安天產(chǎn)品巡禮（系列五）——捕風(fēng)蜜罐系統(tǒng)

時(shí)間 ：  2020年03月12日  來(lái)源：  安天

        捕風(fēng)蜜罐系統(tǒng)是安天自主研發(fā)的誘騙攻擊者的威脅捕獲和威脅情報(bào)生產(chǎn)裝置，通過(guò)創(chuàng)建服務(wù)器類型、物聯(lián)網(wǎng)類型、工控類型等仿真設(shè)備組建與用戶環(huán)境相似的蜜網(wǎng)環(huán)境，支持常規(guī)與國(guó)產(chǎn)化操作系統(tǒng)仿真包括Windows、CentOS、Ubuntu和NeoKylin等多種系統(tǒng)級(jí)高交互蜜罐，服務(wù)仿真支持web服務(wù)、數(shù)據(jù)庫(kù)服務(wù)、特定漏洞等多種環(huán)境模擬，通過(guò)暴露蜜罐存在的漏洞及服務(wù)來(lái)誘使攻擊者對(duì)其攻擊，對(duì)捕獲到的攻擊進(jìn)行進(jìn)一步的分析與展示，分析后可產(chǎn)出威脅事件、攻擊鏈等描述信息，威脅事件包括攻擊來(lái)源、攻擊方法、攻擊目標(biāo)等，攻擊鏈標(biāo)識(shí)了入侵、安裝、控制、意圖等各個(gè)階段的行為，可協(xié)助現(xiàn)場(chǎng)運(yùn)維人員清晰地發(fā)現(xiàn)威脅、定位威脅、溯源威脅。

        蜜罐技術(shù)的先行探索者L.Spizner曾對(duì)蜜罐系統(tǒng)作出一個(gè)最經(jīng)典的定義：”蜜罐是一種資源，他的價(jià)值在于被攻陷”。捕風(fēng)蜜罐系統(tǒng)就是這樣一套擁有模擬資產(chǎn)與服務(wù)等能力的安全資源，以請(qǐng)君入甕的方式，讓攻擊者原形畢露。捕風(fēng)蜜罐系統(tǒng)是一套被嚴(yán)密監(jiān)控的計(jì)算資源，希望被探測(cè)、攻擊，用于誘騙攻擊者入侵但不能被入侵者控制。在實(shí)際工作場(chǎng)景中通過(guò)IP設(shè)置使蜜罐系統(tǒng)暴露在實(shí)際工作PC機(jī)或服務(wù)器旁，讓攻擊者真假難辨。除能夠有效的拖延攻擊者，保護(hù)真實(shí)的主機(jī)外，蜜罐也是情報(bào)收集系統(tǒng)，記錄攻擊者的攻擊路線，了解攻擊者所使用的工具與方法，從而發(fā)現(xiàn)攻擊并產(chǎn)生告警。捕風(fēng)蜜罐系統(tǒng)所捕獲的威脅行為數(shù)據(jù)、文件、分析數(shù)據(jù)等均可通過(guò)標(biāo)準(zhǔn)接口提供給蜜網(wǎng)平臺(tái)進(jìn)行匯總展示、關(guān)聯(lián)分析，為后續(xù)威脅分析、取證、溯源、獵殺等工作提供必要的基礎(chǔ)。

        捕風(fēng)蜜罐系統(tǒng)可為政府、軍隊(duì)、能源、金融、交通等行業(yè)客戶提供威脅發(fā)現(xiàn)能力，支撐客戶的重大活動(dòng)安全保障、高級(jí)威脅定位和安全事件響應(yīng)。

[功能簡(jiǎn)介]

