本章为该系列的第14篇,也是事中迎战的第4篇。互联网蜜罐是演练期间高频出现的对抗手段,这一篇让我们聊聊演练期间如何发挥互联网蜜罐的价值。
一、溯源反制
如果是采购的商业蜜罐产品,一般都会有溯源功能,可以获取攻击者指纹,从而对攻击者进行画像,有助于了解攻击者的身份。
有些蜜罐厂商还会在演练前准备反制木马,自制木马也可以,放在蜜罐中容易被发现的地方引诱攻击队下载安装。毕竟不是所有攻击成员都是经验丰富的,历年都有被防守方反制的攻击队,甚至还有被攻击队反制的攻击队。
如果成功获取攻击队的权限,一定要抑制住自己想要复仇的冲动,建议防守方也像APT一样,去安静观察攻击队的行踪,以获取更多有价值的情报,伺机而动。
二、封禁IP
由于互联网蜜罐没有真实业务,正常情况下用户不会访问到蜜。所以,碰蜜罐的一定有问题,可以直接封禁。
每天定时查看一下蜜罐的访问记录,将源IP导出来直接加入黑名单。有条件的还可以借助SOAR的能力自动化拉取蜜罐的IP日志联动封禁。这种无差别封禁的思路是学习了qax冬奥重保方案,在实战中我们也实际应用过,效果还可以,没遇到过误封禁。
不过在实际对抗过程中,封了IP就无法收集更多攻击者信息进行溯源,那有没有既能封IP又不影响溯源的方法呢?
可以利用云蜜罐来实现,将蜜罐系统搭建到公有云VPS上,与企业的IT环境物理隔离,这样我们封禁了IP也不影响攻击者访问蜜罐系统,进而可以持续对攻击者进行信息收集。
关于云蜜罐的搭建可参考文章【红蓝/演练】-事前准备(8)之蜜罐建设。
三、蜜罐引流方案
如果蜜罐是演练前临时上线的,可能曝光度不高,不容易吸引攻击者。如果您的企业对溯源攻击者有强需求,希望攻击者尽可能多的访问蜜罐,可以主动出击,为蜜罐引流。
3.1 向资产测绘平台上报蜜罐资产
如今,资产测绘平台已经成为攻击队信息收集的必选项了,不过资产测绘平台上的数据更新有延时,如果我们的蜜罐系统是为了应对演练临时上线的,很有可能不会及时被资产测绘平台录入,也就降低了被攻击队发现的概率。
资产测绘平台为了提高自身数据的准确性,一般会有人工上报数据的渠道,以FoFa为例,登录后点击提交资产。
按照示例格式填写即可,数据上传成功后,还会获得F币奖励。这样,可以借助资产测绘平台实现被动引流。
3.2 结合WAF功能为蜜罐引流
被WAF告警的流量基本都是攻击流量(也有误报的),传统的做法就是将其拦截。WAF上可以配置触发告警后的动作,比如放过、拦截、重定向、返回默认页面等,如果把WAF和蜜罐结合起来,还可以继续利用攻击流量的剩余价值,为蜜罐进行主动引流。
【重定向】:触发告警后可以重定向到蜜罐地址上,当攻击者对我们发起攻击,就会302到蜜罐,主动推给攻击者。
【拦截页面】:自定义拦截页面,在页面上放置超链接指向蜜罐地址,还可以配合诱惑性的文字引诱攻击者点击。
主动引流也有缺点,一方面容易被攻击队识破是蜜罐系统,不过我们的目标是溯源攻击者信息,如果能成功溯源,被识破也没什么。另一方面,如果有正常用户的请求误报了,会把正常用户也引导到蜜罐中。所以,如果溯源不是您的主要目的,可以不进行这类配置。
四、总结
做好蜜罐的运营可以为我们的防守工作锦上添花。演练期间,蜜罐的出镜率要比平时高很多,一方面可以补充封禁源,同时也可以对攻击方进行溯源反制,再配合一些引流机制,可以更好地发挥蜜罐的价值。
如果这篇文章你只能记住一件事的话,那请记住:蜜罐日志用来封禁IP,攻击画像可以溯源反制,配合资产测绘和WAF攻击引流。
原创 十九线菜鸟学安全
