安天产品巡礼(系列五)——捕风蜜罐系统
时间 : 2020年03月12日 来源: 安天
捕风蜜罐系统是安天自主研发的诱骗攻击者的威胁捕获和威胁情报生产装置,通过创建服务器类型、物联网类型、工控类型等仿真设备组建与用户环境相似的蜜网环境,支持常规与国产化操作系统仿真包括Windows、CentOS、Ubuntu和NeoKylin等多种系统级高交互蜜罐,服务仿真支持web服务、数据库服务、特定漏洞等多种环境模拟,通过暴露蜜罐存在的漏洞及服务来诱使攻击者对其攻击,对捕获到的攻击进行进一步的分析与展示,分析后可产出威胁事件、攻击链等描述信息,威胁事件包括攻击来源、攻击方法、攻击目标等,攻击链标识了入侵、安装、控制、意图等各个阶段的行为,可协助现场运维人员清晰地发现威胁、定位威胁、溯源威胁。
蜜罐技术的先行探索者L.Spizner曾对蜜罐系统作出一个最经典的定义:”蜜罐是一种资源,他的价值在于被攻陷”。捕风蜜罐系统就是这样一套拥有模拟资产与服务等能力的安全资源,以请君入瓮的方式,让攻击者原形毕露。捕风蜜罐系统是一套被严密监控的计算资源,希望被探测、攻击,用于诱骗攻击者入侵但不能被入侵者控制。在实际工作场景中通过IP设置使蜜罐系统暴露在实际工作PC机或服务器旁,让攻击者真假难辨。除能够有效的拖延攻击者,保护真实的主机外,蜜罐也是情报收集系统,记录攻击者的攻击路线,了解攻击者所使用的工具与方法,从而发现攻击并产生告警。捕风蜜罐系统所捕获的威胁行为数据、文件、分析数据等均可通过标准接口提供给蜜网平台进行汇总展示、关联分析,为后续威胁分析、取证、溯源、猎杀等工作提供必要的基础。
捕风蜜罐系统可为政府、军队、能源、金融、交通等行业客户提供威胁发现能力,支撑客户的重大活动安全保障、高级威胁定位和安全事件响应。
[功能简介]
安天捕风蜜罐系统是一款部署在网络环境中,用于诱骗攻击者的积极防御型网络安全产品,有实体设备和虚拟化部署两种形态。可仿真多种设备及系统环境,包括PC和服务器系统、工控系统等。捕风蜜罐系统可及时感知攻击活动从而进行预防,能够捕获攻击者利用的攻击载荷并记录攻击的全过程,尤其适用于感知内网威胁,如勒索软件、蠕虫、攻击者入侵漫游等。捕风蜜罐系统的主要功能包括威胁行为感知、受害主机告警、攻击链还原与展示、失陷主机感知、威胁情报生产,具有高低交互结合、精准行为预警等优势。捕风蜜罐系统可作为态势感知系统整体方案中的采集节点,为其采集原始及检测后的流量、系统行为等数据,通过在多VLAN环境下创建暴露弱点服务的高低交互虚拟蜜罐,引诱攻击从而得到更多的攻击数据。态势感知系统根据蜜罐捕获的攻击数据可与其它节点采集的数据进行关联分析还原完整的攻击过程,从而进行溯源,达到定位攻击者与攻击方法的目的。
[场景适配和部署方式]
⊙ 单节点部署
单机版蜜罐物理设备数量只有一台,可以虚拟的蜜罐数量有限,适合网络环境较单一的部署场景。捕风蜜罐系统通过仿真业务系统环境创建虚拟蜜罐来吸引攻击,拖延攻击者对真实业务系统的攻击,为管理员掌握全网安全情况、做出安全预警、采取安全防护措施提供有力支撑。
⊙ 分布式部署