        安天捕風(fēng)蜜罐系統(tǒng)是一款部署在網(wǎng)絡(luò)環(huán)境中，用于誘騙攻擊者的積極防御型網(wǎng)絡(luò)安全產(chǎn)品，有實(shí)體設(shè)備和虛擬化部署兩種形態(tài)。可仿真多種設(shè)備及系統(tǒng)環(huán)境，包括PC和服務(wù)器系統(tǒng)、工控系統(tǒng)等。捕風(fēng)蜜罐系統(tǒng)可及時(shí)感知攻擊活動(dòng)從而進(jìn)行預(yù)防，能夠捕獲攻擊者利用的攻擊載荷并記錄攻擊的全過(guò)程，尤其適用于感知內(nèi)網(wǎng)威脅，如勒索軟件、蠕蟲、攻擊者入侵漫游等。捕風(fēng)蜜罐系統(tǒng)的主要功能包括威脅行為感知、受害主機(jī)告警、攻擊鏈還原與展示、失陷主機(jī)感知、威脅情報(bào)生產(chǎn)，具有高低交互結(jié)合、精準(zhǔn)行為預(yù)警等優(yōu)勢(shì)。捕風(fēng)蜜罐系統(tǒng)可作為態(tài)勢(shì)感知系統(tǒng)整體方案中的采集節(jié)點(diǎn)，為其采集原始及檢測(cè)后的流量、系統(tǒng)行為等數(shù)據(jù)，通過(guò)在多VLAN環(huán)境下創(chuàng)建暴露弱點(diǎn)服務(wù)的高低交互虛擬蜜罐，引誘攻擊從而得到更多的攻擊數(shù)據(jù)。態(tài)勢(shì)感知系統(tǒng)根據(jù)蜜罐捕獲的攻擊數(shù)據(jù)可與其它節(jié)點(diǎn)采集的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析還原完整的攻擊過(guò)程，從而進(jìn)行溯源，達(dá)到定位攻擊者與攻擊方法的目的。

[場(chǎng)景適配和部署方式]

⊙ 單節(jié)點(diǎn)部署

        單機(jī)版蜜罐物理設(shè)備數(shù)量只有一臺(tái)，可以虛擬的蜜罐數(shù)量有限，適合網(wǎng)絡(luò)環(huán)境較單一的部署場(chǎng)景。捕風(fēng)蜜罐系統(tǒng)通過(guò)仿真業(yè)務(wù)系統(tǒng)環(huán)境創(chuàng)建虛擬蜜罐來(lái)吸引攻擊，拖延攻擊者對(duì)真實(shí)業(yè)務(wù)系統(tǒng)的攻擊，為管理員掌握全網(wǎng)安全情況、做出安全預(yù)警、采取安全防護(hù)措施提供有力支撐。

⊙ 分布式部署

        分布式蜜罐由多臺(tái)設(shè)備組成，其中包括一臺(tái)蜜網(wǎng)平臺(tái)與多臺(tái)蜜罐節(jié)點(diǎn)主機(jī)，適合部署在網(wǎng)絡(luò)環(huán)境較復(fù)雜的場(chǎng)景中。與單機(jī)版蜜罐不同的是，蜜罐節(jié)點(diǎn)主機(jī)可隨當(dāng)前網(wǎng)絡(luò)環(huán)境變化而拓展，各個(gè)蜜罐節(jié)點(diǎn)主機(jī)將捕獲的數(shù)據(jù)上傳到蜜網(wǎng)平臺(tái)，無(wú)需逐一登錄各蜜罐節(jié)點(diǎn)界面即可查看威脅匯總，為現(xiàn)場(chǎng)運(yùn)維人員帶來(lái)較大的便利。

⊙ 虛擬化部署

        捕風(fēng)蜜罐系統(tǒng)可以軟件形態(tài)部署在云端的虛擬環(huán)境上，用于對(duì)公有云、私有云等場(chǎng)景下虛擬端點(diǎn)遭遇攻擊的情況進(jìn)行分析，感知針對(duì)云系統(tǒng)的各種掃描、探測(cè)、注入等攻擊行為，是云場(chǎng)景中有效的安全探針。

