秦玉杰

(郑州银行，河南 郑州 450018)

0 引言

2017年5月12日，WannaCry在全球爆发，超过150个国家的20万台计算机遭到感染，造成损失达80亿美元[1]。尽管WannaCry勒索蠕虫病毒大规模爆发已经过去一年，WannaCry疫情依旧严峻，终端安全依然是不少企业的安全的短板之一。如何弥补终端安全管理短板，成为不少政府企业单位亟需解决的问题。本文重点探讨目前内网管理已有的安全措施及不足，分析通过蜜罐捕获勒索蠕虫病毒的利弊，并针对蜜罐本身的局限性，提出终端与蜜罐服务相关联的分布式蜜罐原型，并通过相关实验进行论证，通过此部署方式可以最大化发现内网存在的安全威胁，并有效降低运维成本。

1 内网终端安全现状

目前大多数的政企事业单位在办公电脑上均统一安装杀毒软件或者终端管理软件，但依然存在大量内网用户使用未打补丁的操作系统。而且由于办公区域暂未执行严格网络安全准入策略，存在大量外部移动办公设备进入内网，也成为内网办公安全管理短板。同时近年来出现了越来越多的未知威胁攻击，这类威胁攻击往往存在潜伏性和持续性，并且在攻击的过程中会采用多种未知的攻击手法，杀毒软件并不能在第一时间发现攻击，从而导致内部数据被窃取，造成严重经济及名誉损失等不良后果。

2 研究现状

2.1 蜜罐概述

蜜罐是一项主动防御技术，属于一类安全资源，它没有任何业务上的用途，其价值就是吸引攻击方对它进行非法使用[2]。通过布置一些主机、网络服务或者信息为诱饵，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，在此基础上了解攻击方所使用的工具与方法，推测攻击意图和动机，让运维人员清晰地了解所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

2.2 蜜罐分类

根据蜜罐的交互能力可以分为低交互蜜罐和高交互蜜罐，低交互式蜜罐一般采用模拟或仿真网络服务的方式，为攻击者提供有限的交互，一般只能诱骗自动化的攻击方式；高交互式蜜罐则使用实际系统为攻击者提供更为全面和真实的交互性[3]。在实际部署中，低交互蜜罐部署较为容易，管理成本较低，可以有效捕获企业内部异常网络行为，并在第一时间进行告警；高交互蜜罐需运行真实服务，因此攻击者会与真实系统和真实服务进行交互，可以用来捕捉有效攻击及恶意程序样本，由安全运维人员将获取到的样本进行全网标记查杀，然后安全研究人员通过深入逆向分析，获取攻击者具体行为操作，并进行追根溯源。

2.3 蜜罐的部署局限

在蜜罐的实际部署当中，往往存在蜜罐部署规模与部署成本的矛盾，尤其是针对办公区域，一般企业的终端的数量就数以千计甚至更多。而且办公网络会根据楼层区域划分不同的VLAN，要想最快发现威胁、响应威胁，必须将蜜罐尽可能地覆盖到所有网段。如果直接部署多台蜜罐，需要投入大量主机系统资源放置在办公网络中，部署成本难以承受，同时需要安排相应人力对蜜罐进行维护及管理，管理成本非常庞大。

3 基于分布式蜜罐的监测方法

3.1 概述

针对蜜罐在办公环境存在的局限性，本文提出了一种基于终端代理和分布式管理的监测方法，充分利用普通办公终端的网络资源和系统资源来降低蜜罐部署及管理成本，并达到感知内网异常行为威胁及病毒样本收集的目的。

首先在办公网络中挑选一定数量办公电脑作为蜜罐的服务代理，通过对此类办公电脑的特定端口流量转发至蜜罐服务器，实现内网网络通信信息采集。借助办公电脑的正常工作端口及指纹信息，攻击者不能有效区分办公电脑或蜜罐主机，从而扩大了蜜罐服务器的数据捕获范围。运维人员可以根据捕获到的样本，分析相关特征并提交到病毒服务器，进行全网查杀。同时根据日志情况通过分析定位，找到传播病毒的主机进行隔离修复。

根据实际的应用情况，该监测系统至少应具备流量转发模块、日志模块以及蜜罐服务区。

3.2 流量转发模块

端口映射是将一台主机的IP地址的某个端口映射到另外一个IP地址的某个端口上[4]，当用户访问设置端口映射的主机对应端口时，该主机会自动将请求转发到被映射主机特定端口上。基于这种端口映射技术，可以在日常终端上设定转发服务，将特定端口的访问流量转发至蜜罐服务器，例如可以设定转发勒索蠕虫病毒利用的445端口。通过设定流量转发，既可以有效保护运行服务的终端主机，又可以使蜜罐服务器捕获内网中的异常网络流量。

