作為安全工具的漏洞 - 2，或如何“在活餌上”捕獲 APT

（感謝謝爾蓋·G·布雷斯特（Sergey G. Brester）提出的標題想法 塞布雷斯)

同事們，本文的目的是分享基於欺騙技術的新型IDS解決方案長達一年的測試運行經驗。

為了保持材料呈現的邏輯連貫性，我認為有必要從前提開始。 那麼，問題是：

1. 有針對性的攻擊是最危險的攻擊類型，儘管它們在威脅總數中所佔的份額很小。
2. 尚未發明出有效的保護週邊的手段（或一套此類手段）。
3. 通常，有針對性的攻擊分幾個階段進行。 突破邊界只是初始階段之一，（你可以向我扔石頭）不會對“受害者”造成太大傷害，當然，除非是 DEoS（破壞服務）攻擊（加密器等） .)。 真正的「痛苦」稍後才開始，當捕獲的資產開始用於旋轉和發展「深度」攻擊時，我們沒有註意到這一點。
4. 由於當攻擊者最終到達攻擊目標（應用程式伺服器、DBMS、資料倉儲、儲存庫、關鍵基礎設施元素）時我們就開始遭受真正的損失，因此資訊安全服務的任務之一就是在攻擊發生之前中斷攻擊，這是合乎邏輯的。這個悲傷的事件。 但要打斷某件事，你必須先了解它。 而且越早越好。
5. 因此，為了成功進行風險管理（即減少針對性攻擊造成的損害），擁有能夠提供最小 TTD（偵測時間 - 從入侵時刻到偵測到攻擊時刻的時間）的工具至關重要。 根據產業和地區的不同，這段期間在美國平均為 99 天，歐洲、中東和非洲地區為 106 天，亞太地區為 172 天（M-Trends 2017、A View From the Front Lines、Mandiant）。
6. 市場提供什麼？
   • 「沙箱」。 另一種預防性控制，遠非理想。 有許多有效的技術可以偵測和繞過沙箱或白名單解決方案。 來自“黑暗面”的傢伙在這裡仍然領先一步。
   • UEBA（行為分析和偏差識別系統）－理論上，可能非常有效。 但是，在我看來，這是在遙遠的將來的某個時候。 在實踐中，這仍然非常昂貴、不可靠，並且需要非常成熟和穩定的 IT 和資訊安全基礎設施，其中已經擁有產生行為分析資料的所有工具。
   • SIEM是一個很好的調查工具，但它無法及時看到並展示一些新的、原創的東西，因為關聯規則與簽名相同。

7. 因此，需要一種工具能夠：
   • 在已經受到損害的周邊條件下成功工作，
   • 無論使用何種工具和漏洞，近乎即時地偵測到成功的攻擊，
   • 不依賴簽名/規則/腳本/策略/設定檔和其他靜態事物，
   • 不需要大量數據及其來源進行分析，
   • 將允許攻擊不被定義為某種風險評分，這是“世界上最好的、專利的、因此封閉的數學”工作的結果，這需要額外的調查，但實際上是一個二元事件——“是的，我們正在受到攻擊”或“不，一切都很好”，
   • 是通用的、高效可擴展的並且可以在任何異質環境中實施，無論使用何種實體和邏輯網路拓撲。

所謂的欺騙解決方案現在正在爭奪這種工具的角色。 也就是說，解決方案基於蜜罐的良好舊概念，但具有完全不同的實現等級。 這個話題現在肯定正在興起。

根據結果 2017年Gartner安全&Risc管理高峰會 欺騙解決方案包含在建議使用的前 3 名策略和工具中。

據報道 2017 年 TAG 網路安全年度報告 欺騙是IDS（入侵偵測系統）解決方案發展的主要方向之一。

後者的一整段 思科 IT 安全狀況報告致力於 SCADA，基於該市場領導者之一 TrapX Security（以色列）的數據，該解決方案已在我們的測試區域運行了一年。

TrapX Deception Grid 可讓您集中計算和操作大規模分散式 IDS，而無需增加許可負載和硬體資源需求。 事實上，TrapX 是一個建構函數，可讓您從現有 IT 基礎架構的元素建立一個大型機制，用於偵測企業範圍內的攻擊，這是一種分散式網路「警報」。