⊙ 攻擊流量牽引

        用戶可通過(guò)防火墻配置或蜜罐牽引裝置將網(wǎng)絡(luò)攻擊從真實(shí)的設(shè)備牽引至蜜罐系統(tǒng)，大部分通用防火墻入侵防護(hù)設(shè)備可配置空閑端口轉(zhuǎn)發(fā)到蜜罐系統(tǒng)；專用入侵防護(hù)設(shè)備識(shí)別攻擊流量后，可將該攻擊IP的流量轉(zhuǎn)發(fā)給蜜罐。另外，在重點(diǎn)服務(wù)器上可安裝蜜罐引流裝置，該裝置可配置出一套設(shè)備端口組合，將攻擊者真實(shí)目標(biāo)服務(wù)器過(guò)程中的流量轉(zhuǎn)發(fā)給蜜罐系統(tǒng)。

⊙ 第三方產(chǎn)品聯(lián)動(dòng)

        捕風(fēng)蜜罐系統(tǒng)所捕獲的威脅數(shù)據(jù)支持通過(guò)syslog協(xié)議輸出給第三方產(chǎn)品，供其進(jìn)行威脅聯(lián)動(dòng)，如將失陷主機(jī)的威脅情報(bào)傳輸給防火墻、IDS、IPS等設(shè)備，進(jìn)行規(guī)則添加、阻斷等操作。

[特點(diǎn)優(yōu)勢(shì)]

⊙ 高低交互蜜罐結(jié)合

        捕風(fēng)蜜罐系統(tǒng)部署方便，可依據(jù)使用場(chǎng)景靈活創(chuàng)建高低交互蜜罐，高交互蜜罐為真實(shí)Windows或Linux操作系統(tǒng)環(huán)境，可對(duì)攻擊進(jìn)行更深入的檢測(cè)與分析；低交互蜜罐可模擬多種網(wǎng)絡(luò)服務(wù)，容易維護(hù)，易捕獲到攻擊者的初級(jí)攻擊。

⊙ 精準(zhǔn)行為預(yù)警

        捕風(fēng)蜜罐系統(tǒng)采用行為感知與安天自主研發(fā)的反病毒引擎相結(jié)合的方式對(duì)威脅進(jìn)行分析研判，通過(guò)對(duì)網(wǎng)絡(luò)行為、系統(tǒng)行為的雙重檢測(cè)，來(lái)進(jìn)行精準(zhǔn)告警。如通過(guò)行為感知對(duì)爆破等網(wǎng)絡(luò)入侵行為、入侵成功后的投放木馬行為、木馬執(zhí)行后的系統(tǒng)行為等進(jìn)行精準(zhǔn)行為預(yù)警。

⊙ 失陷主機(jī)告警

        捕風(fēng)蜜罐系統(tǒng)對(duì)典型內(nèi)網(wǎng)攻擊事件的各個(gè)攻擊階段均有較強(qiáng)的感知能力，從掃描階段到入侵階段，再到控制階段和惡意目的階段，以上階段感知到的威脅事件根據(jù)具體行為可分析出失陷主機(jī)及失陷原因。捕風(fēng)蜜罐系統(tǒng)支持通過(guò)web界面及郵件通知的方式進(jìn)行告警，通過(guò)失陷主機(jī)告警功能，管理員可及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境內(nèi)的失陷主機(jī)，第一時(shí)間進(jìn)行處置。

⊙ 攻擊鏈分析

        捕風(fēng)蜜罐系統(tǒng)可進(jìn)行攻擊鏈全過(guò)程的行為檢測(cè)與深度揭示，按入侵、安裝、控制、意圖四個(gè)階段展示攻擊鏈，使用戶直觀、清晰的看到蜜罐感知的攻擊及其詳細(xì)信息，進(jìn)而對(duì)內(nèi)網(wǎng)環(huán)境做相應(yīng)的防范措施。

        入侵階段為一條攻擊鏈的初始階段，包括端口掃描、連接端口、登錄服務(wù)等行為；安裝階段為入侵后的一個(gè)階段，包括注入代碼、下載惡意樣本、程序自刪除、設(shè)置注冊(cè)表自啟動(dòng)等行為 ；控制階段為安裝的后一個(gè)階段，包括連接C&C服務(wù)器、遠(yuǎn)程攻擊命令輸入等行為；意圖為攻擊鏈的最后一個(gè)階段，包括使用某些特定家族的樣本實(shí)現(xiàn)數(shù)據(jù)竊取、DDoS攻擊、勒索等目的的行為。下圖所示為蜜罐捕獲攻擊鏈的界面截圖：

