基于蜜罐溯源的主動防御技術(shù)研究

趙海英

關鍵詞：Web安全；蜜罐；Web探針溯源；蜜標溯源

著Web 2.0的發(fā)展，越來越多的公司、政府、學校等組織機構(gòu)開始利用Web技術(shù)向外提供服務。根據(jù)Internet Live Stats 統(tǒng)計，截至2021年年初，全世界Web站點數(shù)量已超18億。Web技術(shù)優(yōu)秀的標準化工作以及活躍的社區(qū)使普通開發(fā)者開發(fā)Web應用的難度降低，促使了Web 技術(shù)的發(fā)展，但也導致了很多Web安全問題。據(jù)國家信息安全漏洞庫CNVVD2013年至2020年收錄的漏洞類別統(tǒng)計顯示，其中涉及Web應用的漏洞約有17萬個，占比19%。Web服務向外暴露的巨大攻擊面使得攻擊Web應用經(jīng)常成為網(wǎng)絡攻擊的入口點[1]。

隨著黑客技術(shù)不斷發(fā)展，網(wǎng)絡攻擊手段層出不窮，方法日趨多樣化，現(xiàn)在的很多攻擊都可以以殺傷鏈模型進行闡述解釋，通過偵查跟蹤、武器構(gòu)建、載荷投遞、漏洞利用、安裝植入、命令&控制、目標達成的攻擊方式對目標進行攻擊[2]。而傳統(tǒng)的Web安全防護技術(shù)只能被動防御，通過不斷加入一層層的“屏障”阻擋攻擊者進攻的步伐，就像是在城堡外建設多道城墻，但當下攻擊者的攻擊手段越加復雜，攻擊技術(shù)高，單純的防護手段已經(jīng)不再適用，不足以應對層出不窮、不斷變化的Web攻擊。如果轉(zhuǎn)換思路，進行主動防御，防御者主動出擊，誘導攻擊者延緩攻擊進程甚至是反制攻擊者，則有著更佳的安全防護能力。

蜜罐是一種主動防御技術(shù)。在蜜罐技術(shù)未應用之前，不管加入多少傳統(tǒng)防護手段，攻擊者的認知都很清晰，就是繞過、破壞這些防護手段，然后攻陷目標。在加入了蜜罐技術(shù)之后，攻擊者的認知被擾亂，因為攻擊的目標是不是真正的業(yè)務系統(tǒng)變得不確定，很可能在歷經(jīng)千辛萬苦攻陷系統(tǒng)之后發(fā)現(xiàn)是個假目標。蜜罐就是一種“陷阱”裝置，這些“陷阱”具有迷惑性，往往是偽裝成企業(yè)的真實網(wǎng)站，以誘惑攻擊者發(fā)起攻擊，即使攻擊者攻破了設下的“陷阱”，對于防守方來說也成功引導了攻擊者避開了企業(yè)的真實資產(chǎn)，并且可以在一定程度上擾亂攻擊者的攻擊思路。利用“陷阱”主動對抗攻擊方，及時應急處置，發(fā)現(xiàn)攻擊后開展反制操作可以對攻擊者造成威懾。通過布置蜜罐可以誘導攻擊者的攻擊路線，還可以竊取攻擊者的個人信息，輔助防守方對攻擊者進行溯源。蜜罐技術(shù)的加入可以有效改善傳統(tǒng)Web安全防護技術(shù)中防御被動的狀況，顯著提升Web 服務整體安全防護能力[3]。

針對傳統(tǒng)的Web安全防護技術(shù)的防御能力不足的問題，本文提出了一種基于蜜罐溯源的主動防御技術(shù)，借助蜜罐技術(shù)吸引、誘騙攻擊者對其進行非法使用的特點，對攻擊者進行溯源。

1 背景技術(shù)

1.1 蜜罐技術(shù)

