渗透测试行动中的蜜罐是什么? 安全大牛讲解

起源于上世纪90年代的蜜罐技术,是运用部署一套模拟真实应用系统,在预先设置的环境中吸引攻击者攻击,然后检测、分析入侵行为,还原攻击者的攻击方式、方法、过程等,并运用所获得的信息保护真实系统。它在恶意代码的检测和样本捕获,入侵检测和攻击特征的提取,网络攻击的取证,僵尸网络的跟踪等方面都有广泛的应用。


之所以叫“蜜罐”,是因为最初设计时,系统中存在着许多漏洞,而这些漏洞正是用来引诱攻击者的,本质上是一种针对攻击者的欺骗技术,只有当蜜罐处于不断地被扫描、攻击甚至破坏的状态时,它才有价值。这个蜜罐实际上没有任何敏感数据。可这样说,能进入蜜罐的,都是可疑行为,都能被确认为黑客,从而采取下一步行动。


在此基础上,提出了运用伪装、诱骗攻击者入侵、诱使攻击者攻击等三种方法来降低对真实系统的威胁。资料捕捉,攻击者若侵入蜜罐,则可透过蜜罐纪录,恢复攻击者在进入和离开蜜罐期间的所有活动过程和其他信息。对威胁资料进行分析,对数据进行分析,还原攻击手法,并对威胁资料进行溯源等。

但是,蜜罐也有其局限性,它只在攻击者攻击时才会起作用。


假如攻击者不触发蜜罐,那么蜜罐就没有意义了,所以现在我们就来看看如何让攻击者能够有效地触摸蜜罐,然后运用相关技术来进行追踪。类似地,如果攻击者识别出一个蜜罐并成功进入,使用相关逃逸0day对蜜罐进行攻击(而蜜罐的记录则不存在),那么这个蜜罐将被当作一个跳板,对其他的真实企业进行攻击,造成很大的危害。蜜可分为三种:低交互式蜜、中交互式蜜、高交互式蜜。低级互动蜜罐:通常指一个蜜罐系统,它不太依赖于操作系统,只开放一些简单的服务或端口,用于检测扫描和连接,这很容易识别。


中间互动蜜罐:处于低互动和高互动中间,能够模拟操作系统的大量服务,使攻击者看起来更像一个真正的企业,从而发起攻击,使蜜罐获得大量有价值的信息。高度互动:指的是与操作系统互动非常多的蜜罐,它将提供一个更真实的环境,这样更容易吸引入侵者,有利于掌握新的攻击手段和类型,但同样也会存在着潜在的威胁,会对现实网络造成攻击。这个渗透测试行动中,有很大一部分蜜罐被部署在内网中,只有很少一部分被部署在外网中,而外网中的蜜罐能够检测到大量的东西,尤其是域名绑定之后,让攻击者困惑不已。一些厂家的蜜罐可以说是在渗透测试行动中大放异彩,只要攻击者能进入这个蜜罐,在很大程度上就能得到你的社会帐户ID,然后再运用指纹信息恢复攻击者身份画像,这点我相信许多红方还没有预料到,因而被社会工作者所诟病。关于使用的技巧我就不写了,怕明天见不到太阳。蜜罐头不仅能够检测到攻击者的攻击手法,还可以检测到僵尸网络,例如此次渗透测试行动,就有许多肉鸡运用网站logic的漏洞自动对外网发动攻击,然后植入木马病毒等等。公网蜜罐能够很好地检测这种行为,进而收集和跟踪信息。

分享: