freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

利用观安魅影进行安全攻防演习
2020-07-31 15:50:58

观安信息魅影威胁监测系统是基于欺骗防御技术的主动防御系统,通过设计好陷阱并引诱攻击者上钩,从而精确的感知攻击者行为,收集和捕获攻击行为,方便管理员做出及时的安全响应。主要用于保护企业中容易被黑客攻击的业务系统,比如用户数据、项目数据等敏感信息的业务环境。第一时间感知到威胁事件的发生,掌握安全事件的主动权,并能迅速进行应急响应,控制和降低企业安全风险。本文将介绍某运营商客户利用魅影应对攻防演习的一次经历。

部署方式

部署前与客户经过讨论,决定在内网区域与DMZ区域各部署若干节点,DMZ区域部分节点会映射到外网。为提高蜜罐仿真程度,上述两区域的节点仿真策略也分为两部分,内网区域的节点主要暴露windows类服务及其端口,DMZ区域主要映射HTTP服务及其端口,由此攻击者将难以区分真实资产与蜜罐资产。诱捕节点映射的外网IP是客户业务IP段中的一个,相对容易带给攻击者一种假象:“该IP地址是我通过信息收集工作收集到的,它是客户真实资产”,由此攻击者更容易进入到我们预置的陷阱中。

主要成效

日前,在该运营商客户部署的魅影已初见成效,魅影诱捕节点部署位置位于该运营商DMZ区域与内网区域,经发现其威胁告警主要存在于DMZ区域,主要的攻击方式为POST提交,达到800+次,对应IP 10+,通过日志判断主要为手工渗透,并使用漏洞利用工具进行攻击。同时发现相关威胁源IP 10+,其中struts2漏洞利用20+次,webshell上传10+次,通过对相应IP攻击源画像的判断分析,该IP攻击链为:信息收集àC段存活主机扫描à端口探测àWEB访问àstruts2漏洞利用。

攻击流程图

       发现告警后防守方通过及时封堵相应IP进行了处理,阻断了该恶意IP的后续渗透。

溯源信息

       此外,我方针对一个源IP获取到攻击者的百度账号信息,通过该账号可以在网络中找到蛛丝马迹,最终定位到其所就读的学校。

根据百度用户名搜索

总结

         近年来,企业的安全攻防演练越来越常态化,每个防守方都想掌握演练主动权,在众多的安全产品中,蜜罐无疑是最适合的一种,其低侵入式部署以及低误报率都能有效提高防守方工作效率,而蜜罐优异的仿真能力能吸引潜在的攻击者主动”暴露”,同时部署的溯源蜜罐更能对攻击者形成威慑,帮助防守方掌握主动权。在可预见的未来,蜜罐一定会成为攻防对抗中一个绕不开的角色。

# 攻防演练 # 蜜罐 # 欺骗防御
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者