蜜罐技術(shù)是一種歷史悠久的安全防御技術(shù)，通過部署缺少真實業(yè)務數(shù)據(jù)的系統(tǒng)來誘騙攻擊者實施攻擊，記錄其攻擊行為從而了解攻擊者的攻擊目的和攻擊手段，蜜罐的價值在于被探測、攻陷，并以此不斷提升真實業(yè)務系統(tǒng)的安全防護能力。在本質(zhì)上來說，是一個與攻擊者進行攻防博弈的過程。蜜罐提供服務，攻擊者實現(xiàn)訪問，從而達到蜜罐系統(tǒng)吸引攻擊者發(fā)動攻擊的目的。蜜罐系統(tǒng)主要包括數(shù)據(jù)捕獲、交互仿真以及安全防護三部分。交互仿真面向攻擊者，主要負責與攻擊者進行交互，其通過模擬服務的方式暴露攻擊面，誘導攻擊者進行攻擊；數(shù)據(jù)捕獲面向管理者對攻擊者不可見，通過監(jiān)測網(wǎng)絡流量、系統(tǒng)操作行為等，捕獲記錄攻擊者的連接數(shù)據(jù)、攻擊數(shù)據(jù)包以及惡意代碼等高威脅高價值數(shù)據(jù)，便于后續(xù)的安全分析；安全防護面向管理者對攻擊者不可見，通過采用操作權(quán)限分級、阻斷、隔離等方式，防止攻擊者攻陷蜜罐系統(tǒng)，從而引起惡意利用。

早期的蜜罐可以分為兩種：回應式和黑洞式。回應式蜜罐會對攻擊者的所有攻擊請求和探測都進行響應，對于攻擊者來說，發(fā)送什么內(nèi)容的攻擊指令，都會有正確的應答。而黑洞式蜜罐則更有偽裝性，和回應式蜜罐相同，黑洞式蜜罐也是被部署于真實業(yè)務環(huán)境中，黑洞式蜜罐的特點是無論攻擊者發(fā)送什么內(nèi)容的請求，都不對其進行響應，攻擊者無法得知攻擊是否成功，進而無法構(gòu)造其他的攻擊指令進行攻擊，從而減緩了攻擊者的攻擊進度，為防守方的應急響應爭取了寶貴時間。

隨著時間和技術(shù)的發(fā)展，后續(xù)又出現(xiàn)了兩種較為現(xiàn)代化的蜜罐：探針式蜜罐和牽引式蜜罐。探針式蜜罐是通過在業(yè)務系統(tǒng)環(huán)境中部署探針節(jié)點，同時可以實現(xiàn)應用層級的模擬，相對系統(tǒng)模擬更為真實。當攻擊者的攻擊探測波及探針時，探針會將攻擊轉(zhuǎn)發(fā)給蜜罐的模擬應用，從而進行報警。牽引式蜜罐的主要結(jié)構(gòu)與探針式蜜罐相似，也是具備探針節(jié)點，不過多了一個流量牽引裝置，該裝置會將探針接收到的流量轉(zhuǎn)發(fā)，將攻擊流量牽引到蜜罐，蜜罐再對攻擊行為進行響應，并報警。該類型的蜜罐可以相對有效地減緩攻擊者的攻擊進度[4-5]。

1.2 攻擊溯源技術(shù)

由于網(wǎng)絡的特殊性，遭受網(wǎng)絡攻擊后，信息系統(tǒng)或網(wǎng)絡的維護和管理人員很難對攻擊者進行溯源，通常只能獲取發(fā)起攻擊的IP地址，但如果攻擊者使用移動IP地址或使用跳板則很難通過IP地址信息溯源到攻擊者的詳細信息。攻擊溯源技術(shù)是綜合運用多種方法和技術(shù)主動溯源攻擊，定位攻擊者的位置，獲取網(wǎng)絡攻擊者身份的一種反攻擊技術(shù)。攻擊溯源技術(shù)結(jié)合威脅情報技術(shù)，可以有針對性地減緩攻擊進度以及對抗攻擊行為；在遭受網(wǎng)絡攻擊后，也可以利用攻擊溯源技術(shù)獲取攻擊者信息，協(xié)助安全人員打擊網(wǎng)絡攻擊者，使其受到應有的懲罰。

1.3 蜜標溯源技術(shù)

蜜標是一種通過代碼捆綁技術(shù)嵌入特定代碼或數(shù)據(jù)的文件，通常是可執(zhí)行文件，有的蜜標也被偽裝成其他格式的文件。蜜標溯源技術(shù)就是在攻擊路徑上構(gòu)造場景誘使攻擊者下載蜜標文件，當攻擊者在本地打開蜜標文件后，蜜標文件會執(zhí)行嵌入的特定代碼，收集并回傳攻擊者主機上的相關信息到溯源服務器，以此實現(xiàn)溯源。

1.4 軟件捆綁技術(shù)

