蓝队ATA之盗梦空间

造梦师可以随意布置各种各样奇幻梦境,翻天覆地无所不能。想一想,如果蓝队就是一个造梦师,你本来就在自己的地盘无所不能,你会怎么造梦呢?

读文前先说明下,这个专栏的文章可能会比较碎片化,专注于红蓝对抗的话题,大部分会偏科普,大家可以不用过于抠技术细节。总之记住一句话攻防无极限,永远不要进入鄙视链,大家都是井中蛙,只是各自的井不同。

这一篇咱们来继续说蓝队的ATAAdvanced Threat Analytics 高级威胁分析),上篇说到了蓝队主动下桩,这篇开始讲更高端一点的ATA。在红蓝对抗中蓝队是守方是主人,红方是在入侵蓝队的地盘,作为主人,在自己的地盘是有绝对控制权的,这就让我想到一个电影盗梦空间,看过电影的同学应该知道,造梦师可以随意布置各种各样奇幻梦境,翻天覆地无所不能。想一想,如果蓝队就是一个造梦师,你本来就在自己的地盘无所不能,你会怎么造梦呢?

timg.jpg

这个答案电影其实已经告诉我们了,电影中描叙了人的梦共有7层,每个梦环环相扣,你从一个梦中醒来并没有回到现实,可能还停留在不知道哪一层的梦中,而男主角的妻子就是分不清梦境和现实,最后精神分裂自杀的。同理蓝队也可以在主场布置这样的梦境,布置梦境这个在技术上怎么实现呢,糙一点说就是蜜罐,通俗文雅一点说是攻击欺骗,最后高大上一点说就是拟态防御。开个玩笑,拟态防御的思路和概念还是很牛的,如果你觉得它很浅显,实际上是你并没有理解它。

首先拟态防御是一种主动防御行为,蜜罐并不新鲜,门子在这个怎么主动切换梦境上面,比如蓝队通过下桩感知到红队的攻击,立马把红队切到蜜罐沙箱,让红队玩的是一个“梦境”,迷潭深陷其中而不可自拔,你说牛B不牛B!

如何主动给红队切梦境,类似的产品其实已经商业化了,比如我好友云舒所创立的默安科技公司有一个代表产品叫幻盾,这类产品可以通过感知异常行为,将攻击流量引入蜜罐,而进一步的感知、发现和阻断攻击者。不过相同的竞品国外也很多,如MazeRunner,下图是MazeRunner的一个简单架构图,内网有一台MazeRunner,打个比方它就是蓝队的造梦机,可以随意造出和真实机器无二的蜜罐机。

3B6819D9-EE21-46b0-92B1-420DD9E3F841_lx.png


MazeRunner的蜜罐机模拟了可能被红队攻击的所有服务和系统,红队如果攻击这些服务和系统,一举一动都会被监控,比如下图中列出的代码执行,SSH端口连接,RDP端口链接,OpenVPN端口连接,身份凭证的使用,文件访问,HTTP请求,SSH转发,RDP转发,OpenVPN转发等等…

微信截图_20170614170727.jpg


梦境除了在虚拟服务和系统这一层,还能在软件这一层做,现在移动操作系统的所有app都有自己的独立的空间,是一个隔离的沙盒环境,需要什么权限都要和系统申请,老的操作系统由于历史原因无法贯彻执行这一软件安全架构,只能对一些重要程序加入沙盒,比如浏览器,办公软件等。借用一张华为的图(此图和欺骗攻击无关),假如红队的先期渗透行为使用的是文档类的漏洞和邮件钓鱼等,蓝队完全可以针对这些重要的攻击入口软件加入定制沙盒,让恶意行为在沙盒中虚拟执行,进一步监控红队的恶意行为。

firehunter6300-1.jpg

再举一个和梦境相关的陀螺例子,我们知道每个造梦师都有自己独特的发现梦境的方法,主角的方法是转陀螺,陀螺不停即为梦境。最近闹得风风火火的wannacry想哭勒索蠕虫,在程序初始加载前有个诡异的行为,它会请求一个不存在的域名,如果域名真的存在就不进入下面的感染和勒索流程,个人猜想这是一次探查梦境的行为,一些离线的沙盒检测环境,为了能够让病毒跑出完整的行为,会模拟出连线的网络环境,比如模拟响应DNS请求、HTTP请求等,这种模拟响应不也是一个造梦的手段么,红队的同学在进入梦境时可不要被这种猥琐小技巧给骗了 :)

微信截图_20170614173944.png

最后总结一下,蓝队可以在自己的主场基于服务和攻击入口软件等布置各种各样的蜜罐和沙盒,利用拟态防御的思路,把红队的攻击主动切进陷阱,让红队无所察觉,以上帝视角掌控红队的一切,这就是蓝队ATA另外一种重要的手段!



2

发表评论

已有 4 条评论

取消
Loading...

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php