蜜罐捕獲攻擊鏈

⊙ 威脅情報(bào)生產(chǎn)

        捕風(fēng)蜜罐系統(tǒng)在感知威脅的同時(shí)，還可通過(guò)行為感知與特征檢測(cè)等方法產(chǎn)出多元的威脅情報(bào)信息，包括主機(jī)威脅情報(bào)如樣本MD5、文件名，網(wǎng)絡(luò)威脅情報(bào)如惡意IP、域名、URL、精準(zhǔn)C&C信息等。產(chǎn)出的威脅情報(bào)可用于追蹤溯源、與其它安全設(shè)備聯(lián)動(dòng)進(jìn)行防護(hù)攔截。下圖所示為樣本情報(bào)的截圖：

樣本情報(bào)

[客戶案例]

        安天捕風(fēng)蜜罐系統(tǒng)已在政府、軍隊(duì)、交通、能源等行業(yè)廣泛投入使用，典型案例包括：

⊙ 監(jiān)管態(tài)勢(shì)感知攻擊捕獲探針

        安天為省級(jí)單位提供一整套綜合威脅監(jiān)測(cè)分析管理解決方案，其中捕風(fēng)蜜罐系統(tǒng)作為整個(gè)地區(qū)的探針分布式部署到該地區(qū)的云端，通過(guò)感知針對(duì)該地區(qū)的網(wǎng)絡(luò)攻擊事件，捕獲樣本通過(guò)追影威脅分析系統(tǒng)集群化部署實(shí)現(xiàn)威脅分析和情報(bào)生產(chǎn)，構(gòu)成了前端感知、捕獲及追溯體系的數(shù)據(jù)基礎(chǔ)，并與方案內(nèi)其他環(huán)節(jié)相互配合，支撐省市級(jí)別地區(qū)網(wǎng)絡(luò)攻擊和蠕蟲惡意代碼疫情事件的情報(bào)獲取與威脅事件感知能力。

⊙ 某政府云平臺(tái)安全加固威脅感知方案

        某區(qū)電子政務(wù)外網(wǎng)作為該區(qū)政府部門的業(yè)務(wù)專網(wǎng)承載著全市所有部門的信息化系統(tǒng)，區(qū)信息化中心機(jī)房承擔(dān)著網(wǎng)絡(luò)中心、數(shù)據(jù)中心、服務(wù)器托管等平臺(tái)場(chǎng)所功能，該區(qū)政府云平臺(tái)一期統(tǒng)一規(guī)劃和配置了網(wǎng)絡(luò)安全軟硬件設(shè)備及防火墻、防病毒等信息安全軟件，但這些難以保障該區(qū)政府云平臺(tái)的安全，獨(dú)立運(yùn)維的系統(tǒng)將面臨更嚴(yán)峻的安全問題，一旦系統(tǒng)出現(xiàn)了安全問題，恢復(fù)非常困難。因此，實(shí)現(xiàn)該區(qū)政府云平臺(tái)安全加固刻不容緩。

        安天結(jié)合客戶的實(shí)際情況和現(xiàn)場(chǎng)網(wǎng)絡(luò)狀況為實(shí)現(xiàn)云平臺(tái)安全加固規(guī)劃了一套內(nèi)網(wǎng)威脅感知方案，保障整個(gè)云平臺(tái)的系統(tǒng)安全穩(wěn)定運(yùn)行，內(nèi)網(wǎng)威脅感知方案是由安天捕風(fēng)蜜罐系統(tǒng)、安天捕風(fēng)蜜網(wǎng)平臺(tái)組成的。系統(tǒng)上線后即發(fā)現(xiàn)內(nèi)網(wǎng)有大量利用永恒之藍(lán)的惡意蠕蟲傳播，第一時(shí)間幫助用戶及時(shí)定位失陷主機(jī)進(jìn)行處置，防止蠕蟲進(jìn)一步擴(kuò)散。

