洞作为安全工具 – 2，或如何“用活饵”捕捉 APT

（感谢谢尔盖·G·布雷斯特（Sergey G. Brester）提出的标题想法 塞布雷斯)

同事们，本文的目的是分享基于欺骗技术的新型IDS解决方案长达一年的测试运行经验。

为了保持材料呈现的逻辑连贯性，我认为有必要从前提开始。 那么，问题是：

1. 有针对性的攻击是最危险的攻击类型，尽管它们在威胁总数中所占的份额很小。
2. 尚未发明出有效的保护周边的手段（或一套此类手段）。
3. 通常，有针对性的攻击分几个阶段进行。 突破边界只是初始阶段之一，（你可以向我扔石头）不会对“受害者”造成太大伤害，当然，除非是 DEoS（破坏服务）攻击（加密器等） .)。 真正的“痛苦”稍后才开始，当捕获的资产开始用于旋转和发展“深度”攻击时，我们没有注意到这一点。
4. 由于当攻击者最终到达攻击目标（应用程序服务器、DBMS、数据仓库、存储库、关键基础设施元素）时我们就开始遭受真正的损失，因此信息安全服务的任务之一就是在攻击发生之前中断攻击，这是合乎逻辑的。这个悲伤的事件。 但要想打断某件事，你必须先了解它。 而且越早越好。
5. 因此，为了成功进行风险管理（即减少针对性攻击造成的损害），拥有能够提供最小 TTD（检测时间 - 从入侵时刻到检测到攻击时刻的时间）的工具至关重要。 根据行业和地区的不同，这一时期在美国平均为 99 天，欧洲、中东和非洲地区为 106 天，亚太地区为 172 天（M-Trends 2017、A View From the Front Lines、Mandiant）。
6. 市场提供什么？
   • “沙箱”。 另一种预防性控制，远非理想。 有许多有效的技术可以检测和绕过沙箱或白名单解决方案。 来自“黑暗面”的家伙在这里仍然领先一步。
   • UEBA（行为分析和偏差识别系统）——理论上来说，可能非常有效。 但是，在我看来，这是在遥远的将来的某个时候。 在实践中，这仍然非常昂贵、不可靠，并且需要非常成熟和稳定的 IT 和信息安全基础设施，其中已经拥有生成行为分析数据的所有工具。
   • SIEM是一个很好的调查工具，但它无法及时看到并展示一些新的、原创的东西，因为关联规则与签名相同。

7. 因此，需要一种工具能够：
   • 在已经受到损害的周边条件下成功工作，
   • 无论使用何种工具和漏洞，近乎实时地检测到成功的攻击，
   • 不依赖于签名/规则/脚本/策略/配置文件和其他静态事物，
   • 不需要大量数据及其来源进行分析，
   • 将允许攻击不被定义为某种风险评分，这是“世界上最好的、专利的、因此封闭的数学”工作的结果，这需要额外的调查，但实际上是一个二元事件——“是的，我们正在受到攻击”或“不，一切都很好”，
   • 是通用的、高效可扩展的并且可以在任何异构环境中实施，无论使用何种物理和逻辑网络拓扑。

所谓的欺骗解决方案现在正在争夺这种工具的作用。 也就是说，解决方案基于蜜罐的良好旧概念，但具有完全不同的实现级别。 这个话题现在肯定正在兴起。

根据结果 2017年Gartner安全&RISC管理峰会 欺骗解决方案包含在推荐使用的前 3 名策略和工具中。

据报道 2017 年 TAG 网络安全年度报告 欺骗是IDS（入侵检测系统）解决方案发展的主要方向之一。

后者的一整段 思科 IT 安全状况报告致力于 SCADA，基于该市场领导者之一 TrapX Security（以色列）的数据，该解决方案已在我们的测试区域运行了一年。

TrapX Deception Grid 允许您集中计算和操作大规模分布式 IDS，而无需增加许可负载和硬件资源要求。 事实上，TrapX 是一个构造函数，允许您从现有 IT 基础设施的元素创建一个大型机制，用于检测企业范围内的攻击，这是一种分布式网络“警报”。

