规模的企业,集中部署都是最有效且易于操控的管理手段。在一个集中部署的体系架构中,所有的数据都存储在本地,可以很容易地进行访问。然而,当按要求部署的分布式架构在网络中出现故障或延迟的情况下,数据会丢失或不能及时被接收,这样欺骗对象才会对您的骗局深信不疑。这种架构体系会偶尔阻碍高效地响应威胁,从而导致蜜网生产值的下降。
8.4.5 蜜网网关认证
目前,蜜网网关由美国国防部信息技术安全认证中心认证,且由国防部信息系统局认证(DITSCAP)通过。美国政府虽然选用并部署了特定版本的蜜网网关,其仍然符合DITSCAP认证的标准要求。
并非每一版本的蜜网网关操作系统(roo)都被认可,只有附带安全准备审核(Security Readiness Review,SRR)功能的特定版本可供使用。然而,蜜网网关的认证范围还涉及蜜网在生产网络内的自由运行和操作。
8.4.6 内容分段
在所有用户经常使用的部署了任何给定系统的机器上都有对应指示器。内容分段(content staging)方法在部署蜜罐(探头设备)之前的配置阶段就是重要的。
从一开始就确保蜜罐里的信息是正确的,这尤为关键。攻击者希望得到每一个组织网络里的信息,因此必须确保蜜罐中的信息为攻击者想获取的信息,进而激发他们的兴趣,并诱使他们尽可能长时间地与蜜罐交互。
执行蜜罐的初始内容分段时,需要处理以下项目。
文件
建立文件的时候,确保系统中包含以下类型的文件,且这些文件能持续添加到系统中,就像由一般的计算机用户操作那样。因此,无论您打算保护您的文件,还是形成认知一致性的欺骗效果,这些文件都至少每48小时更新一次,以保证该系统看似属于某个略为轻闲的用户。记住,对于一个远程攻击者来说,认知一致性最为重要。远程木马、僵尸网络或犯罪软件会通过特定的关键词查找这些文件,它们有些还会根据某些数据类型产生不同的关键词。以下是将被查找的主要文件的类型,这些文件随处可见。
临时文件夹。
IE缓存文件。
机构文件。
用户个人文件和文件夹,包括个人资料、教育情况以及职业信息。
任何给定系统的用户文件夹都应该包含多种类型的文件。
专业人员文件。
个人文件。
教育文件。
网络或组织
下列是关于网络或组织的相关考虑事项。
如何确保蜜罐IP看起来与包含生产资产的机器类似?
如何将诱饵系统引入网络,激发攻击者对其产生兴趣?
访问政府网络时,尤为关注以下几点。
这些网络通常不会变化。
所有系统都被记录在案。
每个系统都需要进行定期维护。
真实性
以下行为会使蜜罐看起来更真实,所以牢记这些行为,因为它们非常重要。
确保访问IP与参与者/用户的IP架构相匹配。
确保蜜罐计算机名称与主机系统模式匹配。
在与客户或合作伙伴建立蜜网的初期,管理团队通过电子邮件宣传关于一些新的备份或者开发服务器即将上线(并非蜜罐)的信息。切记对手可能正在监视您的邮件信息。
利用秘密渠道讨论项目细节。
主机和应用
创建主机和应用时,应注意以下几点。
如何仅通过一个IP地址确保蜜罐看起来与包含生产资产的机器类似?
如何建立一个包含适量数据且引发攻击者兴趣的蜜罐?
