- 3.58 MB
- 2022-06-16 12:40:48 发布
- 1、本文档共5页,可阅读全部内容。
- 2、本文档内容版权归属内容提供方,所产生的收益全部归内容提供方所有。如果您对本文有版权争议,可选择认领,认领后既往收益都归您。
- 3、本文档由用户上传,本站不保证质量和数量令人满意,可能有诸多瑕疵,付费之前,请仔细先通过免费阅读内容等途径辨别内容交易风险。如存在严重挂羊头卖狗肉之情形,可联系本站下载客服投诉处理。
- 文档侵权举报电话:19940600175。
学校代码10459学号或申请号Z201633496密级专业硕士学位论文基于蜜罐的内网威胁感知技术研究作者姓名:秦玉杰导师姓名:刘炜专业学位名称:工程硕士培养院系:省网中心完成时间:2018年9月
学位论文原创性声明,本人郑重声明:所呈交的学位论文,是本人在导师的指导下独立进行研宄所取得的成果。除文中己经注明引用的内容外,本论文不包含任何其他个人或集体己经发表或撰写过的科研成果。对本文的研宄作出重要贡献的个人和集体,均己在文中以明确方式。标明。本声明的法律责任由本人承担学位论文作者:曰期:>/公年//月/2曰学位论文使用授权声明本人在导师指导下完成的论文及相关的职务作品,知识产权归属郑州大学。根据郑州大学有关保留、使用学位论文的规定,同意学校保留或向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅;本人授权郑州大学可以将本学位论文的全部或部分编入有关数据库进行检索,可以采用影印、缩印或者其他复制手段保存论文和汇编本学位论文。本人离校后发表、使用学位论文或与该学位论文直接相关的学术论一。。文或成果时,第署名单位仍然为郑州大学保密论文在解密后应遵守此规定学位论文作者:曰期:)0年/月/I曰丨幺丨
摘要当前的网络安全攻防态势正逐步由已知转向未知,在与攻击者的博弈中,能否及时感知到未知威胁攻击成为安全防护的关键。但目前大多数企业网络的安全防护多集中在网络边界,而且以被动防御技术为主,对于新型攻击手段以及未知威胁的感知存在不足。本文详细分析了企业内网的安全短板以及常见的威胁行为,基于蜜罐技术和引诱欺骗技术提出了内网威胁感知系统的设计思路和整体架构;设计并实现了端口信息伪装、存储凭证伪造、认证会话伪造等多项伪造欺骗技术;通过端口重定向的方式充分整合中交互蜜罐、低交互蜜罐等多种蜜罐;实现了能够安全捕获Wannacry勒索蠕虫病毒的Windows蜜罐;通过ELKstack技术实现对安全日志进行统一收集汇总及可视化展示;并通过搭建仿真环境,模拟进行综合攻击测试,验证内网威胁感知系统可以有效发现攻击事件,并对安全事件进行实时展示。本课题的研究工作有效提升了蜜罐的收集面,可有效覆盖多种业务类型的信息系统;融合多种伪造欺骗技术,提高了蜜罐捕获攻击的可能性;通过虚拟化部署和端口重定向的方式,可适应不同的业务内网和基础环境,降低了蜜罐的部署成本及维护成本;通过日志汇总及可视化,有效提升了安全事件分析的效率,具有较好的实用价值。关键词:网络安全,威胁感知,蜜罐技术,欺骗技术I
AbstractThecurrentsituationofnetworksecurityattackanddefenseisgraduallyturningfromknowntounknown.Inthegamewiththeattacker,whethertheunknownthreatattackscanbedetectedintimebecomesthekeyofsecurityprotection.However,thesecurityprotectionofmostenterprisenetworksisconcentratedonthenetworkboundaryandusingpassivedefensetechnology.Thereforetheperceptionofnewtypeofattacksandunknownthreatsisinsufficient.Thisthesisanalyzesthesecurityshortcomingsofenterpriseintranetsandcommonthreatbehaviorsindetail.Basedonhoneypottechnologyandspoofingtechnology,thisthesisproposesaframeworkandoverallarchitectureofintranetthreatawarenesssystem.Thenwedesignsandalreadyachievedanumberofforgeryfraudtechniques,includingportinformationcamouflage,storagevoucherforgery,authenticationsessionforgery,etc.Avarietyofhoneypotsarepresentedsuchasinteractivehoneypots,low-interactionhoneypotsthroughportredirection.AndwerealizeWindowshoneypotsthatcansafelycaptureWannacryransomware.ThroughtheELKstacktechnology,thesecuritylogiscollected,aggregatedandvisualized.Inaddition,thesimulationenvironmentandtheintegratedattacktesthavebeensimulatedtoverifythattheintranetthreatawarenesssystemcaneffectivelydetecttheattackeventanddisplaythesecurityeventinrealtime.Ourresearcheffectivelyimprovedthecollectionsurfaceofhoneypots,significantlycovermultipletypesofinformationsystems,increasedthepossibilityofhoneypotcaptureattacks.Andthisresearchisabletoadapttodifferentbusinessintranetsthroughvirtualizationdeploymentandportredirection,whichreducedthecostofdeploymentandmaintenanceofhoneypots.Meanwhile,throughthelogsummaryandvisualization,theefficiencyofsecurityeventanalysisisgreatlyimproved,whichhasgoodpracticalvalue.Keywords:Networksecurity;Threatawareness;Honeypottechnology;DeceptiontechnologyII
目录摘要...........................................................................................................IAbstract.....................................................................................................II图目录...................................................................................................VII表目录..................................................................................................VIII1引言.......................................................................................................11.1课题研究背景与意义...................................................................................11.2国内外研究现状...........................................................................................21.2.1研究现状...........................................................................................................21.2.2研究前景...........................................................................................................31.3本文的主要工作...........................................................................................31.4本文结构安排...............................................................................................42企业内网安全现状...............................................................................52.1场景定义.......................................................................................................52.2常规内网安全防护.......................................................................................52.2.1防火墙技术.......................................................................................................52.2.2入侵检测技术...................................................................................................62.2.3WEB应用防火墙.............................................................................................62.2.4杀毒技术...........................................................................................................62.3企业内网威胁行为分析...............................................................................62.3.1生产业务内网...................................................................................................62.3.2办公内网...........................................................................................................7III
