本期为【安天攻防演练专题】系列的第六期，将分享分享在攻防演练场景中，如何通过逐一拆解攻击者的攻击思路与攻击链条，并基于蜜罐产品进行布防，构建欺骗式防御体系。

在攻防演练场景中，防守方需要面对攻击方持续多维的攻击，通过构建欺骗式防御，充分地了解攻击方的整体情况，并根据攻击特点建立完善的、能有效抵御攻击威胁的安全防护体系，是支撑达成防守效果与取得更好成绩的重要手段。

安天捕风蜜罐系统（以下简称：捕风蜜罐）以“未知攻，焉知防”思路为核心，开发了综合防御解决方案：为攻击者创造虚假的“资源”，通过设置“诱饵”让其困入陷阱，并进行跟踪、观察、分析、研判、隔离、处置与反制。

1.攻击方思路分析

攻击方在组织入侵攻击之前，通常会制定攻击策略、规划攻击线路、明确分工合作，力争在短时间内取得最大战果，常见的攻击链条分为三个阶段：

第一阶段：情报收集

发起攻击前，应尽可能多地搜集攻击目标信息，做到知己知彼，直击目标最脆弱的地方。搜集范围包括：目标组织的人员信息、组织架构、网络资产、技术框架及安全措施信息，为攻击决策提供支撑。

第二阶段：建立据点

通过分析漏洞，发起定向攻击，同时也会对目标现有安全措施进行突破。此阶段的主要目标是：确保通过攻击获得对应用程序或底层系统的访问权限之后，仍然可以保持持续的访问状态。因为，只要能够维持对系统长期有效的访问权限，就能更深、更远地接触到其他相关应用，从而获取更多的信息。

第三阶段：横向移动

通过在被攻陷的目标内网进行横向移动，尽可能的获得更多权限；同时，对目标进行内网情报收集，主要包括当前主机情报与内网扫描探测情报。

图1 攻击方的进攻思路

针对上述攻击链条与思路，可在互联网部署ERP、OA、VPN系统、虚拟化桌面系统、邮件服务系统等高交互蜜罐资产，并且选择部分蜜罐资产预置不同的弱口令、漏洞等诱骗攻击者；同时散播虚假信息“蜜饵”，干扰攻击者收集情报，使其选择攻击目标时产生误判，指数级地增加攻击者的攻击成本，延缓攻击进程的同时，将攻击者不断诱导引入蜜罐陷阱，从而诱捕攻击者，保护真实资产。

安天捕风蜜罐系统部署策略与演练价值

1. 战前准备，构建阵地。

1） 资产梳理

基于企业自身资产管理积累，结合安全技术支持，对企业互联网、内网资产进行全面收集，主要涉及资产类型包括：主机资产、域名资产、Web应用资产、GitHub、网盘等互联网敏感信息泄漏等，并对测绘结果进行确认，责任到人。在不影响业务的前提下，尽可能收缩资产暴露面，加强资产可控性。

2） 在必要路径部署安天捕风蜜罐产品

分别在内外网部署多套安天捕风蜜罐系统对攻击者进行诱捕。

互联网区域资产以Web资产为主，根据攻击者情报收集的特性，在互联网侧部署大量高交互Web蜜罐，诱导攻击者对蜜罐系统进行攻击。为提高迷惑性，此类蜜罐均克隆自企业真实的业务系统，例如：邮箱系统、网盘系统等等。攻击者一旦对上述蜜罐发起攻击，蜜罐管理端即可监控到攻击者的源IP、攻击手法、时间等信息，蜜罐内置信息获取脚本，可读取攻击者浏览器缓存的社交账号信息，通过这些信息可开展溯源反制相关工作。针对内网，攻击者通常会先对各网段进行探测，尝试对暴露的端口服务进行攻击，根据这一特性，内网部署大量服务型蜜罐，用于迷惑攻击者，增加攻击发现概率。

