首页 > 其他分享 >【HW系列】事中迎战(4):互联网蜜罐运营

【HW系列】事中迎战(4):互联网蜜罐运营

时间:2024-07-28 15:52:44浏览次数:15  
标签:封禁 蜜罐 攻击 IP HW 事中 攻击者 溯源

本章为该系列的第14篇,也是事中迎战的第4篇。互联网蜜罐是演练期间高频出现的对抗手段,这一篇让我们聊聊演练期间如何发挥互联网蜜罐的价值。

一、溯源反制

如果是采购的商业蜜罐产品,一般都会有溯源功能,可以获取攻击者指纹,从而对攻击者进行画像,有助于了解攻击者的身份。
有些蜜罐厂商还会在演练前准备反制木马,自制木马也可以,放在蜜罐中容易被发现的地方引诱攻击队下载安装。毕竟不是所有攻击成员都是经验丰富的,历年都有被防守方反制的攻击队,甚至还有被攻击队反制的攻击队。
如果成功获取攻击队的权限,一定要抑制住自己想要复仇的冲动,建议防守方也像APT一样,去安静观察攻击队的行踪,以获取更多有价值的情报,伺机而动。

二、封禁IP

由于互联网蜜罐没有真实业务,正常情况下用户不会访问到蜜。所以,碰蜜罐的一定有问题,可以直接封禁。
每天定时查看一下蜜罐的访问记录,将源IP导出来直接加入黑名单。有条件的还可以借助SOAR的能力自动化拉取蜜罐的IP日志联动封禁。这种无差别封禁的思路是学习了qax冬奥重保方案,在实战中我们也实际应用过,效果还可以,没遇到过误封禁。
不过在实际对抗过程中,封了IP就无法收集更多攻击者信息进行溯源,那有没有既能封IP又不影响溯源的方法呢?
可以利用云蜜罐来实现,将蜜罐系统搭建到公有云VPS上,与企业的IT环境物理隔离,这样我们封禁了IP也不影响攻击者访问蜜罐系统,进而可以持续对攻击者进行信息收集。
关于云蜜罐的搭建可参考文章【红蓝/演练】-事前准备(8)之蜜罐建设。

三、蜜罐引流方案

如果蜜罐是演练前临时上线的,可能曝光度不高,不容易吸引攻击者。如果您的企业对溯源攻击者有强需求,希望攻击者尽可能多的访问蜜罐,可以主动出击,为蜜罐引流。

3.1 向资产测绘平台上报蜜罐资产

如今,资产测绘平台已经成为攻击队信息收集的必选项了,不过资产测绘平台上的数据更新有延时,如果我们的蜜罐系统是为了应对演练临时上线的,很有可能不会及时被资产测绘平台录入,也就降低了被攻击队发现的概率。

资产测绘平台为了提高自身数据的准确性,一般会有人工上报数据的渠道,以FoFa为例,登录后点击提交资产。

按照示例格式填写即可,数据上传成功后,还会获得F币奖励。这样,可以借助资产测绘平台实现被动引流。

3.2 结合WAF功能为蜜罐引流

被WAF告警的流量基本都是攻击流量(也有误报的),传统的做法就是将其拦截。WAF上可以配置触发告警后的动作,比如放过、拦截、重定向、返回默认页面等,如果把WAF和蜜罐结合起来,还可以继续利用攻击流量的剩余价值,为蜜罐进行主动引流。

【重定向】:触发告警后可以重定向到蜜罐地址上,当攻击者对我们发起攻击,就会302到蜜罐,主动推给攻击者。
【拦截页面】:自定义拦截页面,在页面上放置超链接指向蜜罐地址,还可以配合诱惑性的文字引诱攻击者点击。

主动引流也有缺点,一方面容易被攻击队识破是蜜罐系统,不过我们的目标是溯源攻击者信息,如果能成功溯源,被识破也没什么。另一方面,如果有正常用户的请求误报了,会把正常用户也引导到蜜罐中。所以,如果溯源不是您的主要目的,可以不进行这类配置。

四、总结

做好蜜罐的运营可以为我们的防守工作锦上添花。演练期间,蜜罐的出镜率要比平时高很多,一方面可以补充封禁源,同时也可以对攻击方进行溯源反制,再配合一些引流机制,可以更好地发挥蜜罐的价值。
如果这篇文章你只能记住一件事的话,那请记住:蜜罐日志用来封禁IP,攻击画像可以溯源反制,配合资产测绘和WAF攻击引流。

