公司的数据中心比较多,且分布在世界各地,作为管理员,不清楚公司的网络规划及使用情况。 我希望能够使用一个全新的网段(没有任何业务部门使用),作为蜜罐和诱饵的使用地址,避免对公司的正常业务产生影响。
本文将通过管理员视角、用户视角和攻击者的视角进行详细的阐述说明,具体价值呈现如下:
步骤1、根据客户提供的网络规划表,给出的真实业务网段和蜜罐的诱饵网段,相关网段地址信息如下:
正常业务网段为:172.16.2.0/24,存在真实资源【OA-办公系统】
提供诱饵网段为:172.31.2.212-172.31.2.250,设置应用诱饵名称【堡垒机管理-运维】
步骤2、管理员登录控制中心控制台,先在【蜜罐管理】开启蜜罐后,再进入[主动防御/威胁诱捕/应用诱饵]-点击<新增>进入应用诱饵配置页面:
步骤3、进入应用诱饵配置页面,完成基础信息配置,如下说明:
|
功能 |
说明 |
|
所属应用分类 |
发布的应用诱饵所属的应用分组,若需指定应用组需先新建好应用组才可选择。 |
|
所属节点区域 |
选择应用诱饵生效的节点区域,应用诱饵只会生效选择的节点区域,未选择的节点区域将不生效。 |
|
服务器地址 |
客户分配的诱饵地址段,改地址端作为应用诱饵地址,攻击者访问该地址段内的地址时,不会引流,但会在代理网关的审计中心-用户日志模块打出“隧道应用诱饵访问”日志
注:当诱饵地址与真实应用地址冲突时,会影响业务的正常访问 |
|
引流规则 |
是指从配置的服务器地址中选出特定的地址或地址段,设置为真实诱饵,诱导攻击者访问该地址。攻击者访问该引流地址时,请求会被蜜罐进行分析和审计,并阻断其请求。 同时攻击者访问引流规则内的地址时,会同时打出“隧道应用诱饵访问”和“访问蜜罐”的日志信息。
注:目标蜜罐需要选择可被模拟的蜜罐类型,即服务器地址配置的端口为22,那么对应的目标蜜罐就是【SSH蜜罐】,如果服务器配置的端口为80,那么对应的目标蜜罐就是【HTTP蜜罐】以此类推。 |
本文中蜜罐的服务器地址为172.31.2.212-172.31.2.250,其中将172.31.2.212和172.31.2.215的22端口作为蜜罐规则引流地址,攻击者访问引流规则内地址的22端口时将会被引流至【SSH蜜罐】给攻击者正确的回显,误导攻击者踩中蜜罐,进而深度分析和审查攻击者的行为和指纹。
步骤4、点击[个性设置]设置该应用是否在工作台可见,本章节设置不可见,如下:
步骤5、点击<保存>完成应用诱饵的配置,如下:
步骤6、将该应用诱饵授权给指定的用户或用户组,如下授权给”chenxin”这个用户;
在搜索框输入“chenxin”查找需要授权的用户,并选择用户,点击<确定>完成配置,如下图所示:
步骤7、管理员进入[主动防御/威胁诱捕/处置策略]-完成处置策略的配置,并点击<保存>完成策略的配置。
步骤1、攻击者通过钓鱼等手段(如:邮件钓鱼、用户访问不安全网站等)获取到了零信任的接入地址和用户chenxin的账号密码信息;
步骤2、攻击者访问零信任aTrust接入地址,登录chenxin的账号,通过浏览器F12抓包查看clientResource接口并获取aTrust下发的资源,发现有隐藏资源【堡垒机管理-运维】和其他正常业务的地址;
未隐藏的资源显示在工作台,隐藏资源是不会显示在工作台的,但可以通过浏览器抓包查看clientResource接口是否存在隐藏资源。
步骤3、攻击者使用nmap工具针对【堡垒机系统-运维】使用命令【nmap -p 22 -T4 -A -v 172.31.2.212-250】进行探测;
步骤4、根据步骤3的返回结果发现172.31.2.212和172.31.2.215地址的22端口探测成功,结果返回open。此时作为攻击者基本可以判定,这两个地址可能是内网的某个业务系统的,接下来就是使用SSH工具连接这两个地址来发起攻击;
步骤5、攻击者根据探测的结果本地拉起SSH工具,如mobxterm工具,使用SSH命令【ssh admin@172.31.2.212】和【ssh admin@172.31.2.215】尝试访问【堡垒机系统-运维】资源;
此时攻击者其实不太清楚资源22端口的账号密码,但会通过字典攻击来进行遍历账号密码,或者通过root、admin、sysadmin等此类的账号和常用密码来尝试登录爆破。
根据如上操作发现使用ssh链接172.31.2.212时会显示无法连接,且用户被前置注销下线了;重复登录用户chenxin,再次使用ssh链接172.31.2.215依旧显示无法连接,且用户依旧会被前置注销。
步骤6、此时攻击者会懵逼的发现不论尝试多少次,都无法连接成功。同时登录零信任aTrust的用户会被注销下线,并告知存在安全风险,联系管理员;
3.用户发现无法登录后,于是便根据提示电话联系到了管理员,想要弄清楚是什么原因造成的?