3） 防护、监控类设备关键节点部署

面对互联网庞大的攻击流量，全量监测实现难度高、代价大，自动化攻击阻断、流量清洗是一种不错的手段。在各网络边界均部署防火墙，设置端口级访问控制策略，对互联网流量实现初步过滤；防火墙后依次部署IPS、WAF等阻断类设备对流量进行规则匹配，阻断其中绝大多数攻击流量；同时，在各个安全域部署流量分析蜜罐探针，对流量中的攻击行为进行分析，如此层层过滤，实现攻击流量全方位监控。

2. 提前布局，以逸待劳。

针对攻击路径布局安天捕风蜜罐的诱饵和探针，包括外部攻击欺骗、内部环境大量部署、外联欺骗等多个攻击方向的欺骗布局，尽可能多的对攻击进行欺骗，获取其攻击数据，从而检测潜在的未知威胁，为新的本地化威胁情报提取提供基础的威胁事件信息和充足的原始数据信息。

并利用网络中的空闲的资源，感知新的攻击趋势和威胁。包括空闲的端口资源，联动安天智甲用终端空闲端口转发给蜜罐、安天镇关防火墙的映射出外网，以及针对数据中心私有云混合环境的云内探针联动，都可以较好的扩展覆盖面增加感知面。

捕风蜜罐的自动构建资产技术，可以通过对真实网络环境资产探测学习，充分利用空闲IP资源自动构建与真实环境相似的、具备深度交互多层次仿真的伪装蜜罐网络。同时，能够判断真实资产配置IP与自动创建伪装资产IP是否冲突，并支持跨VLAN的环境下的自动海量蜜罐资产的伪装，达到自动、智能、大量构建伪装资产的能力，大量的自动伪装蜜罐在网络内部更加容易感知网络内部的横向移动行为，同时使攻击者难以区分真实资产和伪装资产，无法快速命中目标。

捕风蜜罐支持自定义资产模板组合，可自由组合将已有的模板组合成新资产模板，同时可以利用空闲主机作为代理节点来动态扩容蜜罐仿真、感知范围，以此达到蜜罐服务的灵活暴露以及更高数量级的蜜罐服务数量，从而实现迷惑攻击对手保护真实资产的目的。

常用仿真服务列表
蜜罐类型	特点	溯源能力
应用服务蜜罐	支持伪装CRM、信呼OA、Nginx等常见系统，可以自定义预置用户名密码，具备一定的交互能力。	IP信息、社交账号、攻击喜好、媒体信息。
系统服务蜜罐	支持伪装OpenSSL、Windows 7 等常见系统，可以自定义预置用户名密码，具备一定的交互能力。	IP 信息、社交账号、攻击喜好、媒体信息。
数据库蜜罐	支持伪装MySQL、MongoDB、Oracle等常见系统，可以自定义预置用户名密码，具备一定的交互能力。	IP信息，植入URL等。反制数据库请求等。
网络设备仿真蜜罐	支持伪装华为路由器，防火墙等常见系统，可以自定义预置用户名密码，具备一定的交互能力。	DNS 劫持等捕获劫持域名站点。
工控设备仿真蜜罐	支持伪装IPMI、BACnet等常见系统，具备简单的交互能力。	攻击IP、漏洞植入下载 URL等。

3. 监控分析，知己知彼。

捕风蜜罐采集包括网络数据、系统日志、应用日志、文件等数据。

通过全面采集可以提高某些攻击行为的检测可能性，比如针对SSH的暴力破解行为，并可以记录黑客尝试的不同账户密码信息。

同时，对采集到的数据进行对应分析与展示。分析包括但不限于：攻击时间、攻击行为、攻击阶段、攻击方式、威胁等级、受攻击资产等；结合攻击数据（如IP地址、网络、URL、攻击样本等）生成可视化图表，用以支持对攻击事件的逻辑复现及攻击行为全过程分析，进而发现攻击者目的、目标、手法、技术等。并可生成对应的攻击情报数据，充实数据情报库并用以展现使用。