2.4本章小结.......................................................................................................83相关技术介绍.......................................................................................93.1网络欺骗技术概述.......................................................................................93.2蜜罐技术介绍...............................................................................................93.2.1蜜罐的定义.......................................................................................................93.2.2安全价值...........................................................................................................93.2.3蜜罐的分类.....................................................................................................103.2.4蜜罐的优点和缺点.........................................................................................113.2.5开源蜜罐项目介绍.........................................................................................123.3伪装诱骗技术.............................................................................................133.3.1端口重定向技术介绍.....................................................................................133.3.2端口信息伪装技术介绍.................................................................................133.3.3存储凭证伪造技术介绍.................................................................................143.3.4认证会话伪造技术介绍.................................................................................153.4入侵检测技术.............................................................................................153.5日志分析技术.............................................................................................153.6本章小结.....................................................................................................164内网威胁感知系统设计.....................................................................174.1设计概述.....................................................................................................174.1.1安全目标.........................................................................................................174.1.2系统特性.........................................................................................................174.2系统整体设计与布局.................................................................................184.2.1系统架构.........................................................................................................184.2.2网络架构.........................................................................................................194.2.3系统部署.........................................................................................................204.3系统设计优势.............................................................................................21IV
4.4本章小结.....................................................................................................225内网威胁感知系统关键技术实现.....................................................235.1伪装诱骗技术.............................................................................................235.1.1端口重定向实现.............................................................................................235.1.2存储凭证伪造实现.........................................................................................235.1.3认证会话伪造实现.........................................................................................245.1.4容器化部署实现.............................................................................................255.2蜜罐服务组合实现.....................................................................................265.2.1低交互蜜罐实现.............................................................................................265.2.2中交互蜜罐实现.............................................................................................275.2.3Web蜜罐实现................................................................................................285.2.4Windows蜜罐实现........................................................................................295.3安全日志传输处理实现.............................................................................325.3.1日志类型与格式.............................................................................................325.3.2日志传输收集.................................................................................................345.3.3威胁可视化.....................................................................................................375.4本章小结.....................................................................................................386威胁感知模拟测试.............................................................................396.1测试环境.....................................................................................................396.1.1网络拓扑.........................................................................................................396.1.2DMZ区域部署...............................................................................................406.1.3运维管理区部署.............................................................................................436.1.4办公区域部署.................................................................................................446.2测试过程.....................................................................................................446.2.1信息收集阶段.................................................................................................446.2.2端口扫描阶段.................................................................................................45V
6.2.3口令爆破阶段.................................................................................................466.2.4非法登陆阶段.................................................................................................466.2.5漏洞利用阶段.................................................................................................486.3测试结论.....................................................................................................496.4本章小结.....................................................................................................507总结与展望.........................................................................................517.1全文总结.....................................................................................................517.2展望.............................................................................................................52参考文献.................................................................................................53致谢.........................................................................................................54个人简历、在学期间发表的学术论文与研究成果.............................55VI