⊙ 某集團(tuán)護(hù)網(wǎng)防守項(xiàng)目

        某集團(tuán)為增強(qiáng)護(hù)網(wǎng)防守感知能力，需要部署安全產(chǎn)品來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。該方案是針對(duì)于某集團(tuán)的網(wǎng)絡(luò)環(huán)境而設(shè)計(jì)的，用來(lái)深入感知內(nèi)網(wǎng)威脅，依靠行為識(shí)別內(nèi)網(wǎng)或外網(wǎng)攻擊行為、攻擊手法，識(shí)別0day漏洞和攻擊手段，結(jié)合攻擊行為和木馬行為分析，精準(zhǔn)報(bào)警勒索蠕蟲、網(wǎng)絡(luò)入侵，能夠捕獲攻擊者利用的攻擊工具并記錄攻擊的全過(guò)程。

        在分公司A和分公司B部署捕風(fēng)蜜罐系統(tǒng)后，可配置告警接收郵箱，如果虛擬蜜罐受到攻擊，登錄蜜罐web頁(yè)面即可查看捕獲的具體威脅信息，便于采取相應(yīng)處置措施。

        下圖為蜜罐系統(tǒng)捕獲攻擊者利用 smb 服務(wù) cve-2017-0143漏洞進(jìn)行蠕蟲傳播、代碼執(zhí)行等的攻擊鏈操作：

蜜罐捕獲某事件攻擊鏈

        下圖為失陷主機(jī)11.1.x.x的截圖，展示了導(dǎo)致該主機(jī)失陷事件的原因、事件發(fā)生的時(shí)間以及事件的詳情描述：

失陷主機(jī)詳細(xì)信息

⊙ 某高校內(nèi)網(wǎng)攻擊探測(cè)項(xiàng)目

        某高校為增強(qiáng)內(nèi)網(wǎng)的威脅感知能力，在已經(jīng)部署了其它廠商相關(guān)安全設(shè)備的基礎(chǔ)上，采用了安天的蜜罐產(chǎn)品來(lái)加強(qiáng)內(nèi)網(wǎng)安全建設(shè)，安天根據(jù)其網(wǎng)絡(luò)環(huán)境，將蜜罐產(chǎn)品部署在該高校多個(gè)校區(qū)，設(shè)備部署運(yùn)行一段時(shí)間后，成功發(fā)現(xiàn)了蜜罐所監(jiān)控網(wǎng)段存在Wannacry（魔窟）等蠕蟲、挖礦病毒、木馬等威脅，為其處置威脅和失陷主機(jī)提供重要依據(jù)。

[附：捕風(fēng)蜜罐產(chǎn)品歷史沿革]

■   2005年，安天ArrectNET監(jiān)控網(wǎng)絡(luò)應(yīng)用蜜罐作為蠕蟲樣本捕獲的重要來(lái)源，為產(chǎn)品開啟了技術(shù)積累之路。

■   2009年，安天將開源蜜罐程序移植至ARM平臺(tái)。

■   2017年，捕風(fēng)蜜罐系統(tǒng)初版發(fā)布，并成功部署于某機(jī)構(gòu)，為其內(nèi)網(wǎng)威脅感知工作做出較大貢獻(xiàn)。

■   2018年，捕風(fēng)蜜罐系統(tǒng)共發(fā)布兩個(gè)版本，在仿真能力、威脅識(shí)別能力、分布式部署能力方面均有較大提升，且在某客戶處部署，成功感知威脅，為威脅處置贏得更多時(shí)間。

■   2019年，捕風(fēng)蜜罐系統(tǒng)在內(nèi)部虛擬網(wǎng)絡(luò)模式、IoT仿真、web服務(wù)仿真、流量轉(zhuǎn)發(fā)、威脅行為規(guī)范等方面均有較大提升，多次參與某安全演練活動(dòng)并被多個(gè)用戶采購(gòu)。