解決方案結構

在我們的實驗室裡，我們不斷研究和測試IT安全領域的各種新產品。 目前，這裡部署了大約 50 個不同的虛擬伺服器，其中包含 TrapX Deception Grid 元件。

那麼，從上到下：

1. TSOC（TrapX安全操作控制台）是系統的大腦。 這是一個中央管理控制台，透過它進行解決方案的配置、部署和所有日常操作。 由於這是一項 Web 服務，因此它可以部署在任何地方 - 外圍、雲端或 MSSP 提供者。
2. TrapX Appliance (TSA) 是一個虛擬伺服器，我們使用中繼連接埠連接到我們想要監控的子網路。 此外，我們所有的網路感測器實際上都「生活」在這裡。

   我們的實驗室部署了一個 TSA (mwsapp1)，但實際上可能有很多。 這在大型網路中可能是必要的，因為分段之間沒有L2 連接（典型的例子是「控股公司和子公司」或「銀行總部和分行」），或者如果網路具有隔離的分段，例如自動化過程控制系統。 在每個這樣的分支/段中，您可以部署自己的 TSA 並將其連接到單一 TSOC，所有資訊都將集中處理。 這種架構可讓您建立分散式監控系統，而無需從根本上重組網路或破壞現有的分段。

   此外，我們也可以透過 TAP/SPAN 向 TSA 提交傳出流量的副本。 如果我們偵測到與已知殭屍網路、命令和控制伺服器或 TOR 會話的連接，我們也會在控制台中收到結果。 網路智慧感測器 (NIS) 負責此工作。 在我們的環境中，這個功能是在防火牆上實現的，所以我們這裡沒有使用它。

3. 應用程式陷阱（完整作業系統）—基於傳統蜜罐的 Windows伺服器數量不多，因為這些伺服器的主要目的是為下一層感測器提供 IT 服務，或偵測可能部署在系統中的業務應用程式所遭受的攻擊。 Windows-星期三。我們的實驗室安裝了一台這樣的伺服器（FOS01）。

   

4. 模擬陷阱是此解決方案的核心元件，它使我們能夠利用單一虛擬機器為攻擊者建立高密度陷阱，並用我們的感測器覆蓋企業網路及其所有VLAN。攻擊者會將這種感測器（或稱為「幽靈主機」）視為真實存在的裝置。 Windows 個人電腦或伺服器 Linux 伺服器或其他我們決定用來顯示它的設備。

   
   
   出於商業目的和好奇心，我們部署了「每種生物一對」—— Windows 各種型號的個人電腦和伺服器 Linux伺服器，ATM c Windows 嵌入式設備、SWIFT Web Access、網路印表機、思科交換器、Axis IP 攝影機、MacBook、PLC 設備，甚至還有一個智慧燈泡。總共 13 台主機。通常，供應商建議此類感測器的部署數量至少佔實際主機總數的 10%。上限取決於可用位址空間。

   非常重要的一點是，每個這樣的主機都不是需要資源和授權的成熟虛擬機器。 這是 TSA 上的一個誘餌、模擬、一個進程，具有一組參數和一個 IP 位址。 因此，即使在一個 TSA 的幫助下，我們也可以使用數百個這樣的虛擬主機來使網路飽和，這些虛擬主機將充當警報系統中的感測器。 正是這項技術使得在任何大型分散式企業中經濟高效地擴展蜜罐概念成為可能。

   從攻擊者的角度來看，這些主機很有吸引力，因為它們包含漏洞並且似乎是相對容易的目標。 攻擊者可以看到這些主機上的服務，並可以與它們互動並使用標準工具和協定（smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus 等）攻擊它們。 但不可能使用這些主機來開發攻擊或運行您自己的程式碼。

5. 這兩種技術（FullOS 和模擬陷阱）的結合使我們能夠獲得很高的統計機率，即攻擊者遲早會遇到我們訊號網路的某些元素。 但我們要怎麼確保這個機率接近100%呢？