解决方案结构

在我们的实验室里，我们不断研究和测试IT安全领域的各种新产品。 目前，这里部署了大约 50 个不同的虚拟服务器，其中包括 TrapX Deception Grid 组件。

那么，从上到下：

1. TSOC（TrapX安全操作控制台）是系统的大脑。 这是中央管理控制台，通过它进行解决方案的配置、部署和所有日常操作。 由于这是一项 Web 服务，因此它可以部署在任何地方 - 外围、云中或 MSSP 提供商处。
2. TrapX Appliance (TSA) 是一个虚拟服务器，我们使用中继端口连接到我们想要监控的子网。 此外，我们所有的网络传感器实际上都“生活”在这里。

   我们的实验室部署了一个 TSA (mwsapp1)，但实际上可能有很多。 这在大型网络中可能是必要的，因为分段之间没有 L2 连接（典型的例子是“控股公司和子公司”或“银行总部和分行”），或者如果网络具有隔离的分段，例如自动化过程控制系统。 在每个这样的分支/段中，您可以部署自己的 TSA 并将其连接到单个 TSOC，所有信息都将在其中集中处理。 这种架构允许您构建分布式监控系统，而无需从根本上重组网络或破坏现有的分段。

   此外，我们还可以通过 TAP/SPAN 向 TSA 提交传出流量的副本。 如果我们检测到与已知僵尸网络、命令和控制服务器或 TOR 会话的连接，我们也会在控制台中收到结果。 网络智能传感器 (NIS) 负责此工作。 在我们的环境中，这个功能是在防火墙上实现的，所以我们这里没有使用它。

3. 应用程序陷阱（完整操作系统）——基于 Windows 服务器的传统蜜罐。 您不需要很多服务器，因为这些服务器的主要目的是为下一层传感器提供 IT 服务或检测对可能部署在 Windows 环境中的业务应用程序的攻击。 我们的实验室安装了一台这样的服务器（FOS01）

   

4. 模拟陷阱是该解决方案的主要组成部分，它允许我们使用一个虚拟机为攻击者创建一个非常密集的“雷区”，并用我们的传感器饱和企业网络及其所有 VLAN。 攻击者将这样的传感器或虚拟主机视为真正的 Windows PC 或服务器、Linux 服务器或我们决定向他展示的其他设备。

   
   
   为了业务的利益和好奇心，我们部署了“各有一对”——各种版本的 Windows PC 和服务器、Linux 服务器、嵌入 Windows 的 ATM、SWIFT Web Access、网络打印机、Cisco交换机、安讯士 IP 摄像机、MacBook、PLC 设备，甚至智能灯泡。 共有13位主持人。 一般来说，供应商建议部署此类传感器的数量至少为真实主机数量的 10%。 顶栏是可用的地址空间。

   非常重要的一点是，每个这样的主机都不是需要资源和许可证的成熟虚拟机。 这是 TSA 上的一个诱饵、模拟、一个进程，具有一组参数和一个 IP 地址。 因此，即使是在一个 TSA 的帮助下，我们也可以用数百个这样的虚拟主机来使网络饱和，这些虚拟主机将充当警报系统中的传感器。 正是这项技术使得在任何大型分布式企业中经济高效地扩展蜜罐概念成为可能。

   从攻击者的角度来看，这些主机很有吸引力，因为它们包含漏洞并且似乎是相对容易的目标。 攻击者可以看到这些主机上的服务，并可以与它们交互并使用标准工具和协议（smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus 等）攻击它们。 但不可能使用这些主机来开发攻击或运行您自己的代码。

5. 这两种技术（FullOS 和模拟陷阱）的结合使我们能够获得很高的统计概率，即攻击者迟早会遇到我们信号网络的某些元素。 但我们怎样才能确保这个概率接近100%呢？

