蜜罐-誘捕與防禦

何斯慕 William Ho

  • 精誠資訊/恆逸教育訓練中心-資深講師
  • 技術分類:資訊安全

 

 

蜜罐是一種安全系統防護工具,目的在吸引和誘捕那些企圖未經授權或非法利用主機系統以滲透組織網路的人。蜜罐是獨一無二的;蜜罐不解決特定問題。相反,蜜罐是具有許多不同安全應用程序的高度靈活的工具。蜜罐有助於防止攻擊、檢測攻擊以及資訊收集和研究。蜜罐可以記錄服務端口嘗試存取或監控攻擊者的活動,以便它可以在攻擊者濫用或破壞系統之前快速響應此類漏洞利用。蜜罐沒有任何授權活動,沒有任何生產價值,任何流量都可能是探測、攻擊或入侵,這些可能是攻擊的早期警報。

蜜罐根據其設計標準分為以下類型:

  • 低交互蜜罐:低交互蜜罐僅模擬目標系統或網路中有限數量的服務和應用程序。如果攻擊者做了一些沒有預料到的活動,蜜罐就會簡單地產生一個錯誤。它們捕獲的訊息量有限,主要是網路封包交易資料和一些有限的交互回應,例如用於觀察對 TCP 和 UDP 服務的攻擊。
  • 中等交互蜜罐:中等交互蜜罐是模擬真實的作業系統以及目標網路的應用程序和服務。與低交互蜜罐相比,它們對作業系統的思維與互動更加敏銳,因此,可以記錄和分析更複雜的攻擊,這些蜜罐比低交互蜜罐捕獲更多有用的數據資料,因此,入侵的風險也相對的增加。中等交互蜜罐的主要缺點是攻擊者可以快速發現系統行為異常,例如通過授予對 SSH shell 的訪問權限,模擬許多 shell 命令來欺騙攻擊者。
  • 高交互蜜罐:與中低交互蜜罐不同,高交互蜜罐不模擬任何程序;高交互蜜罐具有真實作業系統和應用程序,這些蜜罐在生產系統上運行實際易受攻擊的服務或軟體。攻擊者可以完全破壞入侵在受控區域內獲得對系統的完全訪問權限。相對高交互蜜罐捕獲有關攻擊向量的完整訊息,例如攻擊技術、工具和意圖。高交互蜜罐既不是在用戶端安裝的產品,也不是軟體的解決方案。相反,高交互蜜罐是一種架構思維,目的是可以建置一個高度受控的網路,其中包含交互運作與真實應用程序的真實電腦系統,交互中所有活動都受到監控和記錄,讓攻擊者沒有意識到他們正處於蜜網中。例如攻擊者不知情的情況下,從加密的SSH到電子郵件和文件上傳,都是通過系統內建的功能模組插入捕捉攻擊者所有活動和動作。同時使用蜜牆閘道器裝置控管密網中真實系統與攻擊端進出的流量,一方面這使攻擊者可以靈活地與密網系統進行交互,但可以防止攻擊者損害其他非蜜網的主機系統。
  • 純蜜罐:純蜜罐模擬目標組織的真實生產網路。純蜜罐導致攻擊者將致力於時間和資源用於攻擊公司的關鍵生產系統。攻擊者發現漏洞並攻擊觸發警報,協助網路管與系統理員並且提供攻擊的早期警告,達到降低入侵的風險。

蜜罐根據其部署策略分為以下類型:

  • 生產蜜罐:生產蜜罐與線上生產服務器一起部署在組織的生產網路內。儘管此類蜜罐提高了組織的整體安全狀態,生產蜜罐只能有效地捕捉與攻擊者相關的訊息。生產蜜罐屬於低交互蜜罐類別,被大型組織和公司廣泛採用。由於生產蜜罐是在內部部署,它們還有助於找出組織內的內部缺陷和攻擊者。
  • 研究蜜罐:研究蜜罐是主要由研究機構、政府或軍事組織部署的高交互蜜罐,以獲取有關入侵者行為的詳細訊息。經由使用研究蜜罐,安全分析師可以獲得有關攻擊者如何執行攻擊、如何利用漏洞、以及攻擊者所使用的攻擊技術和攻擊手法。研究蜜罐的分析可以幫助組織改進對攻擊預防、檢測和安全機制,並開發更安全的網路基礎設施。

蜜罐根據其欺騙技術分為以下類型:

  • 惡意軟件蜜罐:惡意軟件蜜罐用於通過網路基礎設施獲取惡意軟件的活動與惡意軟件的企圖。
  • 資料庫蜜罐:資料庫蜜罐使用虛假資料庫,獲取資料庫執行與資料庫相關的攻擊,例如 SQL 注入和資料庫列舉。
  • 垃圾郵件蜜罐:垃圾郵件蜜罐專門針對濫用易受攻擊的資源(如開放郵件中繼器)的垃圾郵件發送者,獲取相關垃圾郵件發送者及其活動的重要訊息。
  • 電子郵件蜜罐:電子郵件蜜罐也稱為電子郵件陷阱。主要是專門用來吸引來自攻擊者的惡意電子郵件。通過不斷監控傳入的電子郵件,系統管理員可以識別攻擊者的欺騙技術,並可以警告內部員工避免落入此類電子郵件攻擊陷阱。
  • 蜘蛛蜜罐:蜘蛛蜜罐專門設計用於捕獲網路爬蟲和蜘蛛。許多攻擊者執行網路爬蟲和爬行程序進而獲取網站應用程式中重要訊息。蜘蛛蜜罐將被模擬並呈現為合法網站,試圖對此類陷阱執行網路爬行的攻擊者將被識別並列入黑名單。
  • 蜜網:蜜網是蜜罐網路。蜜網是在確定攻擊者的整體能力方面非常有效。蜜網主要部署在一個獨立的虛擬環境中,部署一些易遭受到攻擊的服務器。對不同攻擊者用來列舉和攻擊的各種TTP將被記錄下來,可以非常有效地分析攻擊者的整體能力。

案例分析:使用 HoneyBOT 工具來檢測惡意網路流量

1. 按照安裝步驟安裝 HoneyBOT


2. 組態設定HoneyBOT預設選項


3.組態設定服務器模擬的服務端口


4. 演練攻擊端模擬未經授權的存取行動


5. HoneyBOT蜜罐記錄服務端口嘗試存取或監控攻擊者的活動,以便它可以在攻擊者濫用或破壞系統之前快速響應此類漏洞利用。



結論

蜜罐是一種安全系統防護工具,專門用於吸引和誘捕試圖滲透組織網路的攻擊者,蜜罐沒有任何授權活動,沒有任何生產價值,任何流量都可能是探測、攻擊或入侵,這些可能是攻擊的早期警報,可以幫助組織改進對攻擊預防、檢測和安全機制,並開發更安全的網路基礎設施。

相關學習資源