镜面迷局｜让攻击者看不清

长亭科技先战而后师，凭借硬核实战能力，在动态对抗中研究攻击者最新、最高频攻击方式与路径，针对实战输出欺骗伪装专题私货，助力防守者4项战力升级，让攻击者不仅无法知彼，更无法知己，迷糊到底。

 

 

战力一

 

 

策略布防，溯源反制显威力

 

 

 

成功溯源并反制攻击者，是防守方最为过瘾的时刻之一。“授之以鱼，不如授之以渔“，防守方了解最新、最高频溯源和反制方式的实战策略布防原理，并将其结合实际业务环境落地，溯源反制威力将不可限量。

 

溯源

 

策略布防原理解析

 

 

 

浏览器账号溯源

原理：攻击者使用浏览器访问蜜罐页面时，利用漏洞获取其社交网站账号信息。

 

Webshell 溯源

原理：在蜜罐某目录中随机内置 Webshell，让攻击者误以为网站被人留下过后门，吸引攻击者使用 Webshell 管理工具连接，内部监控行为并获取攻击者的操作指令。

 

渗透测试工具漏洞溯源

原理：Burp Suite 是用于攻击 Web 应用程序的集成平台，包含了许多渗透工具。攻击者开启 Burp Suite工具并访问 Web 蜜罐时，蜜罐可识别 Burp Suite 特征，并利用Burp Suite 漏洞获取攻击者真实 IP。

 

Webrtc 漏洞溯源真实 IP

原理：Webrtc 是一个支持网页浏览器进行实时语音对话或视频对话的 API，在攻击者使用浏览器访问蜜罐页面时，利用 Webrtc 的已知漏洞可强制浏览器泄漏真实 IP。

 

 

反制

 

策略布防原理解析

 

 

客户端反制

原理：攻击者喜欢利用 VPN、登录控件等客户端漏洞突破防线，可以提前在客户端中植入反制程序，在攻击者安装客户端过程中，将反制程序植入攻击者 PC，完成对攻击者 PC 的反控。

 

MySQL 客户端反制

原理：MySQL 是网站常用的数据库类型之一，利用 MySQL 蜜罐吸引攻击者使用数据库管理工具连接，在连接成功后，可利用管理工具漏洞自动获取攻击者 PC 内的文件。

 

Git 反制

原理：在 Git 项目中植入反制程序，并放置到蜜罐中，攻击者扫描网站是否存在代码泄露时，可能发现 Git 项目并复制到本地查看，在查看过程中，自动将反制程序植入攻击者 PC，并获取攻击者 PC 内的关键信息。

 

某扫描器反制

原理：可利用攻击者常用某款扫描器客户端的漏洞，反制获取攻击者敏感信息。

 

浏览器爬虫反制

原理：大多数网站扫描器里内置用于爬虫的浏览器内核，攻击者使用存在缺陷的扫描器工具扫描蜜罐时，蜜罐即可获取攻击者的敏感信息。

 

溯源反制效果放送

 

攻击者画像报告

利用以上原理，企业根据业务实际情况策略驱动部署蜜罐，可获取 MySQL 反制、Git 反制、Burp 溯源等特殊溯源反制方式获取的攻击者信息，和通用方式获得信息一并，通过伪装欺骗管理平台完整绘制出攻击者画像，供安全运维人员高效控制风险。

 

 

 

 

 

战力二

 

 

联动扩大诱捕范围，诱捕效果更佳

 

 

 

 

联动WAF

 

攻击者晕头转向

 

欺骗伪装系统与 WAF 的联动，攻击流量将通过3种方式重定向至蜜罐中，更大范围内实现诱捕。

 

 图：谛听（D-Sensor）与雷池（SafeLine）联动

1.当攻击者访问非预期路径资源时，可以使用 WAF【如：雷池（SafeLine）下一代Web应用防火墙，效果最优】配置重定向规则，将这部分流量通过浏览器重定向到谛听（D-Sensor）蜜罐中，由谛听（D-Sensor）完成与攻击者的交互和身份溯源，并将捕获的信息在谛听（D-Sensor）上展示。

2.当攻击者对某个站点发起攻击时，WAF 识别并对其进行拦截，返回403页面，在此页面上也可加载谛听（D-Sensor）的溯源脚本，完成身份溯源后，将捕获的信息在谛听（D-Sensor）上展示。

3.使用 WAF 暴露其防护站点的虚假路径，当攻击者访问此路径时，直接转发到谛听（D-Sensor）蜜罐中，蜜罐完成与攻击者的交互和身份溯源，并将捕获的信息在谛听（D-Sensor）上展示。

 

 

联动主机安全产品

 

高交互蜜罐内网安全神器

 

图：谛听（D-Sensor）与牧云（CloudWalker）联动

高交互蜜罐与主机安全产品联动，为内网核心资产增强防护力。主机安全产品【如：牧云（CloudWalker）主机安全管理平台，效果更佳】可以为探针下发策略，比如攻击80端口由牧云检测，攻击8080端口可以转发到微蜜罐，攻击8081端口可以转发给谛听（D-Sensor）蜜罐，由谛听（D-Sensor）蜜罐完成与攻击者的交互和身份溯源，并将捕获的信息在谛听（D-Sensor）上展示。

 

 

联动态感平台

 

动态一览无余

 

谛听（D-Sensor）蜜罐提供了高可信的告警，有利于和安全日志关联，提升告警准确率，形成“蜜-网-端”主动态势感知。态势感知【如：万象（Cosmos）安全分析与管理平台，效果更佳】进一步完善攻击者画像并通过 SOAR 敏捷响应处置，实现威胁的统一分析和可视化展示，完成更高效闭环处理。

 

图：谛听（D-Sensor）与万象（COSMOS）联动

 

 

战力三

 

 

方案创新 ，大规模资产欺骗伪装无忧

 

 

 

如何保证更广的覆盖度，是大规模企业的客户对伪装欺骗能力主要关注点。

 

 

 

以最少的资源解决欺骗节点覆盖度问题，长亭谛听（D-Sensor）“大探针”内置多个网口，可同时接入多个网络区域。其单个网口可配置多个 VLAN 和多个 IP，通过 Trunk 模式将其接入到交换机上，可以在一个网络区域内实现多个 IP 和多个蜜罐绑定，在节约资源、成本的同时部署更多的伪装欺骗节点，迅速扩大欺骗范围，实现快速威胁感知和诱捕。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！