观安信息魅影威胁监测系统是基于欺骗防御技术的主动防御系统,通过设计好陷阱并引诱攻击者上钩,从而精确的感知攻击者行为,收集和捕获攻击行为,方便管理员做出及时的安全响应。主要用于保护企业中容易被黑客攻击的业务系统,比如用户数据、项目数据等敏感信息的业务环境。第一时间感知到威胁事件的发生,掌握安全事件的主动权,并能迅速进行应急响应,控制和降低企业安全风险。本文将介绍某运营商客户利用魅影应对攻防演习的一次经历。
部署方式
部署前与客户经过讨论,决定在内网区域与DMZ区域各部署若干节点,DMZ区域部分节点会映射到外网。为提高蜜罐仿真程度,上述两区域的节点仿真策略也分为两部分,内网区域的节点主要暴露windows类服务及其端口,DMZ区域主要映射HTTP服务及其端口,由此攻击者将难以区分真实资产与蜜罐资产。诱捕节点映射的外网IP是客户业务IP段中的一个,相对容易带给攻击者一种假象:“该IP地址是我通过信息收集工作收集到的,它是客户真实资产”,由此攻击者更容易进入到我们预置的陷阱中。
主要成效
日前,在该运营商客户部署的魅影已初见成效,魅影诱捕节点部署位置位于该运营商DMZ区域与内网区域,经发现其威胁告警主要存在于DMZ区域,主要的攻击方式为POST提交,达到800+次,对应IP 10+,通过日志判断主要为手工渗透,并使用漏洞利用工具进行攻击。同时发现相关威胁源IP 10+,其中struts2漏洞利用20+次,webshell上传10+次,通过对相应IP攻击源画像的判断分析,该IP攻击链为:信息收集àC段存活主机扫描à端口探测àWEB访问àstruts2漏洞利用。
攻击流程图
发现告警后防守方通过及时封堵相应IP进行了处理,阻断了该恶意IP的后续渗透。
溯源信息
此外,我方针对一个源IP获取到攻击者的百度账号信息,通过该账号可以在网络中找到蛛丝马迹,最终定位到其所就读的学校。
根据百度用户名搜索
总结
近年来,企业的安全攻防演练越来越常态化,每个防守方都想掌握演练主动权,在众多的安全产品中,蜜罐无疑是最适合的一种,其低侵入式部署以及低误报率都能有效提高防守方工作效率,而蜜罐优异的仿真能力能吸引潜在的攻击者主动”暴露”,同时部署的溯源蜜罐更能对攻击者形成威慑,帮助防守方掌握主动权。在可预见的未来,蜜罐一定会成为攻防对抗中一个绕不开的角色。
来源:freebuf.com 2020-07-31 15:50:58 by: 观安信息
请登录后发表评论
注册