步骤1、管理员正在不慌不忙的搞自己的工作,突然发现自己的手机收到了两条安全告警的短信,短信显示的用户chenxin访问到了蜜罐,要我尽快登录零信任控制中心控制台,进入[监控中心/用户状态]查看和处理;
步骤2、管理员进入到[监控中心/用户状态]发现用户chenxin踩中了我下发给用户的蜜罐引流地址(隐藏资源),可能是终端用户遭受到了攻击;
隐藏资源一般情况下是不会被普通用户发现的(因为隐藏资源需要通过clientResource接口查看,普通用户不会关注),就算发现了也不会去直接访问,所以在精准性上是比较可靠的。
步骤3、此时用户chenxin也电话找了过来,问我为什么他的用户被注销且被锁定了?我将锁定的截图和告警日志通过企业微信发给了他,问题他是否进行过ssh admin@172.31.2.212这类的操作?如果没有的话,告知他的电脑或者账号可能被泄密了;
用户chenxin反馈自己没有做过此类的操作,此时管理员便联系了公司的安服人员,到了用户chenxin的电脑进行病毒查杀;
步骤4、同时管理员进入[审计中心/日志中心/用户安全日志]-查找到用户“chenxin”踩中蜜罐的日志,点击<行为洞察>可查看到攻击者冒用“chenxin”在踩中蜜罐的单个会话整体流程,流程中详细的展示了攻击者的行为、终端信息和指纹等;
其次点击右上角的<智能分析报告>可将详细的报告信息和日志信息,输送给公司的安服,以便于安全获取更多精准的信息,加快破案的进度;
步骤6、最终通过零信任atrust的行为洞察溯源日志和安服人员的努力,发现用户chenxin的电脑,因为误触了钓鱼软件,导致账号信息被泄露攻击者获取到了相关的权限,进入出现了此类的事件。
xx客户的管理员在公司同时负责安全和基础网络的规划&使用,对于公司现有网络资源分配使用情况都十分清楚;为了提高诱饵的真实性让攻击者对诱饵的判断力减弱,作为管理员,我希望能从现有的业务网段中,选择部分未使用的地址发布为应用诱饵。
说明:该场景下的诱饵模拟,相较于【章节3.1.场景1】更具有诱饵优势。
管理员视角
步骤1、根据客户的网络环境,客户提供了真实的业务地址&端口、蜜罐的诱饵地址&端口,相关的网段地址信息如下:
正常业务地址为:【172.31.2.100:4433】,存在真实资源【OA-办公系统】
提供诱饵地址为:【172.31.2.100:22】,设置应用诱饵名称【OA办公-诱饵】
步骤2、管理员登录控制中心控制台,先按照【章节2.蜜罐管理】开启蜜罐后,再进入[主动防御/威胁诱捕/应用诱饵]-点击<新增>进入应用诱饵配置页面:
步骤3、进入应用诱饵配置页面,完成基础信息配置、引流规则和个性设置,如下说明:
本文中蜜罐的服务器地址为172.31.2.100,端口是22端口;同时将172.31.2.100的22端口作为蜜罐规则引流地址,攻击者访问引流规则内地址的22端口时将会被引流至【SSH蜜罐】给攻击者正确的回显,误导攻击者踩中蜜罐,进而深度分析和审查攻击者的行为和指纹。
步骤4、点击<保存>完成应用诱饵配置,同时在该页面点击<授权>,将该应用诱饵授权给用户“chenxin”,如下:
步骤5、管理员进入[主动防御/威胁诱捕/处置策略]-完成处置策略的配置,并点击<保存>完成策略的配置。
以上剩余的相关具体操作请参考【场景1】的指导,不论是攻击者视角、用户视角和溯源视角是基本相同的。
建议使用Chrome浏览器访问!