图目录图3.1端口伪装示例1...............................................................................................................13图3.2端口伪装示例2...............................................................................................................14图3.3ELK日志传输流向.........................................................................................................16图4.1内网威胁感知系统架构..................................................................................................18图4.2内网威胁感知系统网络架构..........................................................................................20图4.3内网威胁感知系统部署架构..........................................................................................21图5.1抓包捕获伪造会话凭证..................................................................................................25图5.2Dionaea端口开放情况...................................................................................................27图5.3WEB蜜罐效果................................................................................................................29图5.4Windows蜜罐攻击识别.................................................................................................30图5.5文件修改监控..................................................................................................................30图5.6Wannacry病毒发作效果................................................................................................31图5.7Windows蜜罐快速恢复效果.........................................................................................31图5.8Logstash作用..................................................................................................................34图5.9Discover界面..................................................................................................................37图5.10蜜罐Dashboard界面....................................................................................................37图6.1模拟测试环境..................................................................................................................39图6.2蜜罐代理服务器1端口转发..........................................................................................42图6.3蜜罐代理服务器2端口转发..........................................................................................42图6.4攻击者端口扫描情况......................................................................................................45图6.5日志平台端口扫描记录..................................................................................................45图6.6攻击者口令暴力破解操作..............................................................................................46图6.7日志平台记录口令爆破事件..........................................................................................46图6.8攻击者非法登陆操作情况..............................................................................................47图6.9蜜罐日志还原攻击者相关操作......................................................................................47图6.10蜜罐日志对攻击者上传文件备份................................................................................47图6.11攻击者通过MSF攻击办公电脑..................................................................................48图6.12蜜罐安全防护工具发现攻击行为................................................................................48图6.13IDS识别永恒之蓝告警................................................................................................49图6.14日志平台记录访问源地址............................................................................................49VII
表目录表3.1按照交互程度蜜罐对比..................................................................................................11表5.1Honeybits伪造凭证信息示例表....................................................................................24表5-2Cowrie重要配置文件作用表.........................................................................................28表5.3蜜罐Dionaea日志内容格式列表..................................................................................32表5.4蜜罐Cowrie日志内容格式列表....................................................................................33表6.1DMZ测试服务器列表....................................................................................................40表6.2运维管理区测试服务器列表..........................................................................................43表6-3办公区测试终端列表.....................................................................................................44VIII
1引言1.1课题研究背景与意义在互联网越来越普及的今天,互联网服务早已深入各个行业,国务院在2015年印发的《关于积极推进“互联网+”行动的指导意见》[1],更是大力推进互联网的创新成果与经济社会各领域进行深度融合,加速提高产业发展水平,推动技术进步,提升实体经济的创新力和生产力。与此同时,伴随着互联网的全面升级和提速,用户规模越来越大,4G时代下移动互联网无处不在,信息安全问题不仅与每一个人的生活息息相关,更成为关乎国家安全和社会安定的重要问题。2017年5月12日,Wannacry勒索蠕虫病毒在全球爆发,这是一种利用美国国家安全局泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播的蠕虫病毒,该病毒感染计算机之后,会对用户主机上所有重要文件进行加密,用户主机一旦被勒索病毒感染,只能通过重新安装操作系统的方式来解除勒索行为。在这次事件中[2],超过150个国家的200000台电脑遭受感染,至少有30万名用户中招,金融,能源,医疗等众多行业受到波及,造成损失达80亿美元。在传统网络安全防护领域,安全防护多集中在网络边界,通过部署防火墙、入侵防护设备、抗拒绝服务系统等安全设备来保证外界无法直接攻入网络。但是对高级可持续性渗透攻击的防护以及对未知威胁的感知依然存在不足,近年来,由于内网威胁造成的安全事件层次不穷,尤其是Wanncry勒索蠕虫攻击事件,证明了边界网络的铜墙铁壁并不能保证内网网络高枕无忧。如何在第一时间感知威胁,并及时响应是内网安全防护的关键,基于蜜罐技术构建威胁感知系统可以作为传统安全防护的有效补充,可以低成本的部署在内网不同区域当中,起到迷惑欺骗攻击者的作用,同时可以记录攻击信息,开展网络安全应急响应,并最终阻止攻击者。1
1.2国内外研究现状1.2.1研究现状1989年蜜罐作为概念在小说《TheCuckoo’sEgg》中出现[3];1998年开始,安全研究人员深入研究蜜罐相关理论技术,并开发设计出一些专门用于欺骗的工具;1999年,著名安全专家FredCohen发表了文献《ANoteontheRoleofDeceptionInformationProtection》[5],设计了采用伪装服务技术的欺骗系统DTK[6](DeceptionToolKit),该系统在后来被认为是第一个可以公共应用的蜜罐系统。Spitzer等安全研究人员提出蜜网(honeynet)技术[7],并于1999年组建了非营利性研究组织TheHoneynetProject。2003年TheHoneynetProject开始引入分布式蜜罐(Distributedhoneypot)与分布式蜜网(distributedhoneynet)的技术概念[3],并于2005年开发完成kanga分布式蜜网系统。2003年,Spitzner提出了蜜场(honeyfarm)[8],通过这种部署模式可以解决部署大量高交互蜜罐系统时,需要部署方投入大量硬件设备与IP地址资源的问题。2001年,国家自然科学基金信息安全项目正式对网络攻击进行欺骗与诱导领域进行了立项研究。北京大学计算机研究所信息安全工程研究中心推进的蜜网研究项目叫Artemis(狩猎女神),并2005年1月申请加入TheHoneynetProject,成为其中国分支团队[9],从2005年起,狩猎女神项目组主动承担了国家863计划、国家242信息安全计划等多项国家科研课题[10],为国家计算机网络应急技术处理协调中心(CNCERT/CC)构建了分布于全国各个省份的Matrix分布式蜜网系统。2011年以后,随着高级持续性威胁的出现[11],传统安全防护措施无法有效应对此类安全威胁,安全研究人员开始转向研究网络欺骗技术;从2014年起,包括美国TrapX、Attivo,以色列Cymmetria、长亭科技和默安科技等多家安全公司发布了一系列基于网络欺骗思想的安全防御产品;同年,美国空军在研究报告(BAA-RIK-14-07)中指出要研究网络欺骗技术以用于网络安全对抗;2015年,专业研究机构Gartner预测到2018年10%的企业将采用欺骗工具和策略;2016年7月,Springer出版社发行了一本名为《CyberDeception:BuildingtheScientificFoundation》的书籍[12],书中集合了关于欺骗技术的最新研究成果。2