軟件捆綁技術(shù)是指將多個文件捆綁成一個可執(zhí)行文件，當運行這個可執(zhí)行文件時，被捆綁的其他文件也會被同時執(zhí)行。目前主流的捆綁技術(shù)有疊加捆綁、頭文件捆綁和漏洞利用捆綁。

疊加捆綁是最常見的一種捆綁技術(shù)，比較容易實現(xiàn)，技術(shù)含量較低。該技術(shù)將一個正?？蓤?zhí)行程序normal和一個惡意程序venom捆綁成一個可執(zhí)行程序mask，本質(zhì)是把venom的二進制數(shù)據(jù)放在normal的后面，當用戶執(zhí)行mask時，系統(tǒng)會讀取normal的二進制數(shù)據(jù)并執(zhí)行，之后按順序讀取后面的venom的二進制數(shù)據(jù)并執(zhí)行。

對于Windows系統(tǒng)下的可執(zhí)行文件，其PE結(jié)構(gòu)中有一個特殊的區(qū)段，在這個區(qū)段中包含可執(zhí)行文件調(diào)用的資源信息等內(nèi)容，利用函數(shù)可以將可執(zhí)行文件的調(diào)用內(nèi)容替換。頭文件捆綁就是生成一個包含被捆綁文件的頭文件，在頭文件中編寫資源釋放的代碼，然后調(diào)用函數(shù)將捆綁文件加載到頭文件中，實現(xiàn)軟件捆綁。

漏洞利用捆綁是通過word、excel等產(chǎn)品的漏洞，利用漏洞加載惡意代碼并執(zhí)行。

2 基于蜜罐溯源的主動防御技術(shù)

2.1 基于蜜罐溯源的主動防御技術(shù)實現(xiàn)方案

該技術(shù)主要通過Web探針溯源技術(shù)和蜜溯源技術(shù)的結(jié)合實現(xiàn)對于攻擊者的信息溯源，在此做出一個簡易的實現(xiàn)方案。

使用Web探針溯源技術(shù)和蜜標溯源技術(shù)誘捕攻擊者并將攻擊者信息回傳。通過信息視圖查看攻擊者的溯源信息。實現(xiàn)方案總體如圖1所示。

2.2 Web 探針溯源

Web探針溯源技術(shù)通過JavaScript腳本和CSS樣式作為探針，插入到指定網(wǎng)站，Java Script 腳本利用JOSNP漏洞實現(xiàn)獲取信息和回傳信息，CSS樣式實現(xiàn)迷惑和偽裝。當攻擊者訪問插入探針的網(wǎng)站時，CSS樣式制作出偽裝頁面來迷惑攻擊者，減少探針被發(fā)現(xiàn)的概率，同時JavaScript腳本會進行信息竊取并將獲取的信息回傳到服務器，當完成信息回傳后，JavaScript腳本會刷新網(wǎng)頁，清除緩存痕跡。通過該技術(shù)，可以對攻擊者的主機信息，包括硬件信息、軟件信息和網(wǎng)絡信息等進行收集。在Web探針實現(xiàn)溯源的過程中，JOSNP劫持漏洞的利用過程為：攻擊者首先創(chuàng)建了一個惡意網(wǎng)站A，并在其JavaScript代碼中嵌入了一個Script標簽，該標簽試圖從被攻擊的社交網(wǎng)站B獲取JSON數(shù)據(jù)，這些數(shù)據(jù)可能包括用戶的ID、NAME、EMAIL等信息。受害者登錄到存在JSONP劫持漏洞的社交網(wǎng)站B時，受害者被引誘訪問惡意網(wǎng)站A，惡意網(wǎng)站A返回給受害者瀏覽器的響應信息中包含了回調(diào)函數(shù)和向社交網(wǎng)站B請求的Script標簽。隨后受害者瀏覽器解析JS代碼，并將回調(diào)函數(shù)作為參數(shù)請求給社交網(wǎng)站B。社交網(wǎng)站B收到請求后，以JSON格式生成請求需要的數(shù)據(jù)，將其作為回調(diào)函數(shù)的參數(shù)返回給瀏覽器。受害者瀏覽器收到社交網(wǎng)站B返回的JSON數(shù)據(jù)后，執(zhí)行回調(diào)函數(shù)，將JOSN格式的數(shù)據(jù)發(fā)送到惡意網(wǎng)站A，至此攻擊者獲取到受害者在社交網(wǎng)站B上的敏感信息數(shù)據(jù)。