您可以按照以下做法,增强蜜罐的真实性。
确保用户名与计算机模式相匹配。
确保所有的用户拥有不同的登录和创建日期。
产生流量。
主机应用与网络应用相匹配。
确保合理地更新和修复每个应用程序(正常情况下,每3~4个月进行一次更新和修复,最长不能超过4个月)。
8.4.7 内容填充
内容填充(content filling)是一种定期地向蜜网中填充主机和网络流量的行为,这种流量与生产网络产生的流量保持一致,同时还涉及可用作诱饵促使攻击者加强与蜜网交互的额外信息。当对手攻陷一个蜜罐并建立了主机或网络监视器时,内容填充显得尤为重要。这就需要站在攻击者的角度考虑问题,使他们对任何给定系统网段上的主机类型和网络行为没有其他疑虑。
下列是有关内容填充需要考虑的高层次的因素。
网络活动异常、没有网络活动或时间戳失效均可被视为重要指标。
将您的意愿代入到攻击者的大脑十分重要:您肩负需要入侵对手系统,攫取情报信息才能完成的伟大使命。
知道哪些行为可作为判断攻击者处于蜜网中的指标非常重要。例如,不要将含有蜜网工作信息的光盘遗忘在CD-ROM驱动器里;不要将蜜网工具复制到主机或从蜜罐下载蜜网工具。经常在带外系统里从事这些行为,然后将其刻录到光盘,最后通过蜜网机器的CD-ROM运行。
8.4.8 蜜网培训
蜜网小组成员必须经过适当的培训,才能理解蜜网提供的一切信息,如可能用到的组件、场景、产出、目标/目的和任务等。目前,有以下培训课程可供选择。
SANS开设“蜜网学习班”,这是一门基于公共蜜网工具套件的一般课程。
Sean Bodmer6开设“百亩森林训练营”(100 Acre Wood Boot Camp)课程,这是一门聚焦于实战操作、为期5天的蜜网训练营课程,其资料来源于8年来支持各类公司蜜网部署的操作。
8.4.9 蜜网目标
一个企业的蜜网或网络项目应具备以下能力:观察对手攻击您所保护的企业时所用的工具、技巧、步骤以及动机的能力;而您则通过监控、记录和分析未经授权的网络访问流量来保护您的企业。
根据观察到的信息,以下为常见的蜜网目标。
制定对策抵抗攻击。
通过提供更丰富的目标环境,遏制针对操作、网络和系统的潜在攻击。
不干扰运营的前提下支持全范围协调分析。
收集活跃在主机上的攻击者的会话级情报信息,加强对恶意行为及其意图的理解。
表8-3所示为第三代支持从低交互到高交互套件蜜网解决方案的例子。正如您看到的那样,高交互性适用于由国家资助或其他高度组织化的团体参与的主动网络威胁,而低交互性的最佳应用则是早期预警和扫描检测引擎。蜜网客户端对用户访问的网站进行分析,确定这些网站是否存在可利用的漏洞或系统设置是否被修改等。经过多年的实践,强烈建议您一定要根据自己的架构部署蜜网客户端。
这有助于您更好地了解企业是否有可利用的漏洞,或您的架构是否漏掉了某个保护措施或设置。如果您的公司拥有一个系统架构,且能自动生成一个允许通过所有用户的局域网域名分析引擎的蜜网客户端,那么这个蜜网客户端会随后分析并判断出那些已受到或可能受到攻击的用户,这些用户可用来向随机或定向攻击的犯罪分子发送您的网络信息。
8.4.10 蜜网存在的风险和问题
蜜网是一个功能强大的工具,有助于收集各类威胁的大量信息。为了获得这些信息,就必须允许攻击者和恶意代码访问(潜在地特权访问)您的蜜罐。那么,您为这种访问付出的代价就是一种风险。毕竟道高一尺,魔高一丈。
对于不同的组织而言,风险也各不相同,您需要做的是确定自己的重要风险所在。此外,不同的组织对风险也有各自的界定。因此,我们不能为您确定哪些是对的,哪些是错的;您必须根据对自己风险的了解做出应对策略。我们所能做的就是帮助您了解和认识这些风险。