1.2.2研究前景随着各行各业对信息安全投入大量人力物力,在互联网边界防御已经趋于完善的情况下,在2017年依然大范围爆发了Wannacry勒索蠕虫病毒事件,同时越来越多的0day漏洞在互联网上公布,攻击者的攻击手法不断提升,发生在内网的安全事件层出不穷,内网安全可能是整个企业信息系统的安全短板。作为一种主动防御技术手段,蜜罐可以通过模拟操作系统和服务,诱骗攻击者对其攻击,同时可以监测和分析攻击活动。然而现有的蜜罐技术远未成熟,如何加强蜜罐的伪装性,同时提升蜜罐本身的命中度,提升威胁感知能力,是本论文研究的重点。本课题将蜜罐技术同其他网络欺骗技术结合起来构造内网威胁感知系统,通过对威胁感知并及时响应处理,可有效提升内网安全性,避免因安全事件导致内部数据被窃取,造成经济及名誉损失等不良后果。1.3本文的主要工作通过本课题研究,分析目前内网安全现状及主要安全威胁,研究如何利用蜜罐技术、入侵检测技术、沙盒技术以及虚拟化技术来构建威胁感知系统,并通过多种网络欺骗技术提高蜜罐自身的命中率,利用虚拟化技术和沙盒技术保证威胁感知系统有效捕获勒索蠕虫病毒,并控制风险。针对蜜罐技术存在的收集面窄、自身风险性较高以及存在指纹等问题,本文通过内网威胁感知系统设计、伪装引诱欺骗技术、蜜罐服务组合实现、安全日志传输处理四个方面进行了设计改进。(1)整体设计了内网威胁感知系统,分析了内网威胁感知系统的安全目标及系统特性,通过系统架构、网络架构以及系统部署架构三个维度设计了内网威胁感知系统的结构与功能;(2)以蜜罐代理服务为基础,延伸端口信息伪装、存储凭证伪造和认证会话伪造等多种伪装引诱欺骗基础,可大幅度降低蜜罐部署成本,并拓宽蜜罐的信息收集面,提高蜜罐捕获攻击的可能性,并降低蜜罐的自身风险。(3)通过整合低交互蜜罐、中交互蜜罐、Web蜜罐和Windows蜜罐,全方位覆盖信息系统类型,同时可适应不同的业务内网和基础环境,提高了蜜罐的真实性。3
(4)通过ELKstack技术将多种蜜罐日志进行统一收集处理,并根据安全运维需要对威胁要素实现可视化处理,有效地提升了安全事件分析的效率,具有较好的实用价值。1.4本文结构安排本论文从以下七章阐述基于蜜罐的内网威胁感知技术的研究:第一章引言:介绍了论文研究背景及意义,国内外研究现状及研究前景,介绍了本文主要工作及论文结构安排;第二章企业内网安全现状:描述了常规内网的资产及网络划分范围,并介绍了常规的内网安全防护技术,重点阐述了攻击者在企业内网中攻击方式及可能存在的安全威胁;第三章网络欺骗相关技术:简述网络欺骗技术,分别介绍蜜罐技术、伪装诱骗技术、入侵检测技术、ELK日志分析技术。第四章内网威胁感知系统设计:提出内网威胁感知系统建设设计,通过设定安全目标来定义内网威胁感知系统的设计需求,具体探讨内网威胁感知系统应具备的系统特性。并分别通过系统架构、网络架构、系统部署等角度介绍该系统实际运作的功能原理以及预计效果;第五章内网威胁感知系统关键技术实现:对于内网威胁感知系统关键技术进行实现,分别介绍了伪装诱骗技术的实现、蜜罐服务组合实现、安全日志传输处理实现。第六章威胁感知模拟测试:比照实际业务场景搭建模拟测试环境,并通过重现攻击行为来判断威胁感知系统实际应用效果。第七章总结与展望:对研究工作的总结和展望,包括:论文的主要创新工作以及下一步的研究方向。4
2企业内网安全现状2.1场景定义内网的概念是相对互联网提出的,在企业网络划分中,一般还会将内网划分为业务生产网和办公网。其中业务生产网根据实际应用和网络位置,基于不同的安全访问控制策略,进行安全域划分,具体可划分为互联网接入区、DMZ区、应用区、核心数据区、运维管理区等。本文讨论的内网安全主要关注业务生产网的DMZ区域和办公网。DMZ是英文“DemilitarizedZone”的缩写,中文名称为“隔离区”,一般指位于企业内部网络和外部网络之间的网络区域,可以放置一些必须公开的服务器设备,该网络区域主体对象主要为WEB服务器,提供针对互联网用户的WEB访问服务。根据安全要求,在该区域网络边界部署防火墙用于访问控制限制,部署入侵检测系统用于监测网络安全事件,部署WEB应用防火墙用于发现并阻断针对WEB的网络攻击,此外还会部署用于防范病毒传播的防毒墙。办公网络主要使用对象为企业员工,主要设备为办公电脑及移动终端,该区域范围较广、用户较多。根据安全管理要求,一般会在办公终端上部署防病毒软件,在互联网边界部署防火墙及上网行为管理设备,与生产业务网相比整体安全级别较低。2.2常规内网安全防护2.2.1防火墙技术防火墙是指一种防御系统[13],在本地网络与外部网络之间执行控制策略,它根据安全策略对网络之间传输的数据包进行检查,然后决定是否允许通信,并对外屏蔽内部的网络信息和运行状态,提供单一的入口,从而达到保护内部系统不被外部非授权访问和过滤不良信息的目的。在企业网络边界及内部网络区域之间,防火墙是必不可少的设备,一方面承担着路由转发、地址转换等重要的网络功能,另一方面通过设置安全策略提供基础的访问控制策略。但防火墙也存在自身局限性[14],防火墙不能防范不经5
过防火墙的攻击;不能防止病毒的传播与感染。2.2.2入侵检测技术入侵检测系统是通过对计算机和网络流量中的恶意行为进行识别和响应[15],检测入侵行为以及未授权活动,入侵检测的软件和硬件共同组成了入侵检测系统,入侵检测被认为是防火墙后的第二道闸门,是网络安全体系不可或缺的一部分。入侵检测系统可以基于自身的规则库发现已知的安全风险,但是不能有效检测规则库之外的未知攻击,同时由于检测机制,入侵检测系统误报率和漏报率较高,安全告警不能有效直接反馈真实内网安全状态。2.2.3WEB应用防火墙Web应用防火墙工作在应用层[16],通过对HTTP的请求和应答进行重组解析,将解析出来的内容与HTTP攻击特征库进行检索对比,进而实现对攻击进行检测和阻断。Web应用防火墙可以发现SQL注入、XSS跨站脚本攻击、非法文件上传、非法文件下载、敏感信息泄露等众多基于WEB漏洞的网络攻击。2.2.4杀毒技术杀毒软件是一种可以对病毒、木马等计算机有危害的程序代码进行清除的程序;集成监控识别、病毒扫描和查杀以及自动升级等功能。2.3企业内网威胁行为分析根据DMZ区域和办公网的主体特征和网络部署情况,本节将以攻击者的角度分析可能存在的网络威胁。2.3.1生产业务内网由于DMZ区域的直接面向互联网用户提供WEB服务及其他公共服务,面临众多外部威胁,攻击者一般会根据WEB应用自身的漏洞和系统自身对外开放服务情况,开展渗透测试攻击。通过信息获取、漏洞挖掘、漏洞利用、权限提升等几大步骤,最终获得单台服务器的系统管理员权限,并通过Webshell和远程桌面等方式获取远程访问控制权限,并以此服务器为跳板进行内网渗透活动。6
该区域主要威胁如下:(1)本地密码信息收集,包括系统密码和服务密码,可通过工具获取系统内存中存储的系统密码,或者通过获取Shadow文件或者SAM文件进行破解获取系统密码。服务密码一般存在于运维管理工具历史记录密码和配置文件记录,运维工具(如VNC、TeamViewer、远程桌面、浏览器)的保存密码,中间件和数据库连接配置文件。(2)网络信息收集,通过本机网络配置及网络连接信息推断内网网络拓扑。可根据本地网络配置获取内网IP及网关信息,通过网络连接状态判断内网服务器关联关系,通过端口信息判断相关联的应用服务器或者数据库服务器的IP地址信息。(3)网络流量分析,通过网络流量获取关键信息,在内网中可通过切换网卡为混杂模式以及ARP中间人攻击的方式捕获内网传输流量,通过对流量进行分析,获取登陆凭证等敏感信息。(4)网络端口扫描,通过扫描工具发现存活主机及开放端口,并通过端口服务banner信息获得服务版本,通过操作系统指纹信息猜测操作系统版本,根据扫描结果确定可能存在脆弱配置及漏洞的内网主机。(5)密码暴力破解,根据端口信息发现存在登录的接口,如SSH、FTP、TELNET、远程桌面、Web登录地址。通过暴力破解工具对字典中的用户名及密码进行猜解尝试。(6)Web渗透测试,内网存在众多Web系统,因不开放互联网访问权限,安全要求较低,可能存在SQL注入、非法文件上传、弱口令等安全问题。(7)远程溢出攻击,根据信息收集获得的操作系统信息,结合已知的漏洞信息,例如MS17-010等,通过漏洞利用工具,可以直接获取目标主机操作系统级用户权限。(8)高级持续性威胁:在这类攻击中利用各种先进的未知攻击手段[19],对高价值目标进行的有组织、长期持续性网络攻击行为。传统安全设备不能有效发现此类攻击,导致攻击发生后,企业遭受到了难以估量的损失。2.3.2办公内网办公内网使用主体为企业内部员工,除内网OA、内网论坛、内网邮箱等辅助系统以外,大部分为办公终端,网络安全策略相对较低,且使用对象众多,7
整体安全意识较弱。故该区域面临的主要威胁如下(1)恶意程序,包含病毒、蠕虫、木马、僵尸程序、挖矿程序等对内网终端安全造成严重威胁,近年来随着区块链以及加密货币的发展,新型勒索软件层出不穷,成为了不法分子盈利首选,同时利用系统漏洞传播的蠕虫病毒目前仍然活跃在企业内网中。(2)信息泄露,随着信息化的发展,企业数据变成了企业的核心资产,黑客攻击的目的也由恶意破坏攻击,逐渐演变为以窃取核心资产为目的的高级可持续性攻击。由于企业员工安全意识层次不齐,信息泄露成为了企业内网的主要威胁。(3)移动存储介质,虽然办公内网是对外隔离的,但是由于移动存储介质广泛用于资料传输,移动存储介质极有可能成为病毒传播介质在内网中传播扩散。(4)使用假冒软件程序,假冒软件中极有可能携带有恶意程序或者后门,如未及时发现,可导致内网数据被窃取等危险事件,例如在2017年知名服务器终端管理软件Xshell在7月18日发布的5.0Build1322官方版本被植入后门[17],用户下载、更新到该版本均会中招。(5)安全基线短板,在办公内网中,虽然在办公电脑上均统一安装杀毒软件或者终端管理软件,但依然有大量用户使用未打补丁的Windows系统,这些机器可能会被轻而易举的攻破,并成为攻击者的跳板对内网进行渗透,或者成为病毒扩散源向内网传播蠕虫病毒。除了众多威胁以外,办公内网还存在众多安全风险,例如缺乏精细化管理、系统漏洞未及时打补丁、账号口令管理不严格、未执行网络安全准入策略等。2.4本章小结通过本章节,分析业务内网和办公内网的安全防护状况,结合黑客攻击思路分析内网可能面临哪些威胁,基于分析结果提出内网威胁感知需求,并围绕需求开展具体功能设计。8
3相关技术介绍3.1网络欺骗技术概述网络欺骗是指安全管理人员在己方信息系统中布设骗局,误导干扰攻击者对己方信息系统的认知,进而有助于发现、延迟、阻断攻击者的攻击行为,达到增强信息系统安全性的目的。从网络安全防护角度来看,网络欺骗防御技术作为一种主动式安全防御手段,可以有效对抗网络攻击。网络欺骗防御技术在检测、防护、响应方面均能起到作用。常见的网络欺骗防御技术有蜜罐技术、分布式蜜罐技术、蜜网技术、空间欺骗技术以及网络信息迷惑技术。3.2蜜罐技术介绍3.2.1蜜罐的定义安全专家Lance对蜜罐有一个权威的定义[4]:蜜罐是一种资源,其价值在于被攻击或攻陷,这就意味着蜜罐希望被探测,攻击甚至被攻陷;由于蜜罐没有对外提供业务服务,因此所有尝试访问的请求都可以认为是可疑的;同时蜜罐可以用来拖延攻击者对真正目标进行攻击,从而保护真正的计算机系统。此外,蜜罐通过记录攻击者的行为操作,了解他们使用的攻击工具和方法,发现系统的未知漏洞以及未知的攻击手法,并利用获取到的信息对生产系统进行加固。3.2.2安全价值蜜罐是一种增强现有安全的强大工具,是一种可以了解攻击者常用工具和攻击策略的有效方式,它的安全价值主要体现在安全检测、响应告警、安全研究三方面。(1)检测方面,因为蜜罐自身没有任何生产服务,不存在任何外界生产交互,任何与蜜罐的连接都可以认定为可疑行为被记录。这也就大大降低了漏报率和误报率,简化了检测的流程。相比较而言,入侵检测系统(IDS)虽然可以识别入侵行为,但是由于面对海量正常通信与可疑行为,导致IDS发生误报的几率非常高,运维人员每天需花大量时间对入侵事件的真伪进行甄别,导致有9
时候并不能及时发现和处理真正的攻击行为,进而让IDS失去有效告警的作用。同时IDS是基于入侵特征规则匹配的,对于新型的或者未知的攻击不能有效发现。而根据检测原理,蜜罐可以捕获任何可疑的攻击行为操作,在检测攻击方面,具有较低的误报率和漏报率。(2)响应方面,当蜜罐检测到入侵行为后,可以引诱攻击者,同时发出安全告警到运维人员,为运维人员争取到了加固时间,对真实系统进行加强。(3)研究方面,蜜罐系统为安全专家们提供了一个平台来学习各种攻击技术,可以观察攻击者的行为,通过日志了解攻击者是如何进行攻击并将整个系统攻陷,同时可以捕获到他对外界的通信以及使用到的利用工具。并根据这些信息,有针对性的对信息系统进行加固。3.2.3蜜罐的分类依照不同的标准可以对蜜罐技术进行不同的分类,这里讨论3种分类方式:根据产品的设计目的、根据交互程度分类和根据部署方式分类。(一)根据产品设计目的分类Snort的创始人MartyRoesch将蜜罐分类两类:产品型和研究型产品型蜜罐的目的是提高商业组织的安全能力,该类型蜜罐在网络安全响应环节发挥重要的作用,它们主要负责检测攻击行为,及时有效地响应入侵攻击事件。研发型蜜罐的目的则是专门研究和获取攻击信息,该类型蜜罐主要工作就是收集恶意攻击者的相关信息,分析攻击来源、攻击方式、攻击目的和攻击工具等。是研究攻击行为的最好工具。(二)根据交互程度分类根据交互度的等级可以划分为低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互蜜罐,又称低级别包含的蜜罐[20],只提供一些特殊的虚假服务,这些虚假服务通过在特殊的端口进行监听。低交互蜜罐可以模拟服务、网络堆栈或一台真实机器的其他功能,提供基础的交互功能。低交互蜜罐主要可以用于网络异常行为预警,并引诱攻击者远离生产机器。低交互蜜罐的优点在于简单和易于维护,攻击者不会完全攻陷该系统,风险有限且可以控制。中交互蜜罐,提供了更多的交互信息,没有提供真实的操作系统。中交互蜜罐是对通过模拟操作系统的各种行为实现,用户可以通过配置使该蜜罐看起10
来与真正的操作系统没有区别。攻击者与中交互蜜罐的交互非常接近真实的交互,所以通过中交互蜜罐可以获得更多的攻击信息。高交互蜜罐,提供了一个完整的可交互系统,它提供真实的系统和服务,不模拟任何服务、功能或基础操作系统,攻击者可以完全攻陷它。通过高交互蜜罐可以更全面的观察攻击者的操作步骤。同时,高交互蜜罐被攻击者入侵的可能性非常高,如果蜜罐被完全控制,有可能对自身的安全构成威胁,所以必须对高交互进行严格监控和控制。表3.1按照交互程度蜜罐对比文献类型低交互蜜罐中交互蜜罐高交互蜜罐包含等级低中高真实操作系统——√信息收集连接请求所有危险性低中等高维护成本低低很高(三)根据部署方式分类根据蜜罐的部署方式可以分为物理蜜罐和虚拟蜜罐:物理蜜罐表示蜜罐运行在一台真实的物理计算机上,允许系统被攻陷,安装和维护的成本通常较高,占用单独的系统资源及网络资源。虚拟蜜罐表示蜜罐运行在虚拟化平台,可以在一台计算机上部署多个蜜罐,虚拟蜜罐更容易被维护,而且硬件成本要求较低,通常使用VMware或Linux用户模式等虚拟化的方式建立虚拟蜜罐。3.2.4蜜罐的优点和缺点(一)蜜罐的优点作为主动防御安全产品,蜜罐具备多项优点,最主要的有以下三点:(1)使用简单,蜜罐不涉及任何特殊的计算[18],不需要保存特征数据库,也没有需要配置的规则库,不会对现有生产网络部署方式产生改变,用户只需要将蜜罐放置在网络中然后监测蜜罐告警即可。(2)资源占用少,蜜罐在正常运行情况下,仅记录和响应对尝试与自己建11
