蜜罐的最后一公里问题 – 作者:feil

这两年蜜罐技术被使用的越来越多，主要划分为低交互、中交互、高交互等交互程度的各类蜜罐。包括基于网站克隆技术的WEB业务高交互蜜罐、基于业务模拟仿真的SSH应用蜜罐、REDIS、SQLSERVICE等等。

目前蜜罐主要还是采用守株待兔的方式进行工作，配合蜜饵投放的方式进行诱捕。公网直接暴露蜜罐的方式，也是等着攻击者扫描到端口服务之后进行诱捕。内网将黑客引入蜜罐的方案一般采用多功能蜜罐组成的蜜网进行，通过多种“树”的方式来提高“兔子”撞“树”的概率。其中技术复杂度较高的流控重定向蜜罐在这个过程中能够起到较好的效果。如何让黑客进入蜜罐成为蜜罐成功的最后一公里问题。

针对流控方式，我们从WEB蜜罐入手进行了优化。采用WAF进行流量牵引能够做到正常用户无感知，异常用户进入蜜罐无感知。

有些类似的思路的文章：https://www.freebuf.com/articles/web/121679.html

（Splunk+蜜罐+防火墙=简易WAF）

先说蜜罐牵引架构

架构。并不是所有的架构都适合进行流量牵引。这里我们推荐使用反代的方式进行牵引，从实际效果来看较为有效，接入和调整起来也比较快捷。

这种部署方式不改变原有的WAF防护方式，只是在发现异常流量是进行标识并迁移。特点是正常用户和恶意流量使用同一入口，只是在发生异常后进行恶意流量的迁移。正所谓真真假假，雌雄莫辨。说句题外话，我们推荐在WAF拦截时也使用低交互蜜罐，避免策略被快速绕过，试想一下以403状态码返回和精心设计的欺骗页面比哪个更容易骗过扫描器和攻击者不言而喻。

恶意流量识别

使用简单的WAF安全策略匹配可能导致误报较高，并且无法达到预期的效果。同时也较容易被攻击者所识别。在长期的对抗过程中我们发现一些方法，拿来分享。

我们简单列举2个常见的场景来引导黑客进入蜜罐：

1.管理系统登录位置

在渗透过程中，最常见的就是管理系统的口令爆破。利用这个特点在外网真实系统前部署WAF牵引可以起到绝佳的效果。

WAF匹配URL为https://webadmin.xxxxx.com/login.php,POST参数为User=admin&password=!QAZ@WSX(任意TOP100的弱口令，同时非真的账户口令，否则正常用户就无法登录)，则启动WAF流量迁移打入蜜罐。其他流量代理到正常服务器。

蜜罐登录页面必须SET COOKIES增加钓鱼识别Token。涉及访问上述URL及参数或访问时COOKIES包含钓鱼识别Token则可直接引入蜜罐。有了指路人(WAF)，那么接下来就是蜜罐的表演时间了。

2.备份文件及敏感目录

在公网渗透过程中另一个关键动作就是扫描备份文件及敏感目录。

预配部分敏感目录放置蜜饵，如BAK.ZIP、新建文件夹.rar 等。敏感目录或页面，放置无法加载项，提示安装插件等。一旦需要安装插件能够执行，那么能够做的事情可能更多。

但是该预配项不应直接配置在公网目录下，应在恶意IP发起扫描时仅对该IP开放蜜罐访问。并在适当的页面插入钓鱼识别Token。

结束语

这里我们只是简单列举了2个比较有效的场景。如何诱导黑客进入蜜罐的方法多种多样。但我说的这2种方法，黑客很难在前期的踩点过程中通过对比资产来发现蜜罐。（这句话懂的自然懂）

从趋势来看蜜罐的应用一定是未来的趋势。无论从蜜罐的精准告警（几乎没有误报），还是蜜罐溯源能力对攻击者的心理压力都是之前任何一款安全产品所没有的。

当然蜜罐的关键核心技术还有很多：

对黑客的溯源的能力，如：各大社交账户或门户网站的私有JsonP接口。

情报关联的能力，如：IP、设备指纹、操作习惯、爆破字典指纹、私有扫描器指纹。

运营能力，如：蜜饵种类多样性及投放方法多样性。

商业的蜜罐里默安也是非常著名，长亭科技也不错，还有各个安全厂商的蜜罐都有自己特色。从测试的效果来看国外的蜜罐在中国的网络环境下明显水土不服，溯源能力大打折扣。

最后推荐一款不错的开源蜜罐：

T-Pot 介绍链接https://www.freebuf.com/sectool/134504.html

当然有了好的产品还需要一流的运营才能使蜜罐发挥100%的能力，任何安全产品都一定要有运营。

来源：freebuf.com 2021-03-09 19:17:19 by: feil