原创 十九线菜鸟学安全

标签:封禁,蜜罐,攻击,IP,HW,事中,攻击者,溯源
From: https://www.cnblogs.com/o-O-oO/p/18328303

相关文章

  • 【HW系列】事中迎战(5):作文大赛
    本章为该系列的第15篇,也是事中迎战的第5篇。工作日报、技战法、布防报告、事件处置报告、协同联动报告、总结报告、应急响应报告……各种报告也算是演习工作中的一大特色了,曾经请教过一位资深业内人士,后续的演练有没有可能取消各种报告任务,他的回答是:“不太可能,毕竟是呈现成果的直......
  • 【HW系列】事中迎战(6):应急响应
    本章为该系列的第16篇,也是事中迎战的第6篇。如果说体现攻击队综合能力的方式是打攻防,那对于防守方来说,体现综合能力的方式就是应急响应。今天不讲理论,本篇通过一个虚构的应急案例,来看看前几篇所讲的内容如何应用在实战中。我觉得如果攻击方死盯着一个目标打,是一定会突破的,我们在......
  • 【HW系列】战后收尾(1):打扫战场
    本章为该系列的第17篇,也是战后收尾阶段的第1篇。演练告一段落,该清理的需要清理。设备清退。为演练临时借用的各种办公用品要及时退还,比如办公电脑、大屏、交换机、插线板、桌椅等用品。不知道大家有没有遇到过借东西不还的情况,不管东西是否贵重,有借无还都会让人觉得不舒服。所以......
  • 【HW系列】战后收尾(2):复盘提升
    本章为该系列的第18篇,也是事后收尾阶段的第2篇。有些防守单位会以演习结束作为整个防守项目的结束,甚至会专门定制倒计时大屏,当时钟走到0秒的那一刻,所有人欢呼雀跃,组织庆功宴,和庆祝春节有一拼了,朋友圈里都开始有了年味。但是,演练真的结束了吗?能与国家顶级攻击队在正面战场上较量,这......
  • 【HW系列】事前准备(8):蜜罐建设
    本章为该系列的第8篇,也是事前准备阶段的第8篇。之所以蜜罐单独拿出来讲,是因为平时不怎么起眼的蜜罐,在演练期间却特别耀眼,特别是互联网蜜罐。一、内网蜜罐内网蜜罐主要应对的威胁是横向移动,所以内网蜜罐最需要关注的是覆盖率,要确保探针尽可能多的覆盖各个网段。同网段内不必大范......
  • 【HW系列】事中迎战(1):人员组织
    本章为该系列的第11篇,从此篇开始就进入事中迎战阶段了,迎战第1篇让我们聊聊战时的人员组织。一、排班对于主防单位来说,每次参演人员都得几十号人吧,如果领导问“这么多人怎么组织起来”,你会怎么回答呢?把庞大的防守队伍组织起来最简单的方法就是做个排班表。在特殊时期肯定是24小......
  • 【HW系列】事中迎战(2):安全事件监控与处置
    本章为该系列的第12篇,也是事中迎战的第2篇,这一节让我们聊聊演练期间工作量最大的一项任务----安全事件监控与处置。一、角色分组还记得【红蓝/演练】-事前准备(1)之演练组织中介绍的组织架构吗,实战阶段的主力军就是以下三个组:监控组,负责对安全告警进行处置,及时闭环安全事件或......
  • 【HW系列】事中迎战(3):情报处置
    本章为该系列的第13篇,也是事中迎战的第3篇。井喷的情报算是演练期间的一大特色了,这一篇我们聊聊如何搞定这些情报。一、情报收集古往今来,情报一直都是兵家必争之地,演练期间尤其明显,各种情报的密度要比往常高很多,它们从四面八方传来,给我们带来了很多困扰。情报的来源是我们首......
  • 【HW系列】事前准备(6):办公网风险收敛
    本章为该系列的第6篇,也是事前准备阶段的第6篇。除了直接面对互联网的系统,另一个容易受到攻击的就是办公环境了,这一节让我们聊聊办公环境的风险收敛。一、上网机风险治理对于有条件的企业,办公网络最好关闭互联网访问的权限,比如金融、能源的企业,办公网络都是与互联网隔离的,员工的......
  • 【HW系列】事前准备(7):供应链安全
    本章为该系列的第7篇,也是事前准备阶段的第7篇。柿子要挑软的捏,这是演练场景下,出现在攻击队口中最高频的词了。对攻击队来说,“曲线救国”往往有着出其不意的效果,供应链打击也是近几年常见的技战法,这一节让我们聊聊供应链安全。一、网络外联区治理首先从网络层面看一看我们与哪些......