立连接的行为,不存在被庞大带宽和网络行为淹没的可能。并且蜜罐不需要昂贵的硬件设备,对硬件要求非常低。(3)数据价值高,蜜罐收集到的信息均为异常访问行为,几乎不存在误报,收集到的数据具有较高的研究价值,通过进一步的分析,可以获知攻击者采用了哪些攻击手法及攻击工具。(二)蜜罐的缺点蜜罐并不能完全取代其他的安全防护机制,存在下列几个缺点,在生产运用中,应将它与其他安全机制共同使用以加强网络和系统的安全性。(1)数据收集面狭窄它仅仅可以检测到对它进行攻击的行为,蜜罐对自身以外系统发生的攻击一无所知,蜜罐并不能全面准确反映所在网络的安全状态。(2)自身风险性蜜罐可能为用户的网络带来安全风险。如果蜜罐被攻陷,就可以被用来作为跳板探测攻击其他业务系统。(3)指纹蜜罐自身存在诸多行为和特征,一旦被攻击者识破,攻击者很可能会故意制造大量虚假数据或者进行避开绕过,蜜罐则失去了收集信息的作用和意义。3.2.5开源蜜罐项目介绍Dionaea是HoneynetProject的开源项目,属于低交互蜜罐,起始于GoogleSummerofCode2009,是Nepenthes(猪笼草)项目的后继。Dionaea设计目的是捕获利用暴露漏洞的恶意软件[21],获取恶意攻击会话与恶意代码程序样本,它通过模拟各种常见服务,捕获攻击数据,记录源和目标IP、端口、协议类型等信息,自动分析其中可能包含的Shellcode及其中的函数调用和下载文件,并获取恶意程序。Cowrie是一种中等交互式SSH和Telnet蜜罐,用于记录暴力攻击和攻击者执行的Shell交互。它可以获取攻击者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。WebTrap是一个模拟网站的蜜罐程序,属于Web蜜罐,通过克隆真实网站,创建欺骗性网页,欺骗和重定向攻击者远离真实网站。该程序分为两部分,一部分为WebCloner,负责克隆真实网站并创建欺骗性网页,另一部分为DeceptiveWebServer,负责提供克隆的网页,并记录WEB访问行为日志。12
3.3伪装诱骗技术3.3.1端口重定向技术介绍根据上文得知,蜜罐最大的缺点是仅可以检测到对它进行攻击的行为,蜜罐对自身以外系统发生的攻击一无所知,通过端口重定向技术提高蜜罐的覆盖率,可大幅度提升蜜罐的监测范围,同时可以选择以虚拟化的形式部署蜜罐代理服务器,实现蜜罐的轻量级部署。端口重定向是指将用户请求的服务重定向到蜜罐的对应端口,从而由蜜罐服务器来实现用户的相关交互操作,端口重定向可以提高蜜罐的覆盖度,蜜罐代理服务器无需运行任何蜜罐程序,仅配置端口重定向即可实现蜜罐监测功能。3.3.2端口信息伪装技术介绍基于端口重定向技术,在蜜罐代理服务器的基础之上,为了能够使蜜罐代理服务器更具有迷惑性,可以通过将部分端口重定向至生产服务器业务端口的方式,将蜜罐部署节点伪装成为生产业务。例如蜜罐代理服务器将22、445、3306端口重定向到蜜罐服务器,可同时将80端口重定向到生产服务器上,因为该蜜罐代理服务器部分端口具备和生产一致的业务,迷惑性更强。如图3-1所示。图3.1端口伪装示例1同时,基于此原理,同样可对生产服务器进行端口重定向操作,可以修改SSH服务的绑定端口为其他端口(例如50022端口),同时将本机的22端口映13
射到高交互蜜罐服务器。以此类推,可以把一些本机生产业务以外的服务端口,例如7001、23、8080、3306等敏感端口做端口映射。如果攻击者对该生产服务器进行端口扫描后,发现众多业务以外的端口,将会对这些端口展开针对性的漏洞发现及利用,而攻击者发出的流量将会被转发至蜜罐服务器。具体的网络连接关系如图3-2所示。图3.2端口伪装示例23.3.3存储凭证伪造技术介绍通过对攻击者的行为模式还原,发现攻击者在进入内网后首先会进行信息收集,包括对本地密码等凭证信息的收集以及网络信息的收集。针对攻击者的惯有攻击模式,可以构造虚假的凭证及密码信息,并通过一些访问记录引导攻击者将攻击目标转移为蜜罐服务器,进而达到威胁转移的目的。制造的虚假或误导信息越多,捕获攻击者的机会就越大,虚假信息可以包含以下信息:1、虚假的bash_history命令,包含伪造的SSH、FTP、SCP、MYSQL、WGET等运维工具的命令执行记录,以及指向蜜罐服务器的IP地址信息。2、虚假的中间件配置文件,例如数据库的连接配置文件,包含虚假的用户14
名密码信息以及蜜罐服务器的IP地址信息3、运维工具配置信息,如RDP、VNC的相关凭证配置文件和备份文件4、伪造的网络信息,包含ARP表、HOST文件以及虚假的网络连接。5、虚假的浏览器记录,包含浏览器书签、历史及密码记录信息。3.3.4认证会话伪造技术介绍由于蜜罐服务器本身不存在生产业务,在网络上较为孤立,不存在网络流量。而攻击者进入内网中可能会采取监听流量的方式,可通过切换网卡为混杂模式以及ARP中间人攻击的方式捕获内网传输流量,通过对流量进行分析,获取登陆凭证等敏感信息,从而确定下一步的攻击目标。针对攻击者的行为特征,可以通过模拟认证会话信息,主动在内网机器上发起对蜜罐服务器认证会话,诱骗攻击者获取伪造的登陆凭证转而攻击蜜罐,从而达到提高蜜罐命中率的目的。3.4入侵检测技术由于入侵检测系统可以基于自身的规则库发现已知的安全风险,面对海量网络数据,存在较高的误报和漏报。倘若入侵检测系统只监测目标地址为蜜罐服务器的网络流量,误报率将大大降低,同时基于规则库可提升蜜罐服务器对攻击行为的识别能力。3.5日志分析技术为了提供蜜罐的实时日志搜集和分析的监控系统,本系统采用了业界通用的日志数据管理解决方案ELKstack,它主要包括Elasticsearch、Logstash和Kibana三个系统。Logstash:数据收集处理引擎。支持动态的从各种数据源搜集数据[22],并对数据进行过滤、分析、丰富、统一格式等操作,然后存储以供后续使用。Kibana:可视化平台。它能够搜索、展示存储在Elasticsearch中索引数据[22],可以很方便地用图表、表格、地图展示和分析数据。Elasticsearch:分布式搜索引擎。具有高可伸缩、高可靠、易管理等特点。可以用于全文检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch15
基于Lucene开发,现在使用最广的开源搜索引擎之一,Wikipedia、StackOverflow、Github等都基于它来构建自己的搜索引擎。Beat:轻量级数据收集引擎。是数据采集的得力工具。将这些采集器安装在服务器中,它们就会把数据汇总到Elasticsearch。同时Beats还能将数据输送到Logstash进行转换和解析。由于大部分蜜罐未单独设计与ELK对接的接口,但是提供json格式的日志输出,可以在服务器上安装采集工具FileBeat,通过FileBeat将搜集到的日志发送到Logstash,经Logstash解析、过滤后,将其发送到Elasticsearch存储,并由Kibana呈现,具体架构如下图所示。图3.3ELK日志传输流向3.6本章小结本章主要对论文中涉及的网络欺骗技术做了详细的介绍。首先概述了网络欺骗技术,然后介绍了蜜罐的定义、分类和优缺点,以及伪装诱骗技术、入侵检测技术和日志分析技术。本章为具体的内网威胁感知系统的设计和相关技术的实现提供了理论基础。16
4内网威胁感知系统设计在上文中分别介绍企业内网的安全现状以及网络欺骗关键技术,为了更好的弥补安全短板,综合利用网络欺骗关键技术,提升蜜罐的利用效率。本章提出内网威胁感知系统设计,通过设定安全目标来定义内网威胁感知系统的安全需求,具体探讨内网威胁感知系统应具备的系统特性。并分别通过系统架构、网络架构、系统部署等角度介绍该系统实际运作的功能原理以及预计效果。4.1设计概述4.1.1安全目标内网区域包含重要的生产系统及网络服务,同时具备较完善的边界网络安全防护,基于安全需求及外部威胁,构建威胁感知系统需满足以下功能要求:(1)可发现内部可疑网络行为,包括存在主机存活探测,主机端口扫描,可疑网络连接,SSH远程登陆等行为;(2)可捕获攻击者非法操作,包括暴力破解、WEB渗透测试、远程溢出以及登陆蜜罐后的非法操作等;(3)可对攻击行为进行追溯,捕获并记录攻击者的相关行为,根据时间点及访问IP等信息可以判断攻击路径;(4)避免对现网造成影响,部署此威胁感知系统尽量避免对现网配置及现网生产业务构成影响,同时当攻击发生时,避免因蜜罐服务器被攻击而造成攻击扩散。4.1.2系统特性为了实现此目标,威胁感知系统需具备以下及部分特性(1)蜜罐服务代理,通过部署代理服务器,提高蜜罐服务的覆盖度,同时大幅度降低蜜罐的系统资源成本及维护管理成本;(2)引诱欺骗技术,引导攻击者将攻击目标转变为蜜罐服务器;(3)轻量化部署,利用虚拟化及容器的技术,降低部署成本;(4)自适应性,该系统可作为框架,适应不同的环境以及不同的蜜罐服务;17
(4)低交互蜜罐,模拟多种服务,捕获可疑网络访问行为;(5)中交互/高交互蜜罐,深入模拟操作系统,捕获攻击者行为及脚本工具;(6)日志记录与响应,通过对蜜罐日志进行汇总,综合分析安全事件。4.2系统整体设计与布局4.2.1系统架构为有效实现安全目标,覆盖内网威胁感知系统特性,将内网威胁感知系统一共分为三部分,如图4-1所示:内网威胁感知系统架构图威胁接入威胁响应威胁分析普通接入终端低交互蜜罐普通生产服务器中交互蜜罐Elasticsearch普通用户蜜罐代理服务器WEB蜜罐Logstash安全运维人员端口信息伪装Windows蜜罐凭证伪造入侵监测系统Kibana攻击人员认证会话伪造FilebeatPacketbeatHeartbeatHeartbeatWinlogbeat图4.1内网威胁感知系统架构第一部分为威胁接入,范围包括生产业务内网的服务器以及办公内网的桌面终端,基于可能存在的风险或者可能发生的威胁,通过部署多种伪装欺骗技术,引诱攻击者将攻击对象转移至蜜罐服务器,进而对攻击进行捕获。为方便后期对攻击源进行追踪,在蜜罐代理服务器部署Packetbeat对蜜罐代理服务器的网络流量请求进行记录,同时在蜜罐代理服务器部署Heartbeat进行服务器健康监测。第二部分为威胁响应,主要包含自建的蜜罐服务器,例如低交互蜜罐服务器、中交互蜜罐服务器、WEB蜜罐服务器、入侵检测系统等用于对攻击行为的18
捕捉与响应,并输出安全日志。通过Filebeat进行日志文件传输收集,在蜜罐服务器部署Heartbeat进行服务器健康监测,部署Winlogbeat收集Windows蜜罐事件日志。第三部分为威胁分析,主要包含日志处理服务器,使用ElasticStack实时日志分析平台,通过该日志分析平台工具收集蜜罐告警事件,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储以供后续使用;同时利用Kibana将事件转换为可视化的图表、表格、地图等多种形式进行数据展示和数据分析。4.2.2网络架构首先在业务网络区域(如DMZ区和应用区)部署蜜罐代理服务器,在运维管理区部署蜜罐服务器及日志服务器。蜜罐代理服务器作为感应器部署在网络当中,将自身端口获取到的网络流量转发至蜜罐服务器,同时生产服务器通过配置端口重定向将默认运维端口转发至蜜罐服务器。在蜜罐代理服务器上部署虚假的存储凭证,通过部署服务以构造伪造认证会话。存储凭证及伪造认证会话指向蜜罐系统。在运维管理区部署低交互蜜罐及中交互蜜罐用于接受攻击请求,部署入侵检测系统建立针对蜜罐服务器的监听策略,日志服务器负责收集各个节点的相关日志,并基于规则对安全事件进行图表化展示。当攻击者通过某种方式渗透到内网中以后,通过网络存活探测或者服务器留存的蜜标文件发现存在安全风险的服务器(蜜罐代理或蜜罐服务器),进而对脆弱目标展开攻击,蜜罐代理服务器将会把攻击者的流量重定向至蜜罐服务器,结合入侵检测系统的定向检测,产生安全告警,安全运维人员根据监控告警及时定位被入侵的服务器展开应急加固工作,避免攻击者进一步扩散攻击范围。根据日志情况分析攻击者攻击手法及行为习惯,同时回溯攻击行为,建立攻击行为分析模型,感知安全态势,实现针对性的主动防御。19
图4.2内网威胁感知系统网络架构4.2.3系统部署由于蜜罐服务器本身对系统资源及性能要求较低,为高效利用服务器资源,同时便于数据迁移及维护,威胁感知系统部署可采用虚拟化的方式。同时在虚拟化的基础之上,可以将部分功能和应用以容器的方式运行,例如转发代理、诱饵分发等机器容器化部署。一方面可以进一步降低部署成本,另一方面可以方便快速地进行部署,最终达到提高蜜罐覆盖范围的目的。容器技术凭借其轻量化和快速部署的特性,近两年来发展态势可谓炙手可热。每个容器可以运行一个应用,不同容器相互隔离,容器的创建和停止都十分快速,容器自身对资源的需求也十分有限,远远低于虚拟机,很多时候,可以直接把容器当作应用本身也没用问题。但是由于缺乏传统虚拟机技术快速恢复和平稳运行等优势,在该系统中作为虚拟机蜜罐的有效补充。综合上述,内网威胁感知系统基础平台为虚拟化平台,操作系统除Windows蜜罐外均使用Linux,而应用系统层根据具体需求分别安装Docker、Cowrie、20
Suricate等程序以实现相应功能。内网威胁感知部署架构图用户接入层业务用户恶意用户系统运维安全运维应用系统层DockerdionaeaCowrieSuricateELK操作系统层LinuxLinuxLinuxLinuxLinux基础平台层虚拟化平台图4.3内网威胁感知系统部署架构4.3系统设计优势基于整体设计布局,该系统在以下三个方面存在优势:(1)通用扩展性首先在系统架构的“威胁接入”部分中,基于端口重定向技术,既可以在生产服务器上配置部署,将生产网络地址资源转化为蜜罐服务代理节点;还可以单独部署蜜罐服务代理节点,并大面积应用;且在网络可达的情况下,可以跨不同网段部署,可以灵活扩充调整蜜罐的信息收集面。其次在“威胁响应”中,该框架并未对蜜罐的程序和种类做严格限定,可适应于任意蜜罐服务器,既可以与现有蜜罐服务器相结合使用,也可以与自建蜜罐服务器关联使用。最后在“威胁分析”中,可通过配置Logstash对任何日志进行格式过滤和录入,日志服务平台ELK本身也支持集群化部署以适应庞大的数据量。21