注意
我们不考虑蜜罐,尤其是蜜网相关的法律问题。由您所在的国家或组织负责解决这些问题。建议您向所在公司/组织的法律顾问咨询更多详细信息,特别是关于隐私和责任承担的问题。
风险一般关乎以下4个领域。
危害:当蜜网用于攻击或危害其他非蜜网系统时,就形成了危害。例如,攻击者可能入侵一个蜜网,然后发起前所未有的出站攻击,并成功地危害或攻击了预定的受害者。数据控制是减轻这种风险的主要手段。恰当地运用多层数据控制,可有效阻碍攻击者造成的重大损坏。然而,无法保证蜜网不被有心人用于恶意行为,攻击或危害他人。无论使用哪种防护机制,攻击者最终都能绕过这些障碍。那么这就需要组织自行确定风险的程度。对于低风险的组织而言,可将允许的出站行为最小化(可降低到0);对于存在较大风险的组织而言,可允许多一点的出站行为。
检测:一旦蜜网的真实身份被暴露,它的吸引力度也将大打折扣。攻击者可以忽略或绕过现有蜜网,清除它捕获信息的能力。这还可能导致更危险的情况:攻击者向蜜网内引入虚假或伪造的信息,误导您的数据分析。例如,本地访问蜜网时,掌握相应技能和拥有恰当工具的攻击者或可识别出已部署的蜜网,甚至识别出蜜网所用的数据控制和/或数据捕获机制。
禁用:蜜网存在被攻击者破坏,失去其诱导作用的风险。攻击者可能不仅想单纯地检测蜜网的特性,还试图在系统管理员不知情的前提下,禁用蜜网的数据控制或数据捕获功能。例如,攻击者可能在获取蜜网内蜜罐的访问权限之后,禁用蜜罐的数据捕获功能,然后向蜜罐添加虚假信息,使管理员察觉不到蜜罐功能已被禁用,而是认为蜜罐仍在执行数据捕获和行为记录的功能。多层数据控制和数据捕获功能可有效降低这类风险,这样可以避免“一着不慎,满盘皆输”的局面。
违规:违规是对所有其他风险的总称。攻击者在不攻击蜜网外部任何人的条件下,尝试在被攻陷的蜜网系统里实施犯罪活动。例如,攻击者借助蜜罐加载并传播违禁或非法素材,如盗版的电影和音乐、被盗的信用卡信息,或少儿不宜的色情读物等。请记住,这些人是出于个人目的入侵您的系统,因此和您“交战”的并不是守法的网民。一旦这些违法素材被检测到(因为它们是在您的系统里发现的),您就成了替罪羊,必须全权承担这些恶意行为导致的法律责任。接下来您需要做的是,如何证明自己的清白,洗脱罪名。
除了我们目前所讨论的这些方案,还有其他措施可以降低上述风险。我们此处将讨论的两项措施是人工值守和定制化。
借助人工值守制度,一个训练有素的专业人员可以实时分析蜜网,提供检测系统故障的能力——而这些故障是自动化的机制无法检测到或对其做出响应的。借助人工值守制度,而不再单纯依赖于自动化机制,您可以对抗新生、未知的攻击乃至专门针对蜜网的攻击。
蜜网定制化也可以帮助减轻风险。本书内容及所有的蜜网技术,包括介绍蜜网网关的光盘,都是开源可用的。这就意味着所有人都有访问这些信息的权限,包括黑帽社区成员(我们假设他们在阅读本书并开发反击的方法)。为了降低风险,您需要修改蜜网的一切默认设置和常态行为。蜜网标准或默认的设置越少,它抵抗被检出和攻击的能力就越强,其他人就越难对其实施攻击。尽管如此,您仍需明白无论采取何种措施,都只是缓解这些风险的危害程度,根本无法将其根除。
1译者注:指敏感信息或重要数据。
2译者注:proactively,又见到这个词了,曾于“前言”中出现。
3译者注:squid,一种Web代理服务套件。
4译者注:Argus是一种开源的网络事件审计工具。
5译者注:modus operandi,原文此处为拉丁文。
6译者注:本书作者之一。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