分布式蜜罐由多台设备组成,其中包括一台蜜网平台与多台蜜罐节点主机,适合部署在网络环境较复杂的场景中。与单机版蜜罐不同的是,蜜罐节点主机可随当前网络环境变化而拓展,各个蜜罐节点主机将捕获的数据上传到蜜网平台,无需逐一登录各蜜罐节点界面即可查看威胁汇总,为现场运维人员带来较大的便利。
⊙ 虚拟化部署
捕风蜜罐系统可以软件形态部署在云端的虚拟环境上,用于对公有云、私有云等场景下虚拟端点遭遇攻击的情况进行分析,感知针对云系统的各种扫描、探测、注入等攻击行为,是云场景中有效的安全探针。
⊙ 攻击流量牵引
用户可通过防火墙配置或蜜罐牵引装置将网络攻击从真实的设备牵引至蜜罐系统,大部分通用防火墙入侵防护设备可配置空闲端口转发到蜜罐系统;专用入侵防护设备识别攻击流量后,可将该攻击IP的流量转发给蜜罐。另外,在重点服务器上可安装蜜罐引流装置,该装置可配置出一套设备端口组合,将攻击者真实目标服务器过程中的流量转发给蜜罐系统。
⊙ 第三方产品联动
捕风蜜罐系统所捕获的威胁数据支持通过syslog协议输出给第三方产品,供其进行威胁联动,如将失陷主机的威胁情报传输给防火墙、IDS、IPS等设备,进行规则添加、阻断等操作。
[特点优势]
⊙ 高低交互蜜罐结合
捕风蜜罐系统部署方便,可依据使用场景灵活创建高低交互蜜罐,高交互蜜罐为真实Windows或Linux操作系统环境,可对攻击进行更深入的检测与分析;低交互蜜罐可模拟多种网络服务,容易维护,易捕获到攻击者的初级攻击。
⊙ 精准行为预警
捕风蜜罐系统采用行为感知与安天自主研发的反病毒引擎相结合的方式对威胁进行分析研判,通过对网络行为、系统行为的双重检测,来进行精准告警。如通过行为感知对爆破等网络入侵行为、入侵成功后的投放木马行为、木马执行后的系统行为等进行精准行为预警。
⊙ 失陷主机告警
捕风蜜罐系统对典型内网攻击事件的各个攻击阶段均有较强的感知能力,从扫描阶段到入侵阶段,再到控制阶段和恶意目的阶段,以上阶段感知到的威胁事件根据具体行为可分析出失陷主机及失陷原因。捕风蜜罐系统支持通过web界面及邮件通知的方式进行告警,通过失陷主机告警功能,管理员可及时发现网络环境内的失陷主机,第一时间进行处置。
⊙ 攻击链分析
捕风蜜罐系统可进行攻击链全过程的行为检测与深度揭示,按入侵、安装、控制、意图四个阶段展示攻击链,使用户直观、清晰的看到蜜罐感知的攻击及其详细信息,进而对内网环境做相应的防范措施。
入侵阶段为一条攻击链的初始阶段,包括端口扫描、连接端口、登录服务等行为;安装阶段为入侵后的一个阶段,包括注入代码、下载恶意样本、程序自删除、设置注册表自启动等行为 ;控制阶段为安装的后一个阶段,包括连接C&C服务器、远程攻击命令输入等行为;意图为攻击链的最后一个阶段,包括使用某些特定家族的样本实现数据窃取、DDoS攻击、勒索等目的的行为。下图所示为蜜罐捕获攻击链的界面截图:
蜜罐捕获攻击链
⊙ 威胁情报生产
捕风蜜罐系统在感知威胁的同时,还可通过行为感知与特征检测等方法产出多元的威胁情报信息,包括主机威胁情报如样本MD5、文件名,网络威胁情报如恶意IP、域名、URL、精准C&C信息等。产出的威胁情报可用于追踪溯源、与其它安全设备联动进行防护拦截。下图所示为样本情报的截图:
样本情报
[客户案例]
安天捕风蜜罐系统已在政府、军队、交通、能源等行业广泛投入使用,典型案例包括:
⊙ 监管态势感知攻击捕获探针