捕风蜜罐通过以上维度对蜜罐资产进行实时监测，可以识别出扫描、漏洞入侵、Webshell植入、黑客工具植入等50多种威胁行为，并具备防止攻击逃逸的能力，有效降低攻击者通过内部横向扩散带来的风险。捕风蜜罐的蜜罐网关外联欺骗能力，既可以误导攻击者，也可以利用该特性发现内部已失陷主机。同时，可与防火墙联动，对威胁情报检出的攻击IP进行拦截。

4. 诱敌深入，请君入瓮。

捕风蜜罐可以通过在蜜罐资产中投放虚假数据制作的蜜饵文件、反制VPN 程序，可通过进一步提升甜度使得攻击者产生已经攻入真实系统的错觉，同时获取更多的攻击者的信息，甚至进一步反制攻击者。

在攻击者攻击进入蜜罐仿真系统内部对外连接通信时，蜜罐网关对蜜罐内部请求流量进行欺骗应答，从而进一步激发攻击的网络或系统行为。可以针对网络请求，如DNS请求、TCP请求、URL请求、Ping等进行响应及交互等欺骗应答响应，在保障内外资产安全的情况下，激发出更多流量进行蜜网流量检测模块的威胁检测。

5. 情报生产，快速普查。

捕风蜜罐在监测的安全事件中提取攻击者投放的文件哈希、网络恶意域名、C&C等情报特征，经过海量文件、域名、IP白名单过滤，形成可协同监测的本地化威胁情报。

监测方式主要采用静态解密和动态分析提取样本文件的网络信标。针对样本识别、网络信息提取并经过白域名IP过滤后产生网络威胁情报，提取攻击源IP、样本MD5、C&C提取等。由于攻击者或者恶意程序的威胁活动中涉及的网络、文件等操作很多包括正常的站点，比如百度、微软等域名站点测试联通性，释放一些辅助的语言程序包文件等。因此本地化威胁情报生产需要安全厂商提供高质量的白名单进行过滤，针对安全事件中提取的指标进行误报排除。白名单需要持续地从各个操作系统、补丁跟踪、应用程序发布站点获取建立广泛的白名单库。网络白名单则需要建立各个类型的信任站点持续跟踪相关的资源变化。

6. 溯源分析，擒贼擒王。

安天捕风蜜罐系统使用基于JSONP跨域获取信息的网络溯源方法，通过跨域技术调用相关社交媒体账号的接口，穿透代理，实现跨域资源获取，从而实现抓取攻击者社交ID的功能。

捕风蜜罐系统支持识别攻击者的网络身份（网络ID、手机号、用户名、邮箱等）、设备指纹、使用的操作系统等，支持识别苏宁、搜狐、yy语音、雪球网、爱奇艺等网络ID。

图2 攻击者画像分析绘制示意

在一系列的诱捕，情报收集后，已基本完成攻击者的信息采集，从而对攻击者进行画像、追踪和溯源。

1） 通过基本信息溯源：IP、位置信息

传统的基于IP的溯源法对攻击者的身份信息获取分有限，很难及时进有效溯源和反制。蜜罐系统则给了防守方反制的机会，通过蜜罐预设的反制段，主动获取攻击者主机或者网络信息，捕风蜜罐系统可以对某个IP进行多维度的信息查询，通过关联人员、地址、注册单位、邮件、域名关键字等信息，可对攻击IP进行画像，进而参考社交信息溯源进一步管理分析，可将攻击者定位至自然人、单位组织。从而更准确的定位攻击者的身份，实现更精准的溯源。

2） 通过社交信息溯源：微信、QQ、手机、邮箱等

①利用通信平台，添加好友，套取信息；

②利用其注册昵称，查询在其他站点同名注册者；

③对比社工库信息，进一步锁定攻击者信息。最后将各平台获取的信息整合，完整拼凑出自然人画像。安天捕风蜜罐不仅具有优秀的威胁捕获能力和溯源能力，在安全运营中，同样可以扮演着增强企业安全防护建设能力的角色，为构建安全网络时间做出重要的贡献。

下期预告

下期为【安天攻防演练专题】系列的第七期，将分享通过Web在线实时主动防御解决方案，在攻防演练期间有效抵御未知的 Web 攻击、提高防护效率。