(2)灵活部署本系统充分利用虚拟机技术及容器技术的优势,以虚拟化技术作为底层基础平台,将不同的应用分别以虚拟化形式单独部署,保证应用及系统具有较好的稳定性,通过虚拟化快照可以对故障进行快速恢复,利用虚拟化特性可以进行快速扩容及系统迁移。在虚拟化的基础之上,利用容器技术,将资源要求较低的蜜罐代理节点进行容器化部署,可以进一步降低硬件资源,同时扩大部署规模,达到快速部署的目的,并有效降低系统维护管理成本。(3)引诱欺骗技术在该系统中综合运用了多项网络欺骗技术,充分利用攻击者的惯用思维和攻击方式,在攻击者进行收集信息和网络探测阶段中,通过全方位构造的虚假信息,充分对攻击者进行信息欺骗,引诱攻击者将攻击目标转向蜜罐代理服务器,从而捕获攻击者的攻击行为。由于攻击者在内网中收集到的部分信息来源于生产环境中业务主机,攻击者很难进行有效的真伪判断。4.4本章小结本章通过分析需求设定内网威胁感知系统应具备的特性及功能,并通过系统架构、网络架构、系统部署三个维度制定了该系统建设的具体方向及目标。22
5内网威胁感知系统关键技术实现在上文中介绍了内网威胁感知系统的特性及架构,为有效适应该系统的建设需求,完成系统建设目标,本章将介绍该系统关键技术的具体实现方式。5.1伪装诱骗技术本小结重点探讨威胁接入部分核心的伪装诱骗技术。通过伪装诱骗的方式,可以让攻击者更快的发现蜜罐,引导攻击者将攻击目标转向蜜罐,提高蜜罐的命中率。从而达到拖延攻击者攻击时间以及收集攻击者攻击行为的目的。5.1.1端口重定向实现实现端口重定向,可通过系统自带的iptables命令实现,相关命令如下。iptables-tnat-IPREROUTING-ptcp--dport目的端口1-jDNAT--to蜜罐服务器IPiptables-tnat-APOSTROUTING-jMASQUERADE例如开启本地端口21、22、445端口到蜜罐服务器192.168.1.100,执行以下命令:iptables-tnat-APREROUTING-ptcp-ieth0--dport21-jDNAT--to192.168.1.100:21iptables-tnat-APREROUTING-ptcp-ieth0--dport22-jDNAT--to192.168.1.100:22iptables-tnat-APREROUTING-ptcp-ieth0--dport445-jDNAT--to192.168.1.100:445iptables-tnat-APOSTROUTING-jMASQUERADE5.1.2存储凭证伪造实现安全研究人员AdelKa推出的开源工具Honeybits可以实现存储凭证伪造的部分功能,该工具可以自动生成各种伪造信息,例如虚假的bash_history命令、RDP和VPN配置及连接文件、假的浏览器访问记录及保存密码、假的注册表项,这些信息分布在真实的业务服务器上,将对攻击者的信息收集造成极大的欺骗,尽最大可能蜜罐服务器IP地址展现给攻击者,误导攻击者将攻击目标转移至指定的服务器。Honeybits可生成的伪造凭证信息示例如下表所示:23
表5.1Honeybits伪造凭证信息示例表认证类型认证记录SSHsshpass-p"123456"ssh-p2222root@192.168.1.66FTPftpftp://backup:b123@192.168.1.66:2121rsyncrsync-avz-e"ssh-p2222"root@192.168.1.66:/var/db/backup.tar.gz/tmp/backup.tar.gzSCPscp-P2222root@192.168.1.66:/var/db/backup.tar.gz/tmp/backup.tar.gzMySQLmysql-h192.168.1.66-P3306-udbadmin-p12345-e"showdatabases"wgetwgethttp://192.168.1.66:8080/backup.zip通过正确配置该程序可以在指定目录生成定义好的history文件。5.1.3认证会话伪造实现Expect是一个免费的编程工具语言,用来实现自动和交互式任务进行通信,无需人的干预。通过Expect可以实现linux服务的自动化登陆,调用定时任务,自动发送认证会话凭证,实现对登陆凭证的流量伪造工作。这里以自动化Telnet登陆并执行部分命令为例,部分代码如下#!/usr/bin/expectsetip192.168.1.130//定义服务器IPsetusernameadmin//定义服务用户名setpasswordadmin//定义服务密码settimeout10//定义超时时间spawntelnet$ip//定义登陆服务器的语句expect"login:"//匹配关键字“login:”send"$usernamer"//发送用户名expect"Password:"//匹配关键字“Password:”send"$passwordr"//发送用户密码expect"$"//匹配关键字“$”send"toucht.txtr"//发送命令语句expect"$"//匹配关键字“$”send"exitr"//发送命令语句exit24
通过crontab实现脚本定期执行,例如可配置如下信息实现每天09:00至22:00之间每隔30分钟执行自动登陆SSH脚本。0,3009-22***/home/SSH_AutoLogin.sh假设攻击者在内网当中通过局域网攻击的方式进行流量嗅探,攻击者可以获取到FTP及Telnet登陆凭证及对应的服务器IP,并由很大几率将捕获到的信息转化为攻击目标,从而达到引导攻击者攻击蜜罐服务器的目的。例如图5-1所示,在局域网中通过Cain进行嗅探操作,成功捕获到测试脚本发出的认证会话凭证。图5.1抓包捕获伪造会话凭证5.1.4容器化部署实现Docker是一个开源的应用容器引擎,通过Docker可以将应用以及依赖包打包到一个可移植的容器中,然后发布到任何Linux机器上,实现虚拟化部署。利25
用Docker这一特性,可以将要实现的端口转发功能封装到一个容器中,并制作Docker镜像的描述文件Dockerfile,基于该文件可以快速开展蜜罐代理服务器大规模部署操作。本文选择alpinelinux作为基础镜像,Dockerfile文件如下:FROMalpine:edgeRUNapkadd-Uiptables&&rm-rf/var/cache/apk/*RUNchmod4755/sbin/xtables-multiADDrun.sh/run.shENTRYPOINT["/run.sh"]USERnobodyrun.sh文件如下:#!/bin/shiptables-tnat-APREROUTING-ptcp-ieth0--dport21-jDNAT--to192.168.1.100:21iptables-tnat-APREROUTING-ptcp-ieth0--dport22-jDNAT--to192.168.1.100:22iptables-tnat-APREROUTING-ptcp-ieth0--dport445-jDNAT--to192.168.1.100:445iptables-tnat-APREROUTING-ptcp-ieth0--dport3306-jDNAT--to192.168.1.100:3306iptables-tnat-APOSTROUTING-jMASQUERADE5.2蜜罐服务组合实现本节重点探讨威胁响应部分的关键技术,分别介绍在内网威胁感知系统中调用的低交互蜜罐、中交互蜜罐、Web蜜罐和Windows蜜罐。5.2.1低交互蜜罐实现低交互蜜罐允许攻击者与目标系统进行有限交互,低交互蜜罐可以捕获到攻击者前期网络探测攻击行为,同时提供多种虚假应用服务以接收外部攻击行为探测,这里以Dionaea为例,提供低交互蜜罐服务。通过Nmap端口扫描工具对Dionaea所在服务器进行端口扫描,发现Dionaea蜜罐服务器开放了21、22、23、42、53、80、135、443、445、1433、1723、3306、5060、5061端口。对应ftp、telnet、nameserver、domain、http、https、msrpc、26
https、microsoft-ds、mysql、mssql等服务。图5.2Dionaea端口开放情况Dionaea程序文件夹目录如下,包含bin、etc、lib、share、var五个主要文件夹,其中bin存放dionaea主程序;etc文件夹存放dionaea配置文件,其中dionaea.cfg为dionaea的默认配置文件,ihandlers和services文件分别为日志格式输出和蜜罐服务配置文件夹;lib文件夹包含dionaea程序调用的相关库文件;/dionaea/var/log存放dionaea的输出日志。5.2.2中交互蜜罐实现中交互蜜罐为攻击者提供了一个完整的可交互系统,在内网中作为低交互蜜罐的补充,可以进一步捕获攻击者登陆服务器之后的相关攻击行为。本文以Cowrie蜜罐为例,在内网威胁感知系统中实现中交互蜜罐功能。Cowrie具备下列几个主要的特性:(1)具备虚假的文件系统,可根据实际需求添加删除文件,例如/etc/passwd;27
(2)会话日志以UML兼容格式储存,可以通过playlog程序对攻击者行为操作进行回放;(3)支持SFTP和SCP文件上传,同时会对上传文件进行保存;(4)支持SSHexec命令;(5)记录直连tcp连接尝试,记录攻击者错误尝试及爆破字典;Cowrie重要的配置文件及目录如下表所示:表5-2Cowrie重要配置文件作用表文件名配置文件作用cowrie.cfgCowrie的配置文件。share/cowrie/fs.pickle伪装的文件系统data/userdb.txt允许或禁止访问蜜罐的身份凭证honeyfs/伪文件系统的文件内容var/log/cowrie/cowrie.jsonJSON格式的日志输出var/log/cowrie/cowrie.logCowrie自身的日志输出var/lib/cowrie/tty/*.log会话日志,可以通过bin/playlog进行重放。var/lib/cowrie/downloads/存储攻击者传输到蜜罐的文件txtcmds/伪装命令的文件内容bin/createfs用于构建伪装的文件系统;bin/playlog用于重播会话日志的应用程序5.2.3Web蜜罐实现在内网中一般存在较多的WEB服务器,同时WEB应用往往存在较多的安全问题,成为了攻击者的主要攻击对象。通过对生产业务进行镜像,生成一台与生产业务服务内容一致的服务器,让攻击者误认为WEB镜像服务器为真实生产业务,可以引导攻击者远离真实业务。本文以WebTrap为例实现Web蜜罐部分功能。将百度网站克隆并保存到本地:pythonWebCloner.py-o/home/fantasy/WebTrap/baidu/https://www.baidu.com/运行上文保存的百度镜像站点,并输出日志到log文件。sudopythonTrapServer.py-dbaidu/-l/home/fantasy/WebTrap/log/Web.log,具体效果如图5-3所示:28
图5.3WEB蜜罐效果在企业内网中,可通过对OA办公自动化、企业论坛、企业邮箱进行网页镜像,在攻击者对内网进行服务探测的时候,作为WEB蜜罐服务器对攻击者进行诱骗,捕获攻击者对WEB系统展开的相关探测攻击。5.2.4Windows蜜罐实现在企业内网中往往存在较多的蠕虫病毒,此类病毒往往会利用Windows漏洞进行自动化传播感染,例如在2017年大规模爆发的Wannacry勒索蠕虫病毒,具有较强的感染能力,同时通过勒索加密的方式极具破坏性,极大得影响到了正常的生产业务开展,而该病毒在历经一年后依然存在有较多的变种病毒。为有效捕获此类攻击及相关蠕虫样本,需单独建立Windows蜜罐。通过该蜜罐识别攻击特征,收集记录攻击样本,分析其攻击行为及文件特征,并将分析结果用于后期的全网病毒查杀。(一)攻击特征识别Windows蜜罐首先应具备入侵行为识别的能力,需部署开源入侵检测或者相关安全软件,以开源Suricata入侵检测工具为例,在开启服务对操作系统进行安全监测后,通过Metasploit漏洞利用框架向Windows蜜罐机器发起EternalBlue漏洞利用代码攻击,成功获得Windows蜜罐的操作权限,同时在Suricata安全日志记录中,可以捕捉到关键字“ETEXPLOITETERNALBLUEExploitM2MS17-010”,并记录源地址为192.168.126.142,攻击时间为2018-09-0321:14:39。29
图5.4Windows蜜罐攻击识别(二)文件监控为保证能及时有效定位病毒上传的恶意文件,可通过ProcessMonitor工具对文件系统进行监控,过滤CreateFile动作,定位恶意脚本生成的文件。图5.5文件修改监控(三)访问控制限制为防止蜜罐受蠕虫病毒感染后向外界传播,需通过配置防火墙的方式阻止蜜罐主动向外连接网络。配置成功后,该蜜罐机器将不能主动向外界发起网络连接请求,同时为保证蜜罐可以接受外界连接请求,需单独建立一条全部允许的入站策略。30
(四)系统还原机制为防止勒索软件对磁盘进行加密导致蜜罐机器服务不可用,应建立系统还原机制,在系统被破坏后可以快速进行系统恢复,可以通过虚拟机快照以及直接安装系统还原软件实现该机制。以影子系统为例,通过该程序可以创建影子模式下的虚拟化电脑环境[23],在该模式下,所有的用户操作及硬盘写入均不会被保存下来。在影子系统的影子模式下手动运行Wannacry病毒样本,勒索病毒在发作后迅速对本机器所有程序进行了加密,并弹出勒索对话框。图5.6Wannacry病毒发作效果对蜜罐服务器进行系统重启后,系统可以被迅速恢复,完全不受勒索病毒感染影响,避免因感染勒索加密导致蜜罐系统损坏,同时可保留感染过程中的病毒样本,方便后期对病毒样本进行行为分析。图5.7Windows蜜罐快速恢复效果31