安天为省级单位提供一整套综合威胁监测分析管理解决方案,其中捕风蜜罐系统作为整个地区的探针分布式部署到该地区的云端,通过感知针对该地区的网络攻击事件,捕获样本通过追影威胁分析系统集群化部署实现威胁分析和情报生产,构成了前端感知、捕获及追溯体系的数据基础,并与方案内其他环节相互配合,支撑省市级别地区网络攻击和蠕虫恶意代码疫情事件的情报获取与威胁事件感知能力。
⊙ 某政府云平台安全加固威胁感知方案
某区电子政务外网作为该区政府部门的业务专网承载着全市所有部门的信息化系统,区信息化中心机房承担着网络中心、数据中心、服务器托管等平台场所功能,该区政府云平台一期统一规划和配置了网络安全软硬件设备及防火墙、防病毒等信息安全软件,但这些难以保障该区政府云平台的安全,独立运维的系统将面临更严峻的安全问题,一旦系统出现了安全问题,恢复非常困难。因此,实现该区政府云平台安全加固刻不容缓。
安天结合客户的实际情况和现场网络状况为实现云平台安全加固规划了一套内网威胁感知方案,保障整个云平台的系统安全稳定运行,内网威胁感知方案是由安天捕风蜜罐系统、安天捕风蜜网平台组成的。系统上线后即发现内网有大量利用永恒之蓝的恶意蠕虫传播,第一时间帮助用户及时定位失陷主机进行处置,防止蠕虫进一步扩散。
⊙ 某集团护网防守项目
某集团为增强护网防守感知能力,需要部署安全产品来增强实际系统的安全防护能力。该方案是针对于某集团的网络环境而设计的,用来深入感知内网威胁,依靠行为识别内网或外网攻击行为、攻击手法,识别0day漏洞和攻击手段,结合攻击行为和木马行为分析,精准报警勒索蠕虫、网络入侵,能够捕获攻击者利用的攻击工具并记录攻击的全过程。
在分公司A和分公司B部署捕风蜜罐系统后,可配置告警接收邮箱,如果虚拟蜜罐受到攻击,登录蜜罐web页面即可查看捕获的具体威胁信息,便于采取相应处置措施。
下图为蜜罐系统捕获攻击者利用 smb 服务 cve-2017-0143漏洞进行蠕虫传播、代码执行等的攻击链操作:
蜜罐捕获某事件攻击链
下图为失陷主机11.1.x.x的截图,展示了导致该主机失陷事件的原因、事件发生的时间以及事件的详情描述:
失陷主机详细信息
⊙ 某高校内网攻击探测项目
某高校为增强内网的威胁感知能力,在已经部署了其它厂商相关安全设备的基础上,采用了安天的蜜罐产品来加强内网安全建设,安天根据其网络环境,将蜜罐产品部署在该高校多个校区,设备部署运行一段时间后,成功发现了蜜罐所监控网段存在Wannacry(魔窟)等蠕虫、挖矿病毒、木马等威胁,为其处置威胁和失陷主机提供重要依据。
[附:捕风蜜罐产品历史沿革]
■ 2005年,安天ArrectNET监控网络应用蜜罐作为蠕虫样本捕获的重要来源,为产品开启了技术积累之路。
■ 2009年,安天将开源蜜罐程序移植至ARM平台。
■ 2017年,捕风蜜罐系统初版发布,并成功部署于某机构,为其内网威胁感知工作做出较大贡献。
■ 2018年,捕风蜜罐系统共发布两个版本,在仿真能力、威胁识别能力、分布式部署能力方面均有较大提升,且在某客户处部署,成功感知威胁,为威胁处置赢得更多时间。
■ 2019年,捕风蜜罐系统在内部虚拟网络模式、IoT仿真、web服务仿真、流量转发、威胁行为规范等方面均有较大提升,多次参与某安全演练活动并被多个用户采购。