   所謂的欺騙令牌進入戰鬥。 感謝他們，我們可以將企業所有現有的 PC 和伺服器納入我們的分散式 IDS 中。 令牌放置在使用者的真實 PC 上。 重要的是要了解令牌不是消耗資源並可能導致衝突的代理。 令牌是被動資訊元素，是攻擊方的一種“麵包屑”，將其引入陷阱。 例如，映射的網路磁碟機、在瀏覽器中為假Web 管理員新增書籤並為他們保存密碼、已儲存的ssh/rdp/winscp 會話、主機檔案中帶有註釋的陷阱、記憶體中儲存的密碼、不存在使用者的憑證、office檔案、開啟將觸發系統等等。 因此，我們將攻擊者置於一個扭曲的環境中，充滿了攻擊向量，這些攻擊向量實際上並不對我們構成威脅，而是相反。 而他也沒有辦法判斷這些資訊哪裡是真的，哪裡是假的。 因此，我們不僅可以確保快速偵測到攻擊，還可以顯著減慢其進程。

建立網路陷阱和設定令牌的範例。 友善的介面，無需手動編輯配置、腳本等。

在我們的環境中，我們已在 FOS01 上配置並部署了多個此類令牌，這些令牌由 FOS01 控制。 Windows Server 2012R2 и тестовом ПК под Windows 7. 這些機器運行遠端桌面協定 (RDP)，我們會定期將它們「掛載」到非軍事區 (DMZ) 中，那裡也部署著我們的一些感測器（模擬陷阱）。這樣一來，我們自然就能持續不斷地接收各種事件資料。

因此，以下是今年的一些快速統計數據：

56 – 記錄的事件，
2 – 偵測到攻擊源主機。

互動式、可點擊的攻擊地圖

同時，該解決方案不會產生某種需要很長時間才能理解的大型日誌或事件來源。 相反，解決方案本身按事件類型對事件進行分類，並允許資訊安全團隊主要關注最危險的事件- 當攻擊者試圖引發控制會話（交互）或當二進制有效負載（感染）出現在我們的流量中時。

在我看來，即使對於具有資訊安全領域基礎知識的用戶來說，有關事件的所有資訊都是可讀的並以易於理解的形式呈現。

大多數記錄的事件都是嘗試掃描我們的主機或單一連線。

或嘗試暴力破解 RDP 密碼

但也有更有趣的案例，特別是當攻擊者「設法」猜測 RDP 密碼並獲得本地網路存取權限時。

攻擊者嘗試使用 psexec 執行程式碼。

攻擊者找到了一個已保存的會話，這使他落入了一個陷阱，該陷阱的形式是： Linux伺服器連線後，立即使用一組預先準備好的指令，嘗試銷毀所有日誌檔案和對應的系統變數。

攻擊者試圖在模仿 SWIFT Web Access 的蜜罐上執行 SQL 注入。

除了這種「自然」攻擊之外，我們還進行了一些自己的測試。 最具啟發性的方法之一是測試網路上網路蠕蟲的偵測時間。 為此，我們使用了 GuardiCore 的工具，稱為 感染猴這是一種可以捕獲的網路蠕蟲 Windows и Linux但卻沒有任何「有效」負載。
我們部署了一個本地指揮中心，在其中一台電腦上啟動了該蠕蟲的第一個實例，並在不到一分半鐘的時間內在 TrapX 控制台中收到了第一個警報。 TTD 為 90 秒，而平均為 106 天…

由於能夠與其他類別的解決方案集成，我們可以從快速檢測威脅轉向自動回應威脅。

例如，與 NAC（網路存取控制）系統或 CarbonBlack 整合將可讓您自動中斷受感染 PC 與網路的連線。

與沙箱整合允許自動提交攻擊涉及的文件進行分析。

麥克菲集成

該解決方案還擁有自己的內建事件關聯繫統。

但我們對其功能並不滿意，因此我們將其與 HP ArcSight 整合。

內建的票務系統可協助全世界應對偵測到的威脅。

由於該解決方案是「從一開始」就滿足政府機構和大型企業部門的需求而開發的，因此它自然地實現了基於角色的存取模型、與AD 的整合、開發的報告和觸發器系統（事件警報）、編排大型控股結構或 MSSP 提供者。

而不是簡歷

如果有這樣一個監控系統，形像地說，它覆蓋了我們的背部，那麼隨著周界的妥協，一切才剛開始。 最重要的是，有真正的機會來處理資訊安全事件，而不是處理其後果。

來源： www.habr.com