2.3 蜜標溯源

蜜標溯源是利用一個偽裝成普通程序的蜜標程序獲取攻擊者的信息，通過軟件捆綁技術(shù)將具有信息獲取功能的程序與一個可信的普通程序捆綁在一起，利誘攻擊者下載并執(zhí)行，可信程序被運行的同時，具有信息獲取功能的程序也被運行，它會搜集攻擊者主機上有價值的信息，然后回傳到服務器，以此達到溯源。通過該技術(shù)，可以對攻擊者的網(wǎng)絡身份信息進行收集，身份信息包括網(wǎng)絡地址信息、社交網(wǎng)站信息、娛樂網(wǎng)站信息和電商網(wǎng)站信息等[6]。

2.4 偽裝功能

JSONP劫持是一種敏感信息泄露類型的漏洞，原因在于瀏覽器可以通過JONSP技術(shù)實現(xiàn)數(shù)據(jù)跨域訪問，如果A網(wǎng)站存在JSONP劫持漏洞，那么A網(wǎng)站對B網(wǎng)站的JOSNP請求則會直接返回敏感數(shù)據(jù)。由于傳統(tǒng)的利用JSONP劫持漏洞獲取信息的Web探針在運行過程中會有較明顯的請求痕跡，因為利用JSONP劫持漏洞需要批量請求JSONP接口地址，有經(jīng)驗的攻擊者會通過瀏覽器的開發(fā)調(diào)試工具查看瀏覽器的請求記錄，如果發(fā)現(xiàn)在訪問某個網(wǎng)站時，瀏覽器請求了大量無關網(wǎng)址，那么基本可以確定該網(wǎng)站是一個蜜罐網(wǎng)站，并且有Web探針在運行。為了避免攻擊者發(fā)現(xiàn)Web探針，該技術(shù)針對攻擊者的常規(guī)攻擊習慣設計了針對性的偽裝功能。

偽裝功能包含兩個主要的功能：加載動畫和時間認證。加載動畫功能是指攻擊者訪問蜜罐網(wǎng)站，觸發(fā)Web探針時，Web探針會通過CSS樣式文件渲染一個頁面加載中的動畫，覆蓋網(wǎng)站主頁。Web探針在獲取攻擊者信息的時候，加載動畫會一直運轉(zhuǎn)，迷惑攻擊者網(wǎng)站正在加載中，還沒有完全顯示，以拖延攻擊者時間，當Web探針完成信息回傳之后，加載動畫停止，然后刷新主界面，清除掉請求JSONP接口的請求記錄。

時間認證功能是指根據(jù)攻擊者的攻擊習慣，當攻擊者第一次請求某一個網(wǎng)站的時候，由于對該網(wǎng)站不甚了解，會等到網(wǎng)站完全加載出來之后再詳細審查這個網(wǎng)站是否存在某些漏洞。如果懷疑網(wǎng)站可能是具有Web探針的蜜罐網(wǎng)站，就會打開瀏覽器的開發(fā)者調(diào)試功能，刷新網(wǎng)頁，查看該網(wǎng)站的全部請求記錄以確認是不是蜜罐。為了應對攻擊者的刷新確認行為，在探針中設置時間認證功能，該功能可以對攻擊者的請求時間進行記錄，如果第一次訪問或再次訪問的時間超過了五分鐘則觸發(fā)Web探針的JSONP請求功能。

3 技術(shù)實現(xiàn)簡析

該技術(shù)在Web安全防護中能夠依托Web探針溯源和蜜標溯源，誘捕攻擊者訪問或點擊某鏈接，進而搜集攻擊者信息，有效追蹤攻擊者。當搜集足夠多的攻擊者信息后，用戶可以借助溯源信息對攻擊者進行追蹤和溯源，例如社交網(wǎng)站賬號、手機號、IP地址等信息所暴露的個人真實身份和地理位置等，從而定位攻擊者實體。

4 結(jié)束語

從目前傳統(tǒng)Web安全防護技術(shù)存在的問題出發(fā)，本文提出的基于蜜罐溯源技術(shù)以主動防御的視角分析了問題存在的根本原因并引出不同溯源技術(shù)。接著提出基于蜜罐溯源的主動防御技術(shù)，網(wǎng)絡防御方可以通過該技術(shù)確定蜜罐誘導攻擊者的攻擊路徑，獲取攻擊者的個人信息，輔助防守方對攻擊者進行溯源反制，借助溯源信息對攻擊者進行追蹤和溯源定位攻擊者實體，最終通過法律武器依法追究攻擊者責任。