5.3安全日志传输处理实现本节重点探讨威胁分析部分相关的技术和具体的实现方式。具体介绍了蜜罐输出日志的内容、类型及格式,基于ELKStack技术搭建蜜罐日志收集平台,通过Filebeat进行日志收集与传输工作,并通过Kibana实现威胁可视化。5.3.1日志类型与格式在内网威胁感知系统中收集的日志包含:蜜罐日志、入侵检测系统日志、网络流量日志和系统日志。其中蜜罐日志包含低交互蜜罐和中交互蜜罐日志。低交互蜜罐主要收集网络流量探测信息,获取攻击者对特定业务的探测行为,根据蜜罐获取到的信息分析攻击者开展攻击的时间及来源请求,并判断攻击者的攻击方向及攻击方式,并记录攻击者在攻击过程中使用到的密码爆破字典等信息。中交互蜜罐日志更多关注攻击者在获得系统命令执行权限之后的相关操作,包括攻击者执行的相关命令,上传的恶意程序和利用工具,可最大限度还原攻击者是所有行为操作。以Dionaea蜜罐作为低交互蜜罐为例,Dionaea日志内容如表5-3所示:表5.3蜜罐Dionaea日志内容格式列表字段名称字段内容src_ip来源IP地址信息src_port来源网络端口信息timestamp事件时间戳src_hostname来源主机名信息dst_ip目标IP地址信息transport传输方式:TCP/UDPtype蜜罐网络动作:accept/rejectprotocol协议类型:mysqld/pcap/Blackhole/FTP/HTTP/SMB/PPTP等dst_port目标网络端口信息username提交的用户名信息password提交的密码信息32
以Cowrie作为中交互蜜罐为例,Cowrie日志内容如表5-4所示:表5.4蜜罐Cowrie日志内容格式列表字段名称字段内容eventid日志事件类型cowrie.session.connect//会话连接cowrie.client.version//SSH客户端版本cowrie.login.failed//会话连接失败(暴力破解事件)cowrie.login.success//SSH登陆成功cowrie.session.params//SSH模拟会话信息cowrie.command.input//终端命令输入(攻击者操作记录)cowrie.log.closed//日志关闭cowrie.session.closed//会话关闭src_ip来源网络IP信息src_port来源网络端口信息message事件详情,如“loginattempt[root/root]failed”session会话编号信息dst_ip目标IP地址信息dst_port目标网络端口信息protocol协议类型sensor蜜罐信息SSHversion远程连接SSH客户端版本信息username尝试登陆蜜罐的SSH用户名password尝试登陆蜜罐的SSH密码CMD登陆蜜罐后的命令输入记录为便于统一收集管理,蜜罐日志输出格式统一为JSON格式,JSON全称为JavaScriptObjectNotation),是一种轻量级的数据交换格式。它基于ECMAScript(欧洲计算机协会制定的js规范)的一个子集,采用完全独立于编程语言的文本格式来存储和表示数据。JSON具有简洁清晰的层次结构,是理想的数据交换语言,易于阅读和编写,同时也易于机器进行生成和对内容进行解析,可有效提升网络传输效率。Dionaea开启JSON格式日志输出,需在程序目录下/etc/Dionaea/ihandlers-enabled下建立文件log_json.yaml,该文件内容如下:33
-name:log_jsonconfig:#UncommentnextlinetoflattenobjectliststoworkwithELKflat_data:truehandlers:#-http://127.0.0.1:8080/#-file://var/lib/dionaea/dionaea.json-file:////opt/dionaea/var/log/dionaea/dionaCowrie开启JSON格式日志输出,需修改配置文件/cowrie/etc/cowrie.cfg#JSONbasedloggingmodule#[output_jsonlog]enabled=truelogfile=${honeypot:log_path}/cowrie.json5.3.2日志传输收集(一)Logstash配置由于涉及蜜罐日志的网络传输,需要对Logstash进行有效配置,以保证logstash可以正常接受蜜罐服务器发送过来的告警日志,然后对json日志进行筛选过来,最后正确输出到Elasticsearch指定的索引当中。图5.8Logstash作用在Logstash配置目录下建立单独的配置文件,对指定蜜罐服务的日志对接,例如在/etc/logstash/conf.d下分别建立logstash-cowrie.conf、logstash-dionaea.conf和logstash-suricata.conf,对应Cowrie、Dionaea以及Suricata的日志接收配置。logstash-cowrie.conf配置接收cowrie蜜罐的日志信息,该文件关键信息如下:在input区段中定义logstash输入方式。34
input{beats{port=>5044//定义5044端口接受beats发起的请求}}在filter区段中定义logstash过滤动作。filter{if[type]=="cowrie"{//判定来自cowrie执行下列过滤操作json{source=>message//定义message为source}date{match=>["timestamp","ISO8601"]//匹配timestamp为日期字段}}在output区段中定义logstash输出动作。output{if[type]=="cowrie"{//判断类型为“cowrie”执行下列输出操作elasticsearch{hosts=>"127.0.0.1"//输出到127.0.0.1的elasticsearch服务器index=>"logstash-cowrie-%{+YYYY.MM.dd}"//定义索引格式}}}logstash-dionaea.conf配置接受蜜罐dionaea日志信息,该文件关键信息如下:在input区段中定义logstash输入方式。input{beats{port=>5045//指定接受Filebeat传输的端口}}35
在filter区段中定义logstash对dioneaa日志过滤动作。filter{if[type]=="dionaea"{//判断类型为dionaea执行以下过滤json{source=>message//指定message字段信息为源}date{match=>["timestamp","ISO8601"]//匹配时间戳}}}在output区段中定义logstash输出动作。output{if[type]=="dionaea"{//判定类型为dionaea执行以下输出操作elasticsearch{hosts=>"127.0.0.1"//输出到地址为127.0.0.1的elasticsearchindex=>"logstash-dionaea-%{+YYYY.MM.dd}"//指定输出索引格式template=>"/etc/logstash/elasticsearch5-template.json"//指定模板}}}(三)FileBeat配置在蜜罐服务器上,安装Filbeat,修改配置文件filebeat.yml,关键内容如下:filebeat:prospectors:paths:-/opt/dionaea/var/log/dionaea/dionaea.json*//定义蜜罐日志文件路径document_type:Dionaea//定义该传输信息typeoutput:logstash:hosts:["192.168.126.170:5045"]//定义logstash服务器IP及端口36
通过正确配置日志文件的发送与接受之后,可以在elasticsearch中看到对应的蜜罐日志信息,如图5-10所示:图5.9Discover界面5.3.3威胁可视化Kibana是一个开源的分析和可视化平台,Kibana提供搜索、查看和与存储在Elasticsearch索引中的数据进行交互的功能。通过Kibana可以对蜜罐日志执行高级数据分析,并在各种图表、表格和地图中可视化数据。图5.10蜜罐Dashboard界面37
5.4本章小结本章首先探讨了伪装诱骗技术的实现方式,包括端口重定向的实现、存储凭证伪造的实现、认证会话伪造的实现以及容器化部署的实现。通过伪装引诱欺骗技术,可以有效提升蜜罐的数据收集覆盖面,充分利用攻击者的信息收集习惯,引导攻击者访问蜜罐,进而提高了蜜罐命中率。其次重点探讨威胁响应部分的关键技术实现方式,通过多种蜜罐技术响应威胁行为,迷惑攻击者对蜜罐服务进行更多的尝试攻击,充分得收集攻击者相关信息,同时达到拖延攻击者的目的,为安全运维人员应急处理争取时间。最后探讨了威胁分析部分相关的技术和具体的实现方式。具体介绍了蜜罐输出日志的内容、类型及格式,基于ELKStack技术搭建蜜罐日志收集平台,通过Filebeat进行日志收集与传输工作,利用Logstash对日志内容格式进行筛选设定,并通过Kibana实现威胁可视化。38
6威胁感知模拟测试为论证威胁感知系统可以有效吸引攻击者,并捕获到异常攻击行为事件,本章对威胁感知系统进行模拟测试,首先比照实际业务场景搭建模拟测试环境,然后通过重现攻击行为来判断威胁感知系统实际应用效果。6.1测试环境6.1.1网络拓扑本次测试属于模拟测试,为尽可能的还原生产环境,在这个测试环境中共分了三个网络区域:DMZ区、运维管理区和办公区,整体部署如下图所示:该环境中存在两名攻击者,攻击人员A通过互联网利用WEB漏洞已获取到DMZ区域一台WEB服务器操作权限,尝试进行内网渗透;攻击人员B潜伏与内网办公区域,尝试攻击其他内网办公电脑。图6.1模拟测试环境39
6.1.2DMZ区域部署在DMZ区域,一共部署有五台服务器:表6.1DMZ测试服务器列表服务器名称IP应用备注WEB服务器1192.168.126.210对外提供WEB应用虚拟机搭建WEB服务器2192.168.126.220对内提供WEB应用虚拟机搭建蜜罐代理服务器1192.168.126.201Linux蜜罐代理Docker搭建蜜罐代理服务器2192.168.126.212Windows蜜罐代理Docker搭建蜜罐代理服务器3192.168.126.223重放登陆凭证Docker搭建(一)WEB服务器配置首先在WEB服务器1和WEB服务器2放置honeybits,会在.bash_history文件中添加连接到蜜罐代理服务器1(192.168.126.201)和到蜜罐服务器(192.168.126.169)记录,Honeybits在配置如下:ssh:enabled:trueserver:192.168.126.201port:22user:rootsshpass:falsepass:123456ftp:enabled:trueserver:192.168.126.201#Defaultis"honeypot.addr"port:21user:backuppass:b12340
在WEB网站目录放置数据库连接文件conn.php对WEB服务器2的22运维管理端口修改为65522,并转发22端口到蜜罐服务器。#iptables-tnat-APREROUTING-ptcp-iens33--dport22-jDNAT--to192.168.126.168:22#iptables-tnat-APOSTROUTING-jMASQUERADE(二)、蜜罐代理服务器配置通过docker分别搭建三台蜜罐代理服务器,分别是蜜罐代理服务器1、蜜罐代理服务器2、蜜罐代理服务器3,搭建命令如下:sudodockerrun-itd--cap-add=NET_ADMIN--namehoney1--networkbr0--ip192.168.126.201ubuntu:16.04/bin/bashsudodockerrun-itd--cap-add=NET_ADMIN--namehoney2--networkbr0--ip192.168.126.212ubuntu:16.04/bin/bashsudodockerrun-itd--cap-add=NET_ADMIN--namehoney3--networkbr0--ip192.168.126.223ubuntu:16.04/bin/bash蜜罐代理服务器1配置上配置Linux服务端口做iptables口转发41
图6.2蜜罐代理服务器1端口转发iptables-tnat-APREROUTING-ptcp-ieth0--dport21-jDNAT--to192.168.126.169:21iptables-tnat-APREROUTING-ptcp-ieth0--dport22-jDNAT--to192.168.126.168:22iptables-tnat-APREROUTING-ptcp-ieth0--dport23-jDNAT--to192.168.126.169:23iptables-tnat-APREROUTING-ptcp-ieth0--dport80-jDNAT--to192.168.126.220:80iptables-tnat-APREROUTING-ptcp-ieth0--dport3306-jDNAT--to192.168.126.169:3306iptables-tnat-APOSTROUTING-jMASQUERADE蜜罐代理服务器2配置Windows服务端口做iptables转发图6.3蜜罐代理服务器2端口转发42