   所谓的欺骗令牌进入战斗。 感谢他们，我们可以将企业所有现有的 PC 和服务器纳入我们的分布式 IDS 中。 令牌放置在用户的真实 PC 上。 重要的是要了解令牌不是消耗资源并可能导致冲突的代理。 令牌是被动信息元素，是攻击方的一种“面包屑”，将其引入陷阱。 例如，映射的网络驱动器、在浏览器中为假 Web 管理员添加书签并为其保存密码、保存的 ssh/rdp/winscp 会话、主机文件中带有注释的陷阱、内存中保存的密码、不存在用户的凭据、office文件、打开将触发系统等等。 因此，我们将攻击者置于一个扭曲的环境中，充满了攻击向量，这些攻击向量实际上并不对我们构成威胁，而是相反。 而他也没有办法判断这些信息哪里是真的，哪里是假的。 因此，我们不仅可以确保快速检测到攻击，还可以显着减慢其进程。

创建网络陷阱和设置令牌的示例。 友好的界面，无需手动编辑配置、脚本等。

在我们的环境中，我们在运行 Windows Server 01R2012 的 FOS2 和运行 Windows 7 的测试 PC 上配置并放置了许多此类令牌。RDP 正在这些计算机上运行，​​我们定期将它们“挂”在 DMZ 中，我们的许多传感器都在其中（模拟陷阱）也会显示。 因此，我们自然会遇到源源不断的事件。

因此，以下是今年的一些快速统计数据：

56 – 记录的事件，
2 – 检测到攻击源主机。

交互式、可点击的攻击地图

同时，该解决方案不会生成某种需要很长时间才能理解的大型日志或事件源。 相反，解决方案本身按事件类型对事件进行分类，并允许信息安全团队主要关注最危险的事件 - 当攻击者试图引发控制会话（交互）或当二进制有效负载（感染）出现在我们的流量中时。

在我看来，即使对于具有信息安全领域基础知识的用户来说，有关事件的所有信息都是可读的并以易于理解的形式呈现。

大多数记录的事件都是尝试扫描我们的主机或单个连接。

或者尝试暴力破解 RDP 密码

但也有更有趣的案例，特别是当攻击者“设法”猜测 RDP 密码并获得本地网络访问权限时。

攻击者尝试使用 psexec 执行代码。

攻击者发现了一个已保存的会话，这使他陷入了 Linux 服务器形式的陷阱。 连接后，它立即使用一组预先准备好的命令尝试销毁所有日志文件和相应的系统变量。

攻击者试图在模仿 SWIFT Web Access 的蜜罐上执行 SQL 注入。

除了这种“自然”攻击之外，我们还进行了一些自己的测试。 最有启发性的方法之一是测试网络上网络蠕虫的检测时间。 为此，我们使用了 GuardiCore 的一个工具，称为 感染猴。 这是一种网络蠕虫，可以劫持 Windows 和 Linux，但没有任何“有效负载”。
我们部署了一个本地指挥中心，在其中一台计算机上启动了该蠕虫的第一个实例，并在不到一分半钟的时间内在 TrapX 控制台中收到了第一个警报。 TTD 为 90 秒，而平均为 106 天……

由于能够与其他类别的解决方案集成，我们可以从快速检测威胁转向自动响应威胁。

例如，与 NAC（网络访问控制）系统或 CarbonBlack 集成将允许您自动断开受感染 PC 与网络的连接。

与沙箱集成允许自动提交攻击涉及的文件进行分析。

迈克菲集成

该解决方案还拥有自己的内置事件关联系统。

但我们对其功能并不满意，因此我们将其与 HP ArcSight 集成。

内置的票务系统可帮助全世界应对检测到的威胁。

由于该解决方案是“从一开始”就满足政府机构和大型企业部门的需求而开发的，因此它自然地实现了基于角色的访问模型、与 AD 的集成、开发的报告和触发器系统（事件警报）、编排大型控股结构或 MSSP 提供商。

而不是简历

如果有这样一个监控系统，形象地说，它覆盖了我们的背部，那么随着周界的妥协，一切才刚刚开始。 最重要的是，有真正的机会来处理信息安全事件，而不是处理其后果。

来源： habr.com