3.3 日志模块

因为选定作为流量转发的办公电脑已关闭正常的445相关文件共享服务，故所有试图访问办公电脑445的请求可视为异常请求。可在进行流量转发的同时，对该访问请求进行日志记录，根据日志记录的源地址信息可以快速定位可疑的勒索蠕虫病毒传播源。

3.4 蜜罐服务器

为有效捕获恶意脚本及相关Payload，应部署基于Windows环境的高交互蜜罐。在具备全程行为日志记录能力基础上，需加强自身的健壮性，同时与外界建立安全隔离。可以通过安装还原软件增加系统还原保护机制，并注意合理设置系统防火墙，只允许入站动作，禁止出站动作，防止蜜罐服务器中毒后向外部传播勒索蠕虫病毒。

3.5 整体部署架构

根据上文对分布式蜜罐不同模块的介绍，整体的部署情况如图1所示，在办公环境中选取部分办公终端安装代理服务，实现对特定端口流量进行转发。根据终端代理规模部署多台虚拟蜜罐服务，用于接收蜜罐代理终端转发的流量，针对攻击行为进行告警及记录，接收恶意软件样本进行后期病毒行为分析。办公终端将网络日志通过日志模块发送至日志服务器，日志汇总服务器对蜜罐日志及网络异常流量日志进行统一分析汇总。

图1 分布式蜜罐部署图

4 功能测试

4.1 环境介绍

为验证实现效果，在此搭建四台虚拟机作为简易测试环境，虚拟机A运行Kali Linux，IP地址为192.168.126.135，负责模拟WannaCry勒索蠕虫病毒攻击；虚拟机B运行Windows 7，IP地址为192.168.126.136，开启特定端口流量转发及日志告警，作为蜜罐代理终端；虚拟机C运行未进行安全加固的Windows 7，IP地址为192.168.126.167，安装还原软件及安全监测软件，作为蜜罐服务器；虚拟机D运行Ubuntu Linux，IP地址为192.168.126.165，部署ELK日志分析系统，用以接收蜜罐代理终端发送的网络流量日志。

4.2 代理终端配置

在虚拟机B上关闭原有的139、445端口及相应服务，通过执行netsh命令将端口139及445流量转发至虚拟机C(192.168.126.167)，具体参见图2。

图2 配置终端流量转发

在终端上部署Packetbeat对特定端口网络流量进行记录，Packetbeat是一款轻量型网络数据包分析器，能够实时记录网络通信情况，并将数据发送至Logstash或Elasticsearch[5]。

4.3 模拟攻击

在虚拟机A上通过Metasploit漏洞利用框架，向虚拟机B(192.168.126.136)发起攻击，虚拟机A通过服务信息判断虚拟机B为Windows 7并发送EternalBlue利用代码，最终成功获得系统权限。此攻击并未对虚拟机B造成实际影响，所有攻击流量被转移到了蜜罐服务器虚拟机C，在虚拟机C上安装的安全防护软件可以看到攻击告警，并识别攻击方式为EternalBlue，如图3所示。同时蜜罐服务器可以接收病毒样本，后续可对病毒行为进行详细分析，并通过杀毒软件下发病毒特征，开展全网病毒专项查杀。另外通过蜜罐服务器上配置使用的还原技术和防火墙技术，即使蜜罐服务器被勒索蠕虫病毒感染，也可快速进行恢复，不会进行二次传播。

通过日志服务器，发现该代理终端在对应时间点存在异常端口访问记录，日志包含可疑目标的IP地址信息、源端口信息以及mac地址等网络信息，具体参见图4。

4.4 测试结果

经过简单的模拟验证，代理终端可以有效地将特定端口的攻击行为转移至蜜罐服务器，同时对相应网络连接行为进行日志记录。代理终端与蜜罐服务器结合使用，具备蜜罐主要功能，可以发现内网中异常行为攻击，并进行日志记录，同时可以收集攻击行为和病毒样本，可以代替蜜罐服务器在内网中大规模部署。因为终端部署可以直接利用办公电脑现有资源，仅维护后台数台蜜罐服务器及日志服务器即可感知内网威胁，通过此方式部署，可以减轻蜜罐服务器在内网中部署的硬件成本及运维成本。

图3 蜜罐识别EternalBlue攻击

图4 终端端口访问日志记录

5 结论

随着勒索蠕虫病毒的不断演变，终端安全已经成为企业安全中非常重要的一个部分，通过部署蜜罐可以发现未知威胁，但由于部署效果与部署规模密切相关，而部署及管理的成本是运维人员不可忽视的问题。本文针对蜜罐部署成本及管理成本过高的问题，提出了一种基于终端代理蜜罐服务的勒索蠕虫病毒监测方法，通过在终端上部署代理进行端口映射，可以将蜜罐作为一种服务代理到办公网络的各个网段之间，达到对内网威胁感知覆盖的效果。通过实验结果显示，本方法可以有效发现攻击行为，并进行日志记录，同时该方法适用于不同的后端蜜罐服务。