iptables-tnat-APREROUTING-ptcp-ieth0--dport1433-jDNAT--to192.168.126.169:1433iptables-tnat-APREROUTING-ptcp-ieth0--dport135-jDNAT--to192.168.126.171:135iptables-tnat-APREROUTING-ptcp-ieth0--dport445-jDNAT--to192.168.126.171:445iptables-tnat-APREROUTING-ptcp-ieth0--dport3306-jDNAT--to192.168.126.169:3306iptables-tnat-APREROUTING-ptcp-ieth0--dport3389-jDNAT--to192.168.126.171:3389iptables-tnat-APOSTROUTING-jMASQUERADE蜜罐代理服务器3运行脚本向蜜罐服务器发送登陆凭证。6.1.3运维管理区部署在运维管理区域,一共部署有五台服务器,表6.2运维管理区测试服务器列表服务器名称IP应用备注Cowrie蜜罐192.168.126.168中交互蜜罐虚拟机搭建Dionaea蜜罐192.168.126.169低交互蜜罐虚拟机搭建Windows蜜罐192.168.126.171Windows7SP1虚拟机搭建Suricata192.168.126.170入侵检测系统虚拟机搭建ELK192.168.126.170日志收集平台虚拟机搭建其中Cowrie蜜罐开放22端口,作为中交互蜜罐收集SSH爆破口令、被入侵后的命令以及被上传的恶意文件。Dionaea蜜罐开放如下端口:21(FTP)、22(SSH)、23(Telnet)、42(nameserver)、53(domain)、80(http)、135(msrpc)、443(https)、445(microsoft-ds)、1433(ms-sql-s)、1723(pptp)、3306(mysql)、5060(sip)、5061(sip-tls)Windows蜜罐未打任何补丁,部署监测软件,设定防火墙,设定系统还原。ELK和Suricata部署在一台服务器,接收存放蜜罐服务器通过Filebeat发送的日志文件,并通过Kibana进行可视化展现。43
6.1.4办公区域部署在办公区域,一共部署有三台机器,两台Windows作为办公电脑和一台KaliLinux作为攻击机器。表6-3办公区测试终端列表终端名称IP应用备注办公电脑A192.168.126.136WindowsXP虚拟机搭建办公电脑B192.168.126.137Windows7虚拟机搭建攻击机192.168.126.135KaliLinux虚拟机搭建两台办公电脑机器均通过命令开启端口转发到蜜罐服务器192.168.126.171C:>netshinterfaceportproxyaddv4tov4listenaddress=192.168.126.136listenport=135connectaddress=192.168.126.171connectport=135C:>netshinterfaceportproxyaddv4tov4listenaddress=192.168.126.136listenport=139connectaddress=192.168.126.171connectport=139C:>netshinterfaceportproxyaddv4tov4listenaddress=192.168.126.136listenport=445connectaddress=192.168.126.171connectport=445C:>netshinterfaceportproxyaddv4tov4listenaddress=192.168.126.136listenport=3389connectaddress=192.168.126.171connectport=33896.2测试过程6.2.1信息收集阶段攻击者A首先对服务器本地展开信息收集工作,查看网站根目录发现存在数据库配置文件conn.php,获得数据库地址192.168.126.201,用户名为root,密码为root。然后到用户根目录发现存在.bash_history文件,该文件记录有apache用户的命令历史记录,如下图所示:根据该文件获得192.168.126.201、192.168.126.169、192.168.126.220以及192.168.100.10的历史访问记录。攻击者A确定攻击目标为192.168.126.168、192.168.126.201以及192.168.126.220。44
6.2.2端口扫描阶段攻击者A尝试对192.168.126.168进行端口扫描,如图6-4所示。图6.4攻击者端口扫描情况运维人员通过Kibana发现该攻击操作,并定位IP为192.168.126.210。图6.5日志平台端口扫描记录45
6.2.3口令爆破阶段攻击者对192.168.126.201进行口令爆破操作,命令如下:hydra-Luser.txt-Ppass.txtssh://192.168.126.201图6.6攻击者口令暴力破解操作运维人员在kibana上可以看到该攻击,并定位攻击来源IP,并通过tag云表示攻击者尝试的用户名及密码,如图6-7所示。图6.7日志平台记录口令爆破事件6.2.4非法登陆阶段攻击者根据信息收集获得的口令尝试登陆服务器192.168.126.220,顺利登陆服务器并执行部分命令操作,通过SCP上传后门文件。46
图6.8攻击者非法登陆操作情况运维人员在Cowrie发现该攻击操作,并通过回放工具playlog回放攻击人员命令敲击过程,如图6-9所示。图6.9蜜罐日志还原攻击者相关操作在路径/cowrie/var/lib/cowrie/download发现攻击者上传的文件。图6.10蜜罐日志对攻击者上传文件备份47
6.2.5漏洞利用阶段攻击人员B位于办公内网,尝试通过Metasploit漏洞利用框架,向办公电脑1(192.168.126.136)发起攻击,攻击人员B通过服务信息判定该电脑为Windows7操作系统,然后利用MS-17-010的Exploit发送EternalBlue利用代码,最终利用成功,获得系统权限。此攻击并未对办公电脑1造成实际影响,所有攻击流量被转移到了Windows蜜罐服务器(192.168.126.171)。图6.11攻击者通过MSF攻击办公电脑在Windows蜜罐上安装的安全防护软件可以看到攻击告警,并识别攻击方式为EternalBlue。同时通过网络入侵检测系统Suricata也识别到了该攻击行为,在如图6-12所示。图6.12蜜罐安全防护工具发现攻击行为48
图6.13IDS识别永恒之蓝告警并通过ELK日志服务器,发现该办公电脑在对应时间点存在异常端口访问记录,日志包含可疑目标的IP地址信息,源端口信息以及mac地址等网络信息,如图6-14所示。图6.14日志平台记录访问源地址6.3测试结论经过攻击模拟验证,蜜罐代理服务可以有效地将攻击者针对特定端口开展的攻击行为转移至蜜罐服务器,蜜罐代理服务与蜜罐服务器结合使用,可以实现蜜罐服务器的主要功能,可以发现内网中异常攻击行为,收集病毒样本,并进行日志记录。在实际应用中,蜜罐代理服务可以利用现有的生产服务器资源或者办公电脑资源,运维人员仅维护运维管理区数台蜜罐服务器及日志服务器即可感知内网威胁,通过此方式部署,可以大大减轻蜜罐服务器在内网中部署的硬件成本及运维管理成本。49
6.4本章小结本章比照实际生产网络搭建模拟测试环境,根据攻击者攻击思维,通过还原攻击操作进行模拟测试。测试证明,如果攻击者对测试环境服务器区域进行渗透攻击,由于在该区域部署有蜜罐代理服务,攻击者的部分攻击行为可以有效重定向到蜜罐服务器上,进而触发威胁感知系统日志告警。通过该系统的部署,有效扩展了传统蜜罐的信息收集覆盖面。50
7总结与展望7.1全文总结本文基于企业内网安全现状,针对企业内网中现有安全防护手段存在的疏漏与不足,提出内网威胁感知技术的应用,通过基于蜜罐为主的主动防御技术,在提升蜜罐数据收集面、降低蜜罐自身风险和消除蜜罐指纹方面取得了一定的研究成果。(1)通过分析内网安全现状及短板,提出了内网威胁感知系统框架的设计,并对该系统的目标、特性及架构进行了探讨。(2)研究并实现了多种伪装引诱欺骗技术,以蜜罐代理服务为基础,延伸端口信息伪装、存储凭证伪造和认证会话伪造等多种伪装引诱欺骗技术,大幅度降低蜜罐的部署成本,并拓宽蜜罐的信息收集面,提高蜜罐捕获攻击的可能性,同时降低蜜罐的自身风险。(3)通过对低交互蜜罐、中交互蜜罐、Web蜜罐和Windows蜜罐进行充分整合,全方位覆盖信息系统业务类型,适应不同的业务内网和基础环境,提高了蜜罐的真实性。(4)通过ELKstack技术将多种蜜罐日志进行统一收集处理,并根据安全运维需要对威胁要素进行可视化处理,有效地提升了安全事件分析的效率,具有较好的实用价值。本文的主要创新点如下:研究并设计了基于网络欺骗技术的内网威胁感知系统的体系结构;实现了基于端口转发技术的蜜罐代理服务器;实现了认证会话伪造技术;实现了能够安全捕获Wannacry勒索蠕虫病毒的Windows蜜罐;通过综合模拟测试,验证内网威胁感知系统可以有效发现攻击事件,并对安全事件进行实时展示。51
7.2展望内网威胁感知系统是一个新兴的网络安全解决方案,在实际应用中还存在有较多的不足。在本文工作的基础之上,下一步可以在以下方面开展进一步的研究工作:(1)攻击行为追溯,目前蜜罐日志的可读性较差,对于运维人员的日志分析能力要求较高。下一步可考虑在系统中引入关联分析,根据攻击IP和攻击时间形成攻击路线轨迹。(2)攻击响应告警,目前在日志短信通知及邮件通知上存在欠缺,后期可考虑加入实时告警通知,通过定义告警规则和告警策略,实现安全事件预警。(3)集成封装,目前搭建整套系统需要进行大量人工配置操作,后期可利用虚拟化技术及容器技术对整套系统进行封装,优化本地配置,实现开箱即用。相信基于蜜罐的内网威胁感知技术将逐步完善,并在实际生产应用中产生更大的价值。52
参考文献[1].《国务院关于积极推进“互联网”行动的指导意见》全文[EB/OL]http://politics.people.com.cn/n/2015/0705/c1001-27[2].火绒安全,Wannacry一周年回顾专题(2018-05-14)[EB/OL]https://www.huorong.cn/info/1526275723128.html[3].诸葛建伟,唐勇,韩心慧等.蜜罐技术研究与应用进展[J].软件学报,2013,24(04):825-842.[4].许显月.关于蜜罐的两种机制研究和设计[D].哈尔滨理工大学,2009.[5].FREDCOHEN.ANoteontheRoleofDeceptioninInformationProtection[J].ComputersandSecurity,1999,(17):483-506[6].FREDCOHEN.AMathematiealStructureofSimpleDefensiveNetworkDeceptions[J].ComputersandSecurity,2000,(19):520-528.[7].TheHoneynetProject,KnowYourEnemy:LearningaboutSecurityThreats.2nded.,Boston:Addison-WesleyProfessional,2004.[8].SpitznerL.Honeypotfarms.2012.http://www.symantec.com/connect/articles/honeypot-farms[9].诸葛建伟.蜜罐与蜜罐系统技术简介,北大狩猎女神项目组技术报告[R],2004.[10].贺文娟.蜜罐技术分析与蜜网设计[D].安徽大学,2011.[11].贾召鹏,方滨兴,刘潮歌deng.网络欺骗技术综述[J].通信学报,2017,38(12):128-143.[12].谢幺.网络欺骗,教你如何把来犯的黑客玩弄于股掌之间[EB/OL].https://www.leiphone.com/news/201701/9uAFAPDUryW8N26w.html[13].StevenMBellovin,WilliamRCheswick.NetworkFirewalls[J].IEEECommunications,1994;9:50~57[14].李伦,尹兰.一种改进的应用网关防火墙系统[J].计算机工程与应用,2003(05):185-186.[15].张超,霍红卫,钱秀槟等.入侵检测系统概述[J].计算机工程与应用,2004(03):116-119.[16].刘喆,刘博.Web应用防火墙原理与安全性初探[J].保密科学技术,2013(02):14-18.[17].安全预警:Xshell5官方版本被植入后门,更新即中招(国内已有用户受影响)[EB/OL]http://www.4hou.com/info/news/7244.html[18].孙知信,杨加园,施良辉等.基于蜜罐的主动网络安全系统的研究与实现[J].电子与信息学报,2005(03):351-354.[19].陈武平.APT攻击的再认识与重要目标体系防护[J].中国信息安全,2016(09):73-75.[20].刘宝旭,曹爱娟,许榕生.陷阱网络技术综述[J].网络安全技术与应用,2003(01):65-69.[21].代恒,诸葛建伟.诱捕恶意攻击“简易装”——Dionaea低交互式蜜罐介绍[J].中国教育网络,2011(11):76-79.[22].姚攀,马玉鹏,徐春香.基于ELK的日志分析系统研究及应用[J].计算机工程与设计,2018,39(07):2090-2095.[23].李宝春.如何利用虚拟技术来保证个人计算机的安全[J].计算机产品与流通,2017(07):19.53
致谢本次论文从开题到形成论文历经一年时间,在准备论文的过程中,虽然遇到了很多困难,但是通过老师的指点以及个人的努力,不仅克服了困难,还在不同的计算机领域学到了很多新的知识,并将知识转化为实践,最终形成了此篇论文。于此同时,进一步加深了对网络安全的认识和理解,由此,我倍感珍惜。在郑大的这段学习经历很快就要结束,但求知的道路不会停滞!在我即将完成研究生学业之时,我首先向我的导师刘炜老师表示最衷心的感谢,刘老师在科研上博学精深,工作作风开放务实,治学态度严谨负责,在刘老师影响下,我养成了良好的学习和科研习惯。这篇论文的完成,离不开刘老师的悉心教导,刘老师对我研究内容的建议和意见给了我很大启发。同时,也要向三年来教导过我的老师们和同学们表示衷心的感谢和祝福!其次感谢我的家人,是他们在背后默默的支持和关心,使我能顺利完成学业。我要对他们致以深深的谢意和崇高的敬意!最后,对百忙之中抽出时间和精力审阅本文的诸位专家、教授和学者表示衷心的感谢。54
个人简历、在学期间发表的学术论文与研究成果个人情况:秦玉杰,男,出生于1990年5月10日,河南郑州人。教育背景:2009年9月至2013年6月,就读于郑州大学计算机科学与技术专业,获工学学士学位。2016年4月至今,于郑州大学省网中心攻读计算机技术工程硕士学位。发表论文:秦玉杰,一种基于分布式蜜罐技术的勒索蠕虫病毒监测方法[J].,信息技术与网络安全,2018.0955
微信/支付宝扫码支付下载