罗宇晓

（浙江广播电视集团传输发射中心，浙江 杭州 310061）

1 蜜罐技术的应用前景

云计算的快速应用以及远程办公方式的普及，直接导致相关单位网络的被攻击面迅速扩大，由此引发单位联网架构出现越来越多的盲点。而被攻击面扩大和监控系统盲点增多的后果是，偷袭成功的网络攻击数量明显上升。网络攻击者利用缺少监控的盲点，闯入相关单位的基础设施，提升攻击力度或横向移动，伺机寻找有价值的信息。而在低成本布局前提下，完全消除监控盲点并不现实，蜜罐技术便是让网络攻击者陷入泥淖，步入陷阱的最佳防御武器。

对于缺乏专业安全团队的中小企业来说，考虑实施安全项目的最重要前提，并非是这个项目是否有效，而是这个项目是否比其他项目更有效，实施成本更低。对于目前的蜜罐系统，虽然部署并不够普及，但是由于具有易于部署、成本较低、弹性强，而且几乎没有误报的重要特点，必将越来越有市场[1]。

2 蜜罐技术的实现

所谓兵不厌诈，欺骗是这个世界上成本最小、收效最大的攻击。使用蜜罐技术的目的，就是用兵不厌诈的思路来围堵这些可恶的入侵者。

蜜罐技术通过部署伪装的凭证、数据库、服务器来引诱攻击者，由于它有着很低的误报率，安全人员可以依据攻击者在蜜罐中的活动，立刻采取诸如阻拦IP地址、隔离感染系统等自动化的缓解措施，还可通过人工智能技术在整个企业环境中建立欺骗网格并放置诱饵，如终端、网络、服务器，甚至是云端[2]。

3 蜜罐技术的应用优势

如今黑客对于企业的攻击，都采用相同的行为模式。他们进入企业内部网络，第一时间就会翻看高管邮箱、查看会员系统，或者进入财务系统寻找财报。也就是说，他们的目标非常明确。根据可靠的信息，从事这类黑产的黑客，进攻的成功率可以达到95%。

在实际应用中，基于行为检测的蜜罐系统几乎零误报，运维人员可以不用疲于面对产品的大量告警日志，与传统安全产品的特征检测相比更高效。一个攻击者常常会犯的错误是，他们通常在攻下了某个终端机器后，还会使用该机器测试是否能连接上另外某一台机器，但在得到确认可以连接的信息后，往往又是用自己的机器去直接连接。这使得蜜罐不仅能获取到攻击者已控制的机器的IP地址等情报，还能得知攻击者真实的地址。

4 关于蜜罐溯源实践

4.1 蜜罐溯源之目的

攻击溯源不仅可以保护本单位在网络攻击中免遭破坏，也能完成对攻击方的调查取证。通过利用蜜罐系统本身的自动化记录及取证的功能，对攻击方所使用的攻击手段和攻击路径进行记录，为安全研究人员提供数据分析的基础数据。利用这些信息，再结合捕获的攻击者所使用的入侵工具，可以对攻击者所利用的安全漏洞进行分析和研判。

4.2 蜜罐溯源思路布局

通过部署蜜罐，完全模拟本单位自有业务系统，对攻击者进行诱捕，伪装服务系统本身内置多种社交账号的溯源工具，当攻击者访问伪装的业务系统或者对缺陷服务进行攻击的时候，溯源工具对攻击者的多种社交账号进行诱骗获取。再使用这些社交账号，进行交叉查询验证，从而确定攻击者的“真实身份”[3]。

在模拟的自有业务系统中，可以嵌入BeEF已编制好的一段javascript代码。浏览器攻击框架（The Browser Exploitation Framework Project，“BeEF”）是当前欧美最流行的Web框架攻击平台。利用跨站脚本攻击（XSS）这个简单的漏洞，一旦攻击者访问蜜罐，BeEF便可以通过这段已编制好的javascript来控制攻击者主机的浏览器，通过浏览器拿到各种信息，同时能够配合安全漏洞检测工具metasploit来进一步渗透攻击者主机，功能相当强大。

图1 蜜罐溯源防守方案图

此防守方案的目的是层层设防、层层迷惑，延长攻击时间，增加攻击成本。

4.3 互联网诱捕系统的搭建

4.3.1 网络规划

首先在互联网核心交换机旁路新建诱捕区，单独划分IP地址段，以保证与内部业务系统网络层无法通信。在重要网段部署蜜罐入口，绑定尽可能多的空闲IP地址并开放迷惑性的端口，尽可能延长攻击者消耗的时间，以此提高攻击成本。同时提供弱点目标吸引攻击者，如低版本中间件、数据库等[4]。

4.3.2 蜜罐部署

蜜罐部署的核心思路就是“仿真”，通过迷惑性的方式，如增加业务系统假分身、隐藏真实业务系统、适当放出漏洞等，提高攻击者的攻击难度，从而保障系统安全。

例如，我们要对一个部署在一台Windows Server服务器上的业务系统进行仿真，则至少需要Web伪装服务、Windows RDP、Windows系统伪装服务组件以及数据库伪装服务组件等。同时，在系统伪装服务组件和数据库伪装服务组件中，还可以放置脱敏脱密的蜜文件或蜜数据，以加强整体业务系统的伪装性。

在外网业务系统的这些Web伪装服务组件中，可放置真实业务系统的前端数据。对于仿真的业务系统，绑定无法被域名猜解工具猜解到的域名，然后发布在互联网上。在后端可配置基于真实业务系统后端服务的伪装服务组件，以提高整体业务系统的仿真度。

为加强蜜罐的迷惑性，来充分模拟已有业务系统的后台登录页面，还需要重新编译高交互页面，并强制触发URL跳转关键字，在正常业务系统中不存在的高风险目录内加入重定向代码，对企图攻击者进行误导引流[5]。

4.3.3 BeEF部署

（1）服务器层面的部署。通过外部云VPS（Virtual Private Server虚拟专用服务器），部署BeEF系统。

（2）BeFF控制代码的部署。在蜜罐中部署的各类应用系统及部分真实的业务系统的敏感页面（如管理后台登录界面，假的敏感信息泄漏页面、黑客字典中的敏感页面等）Web代码中嵌入BeEF的控制代码，来反向渗透并控制攻击者的浏览器以获取攻击者的网络信息。

4.3.4 利用诱捕系统溯源攻击者

4.3.4.1 鉴别攻击者

（1）主动访问蜜罐的IP地址90%都是入侵攻击者的，其余部分是互联网各类爬虫、探针等IP地址，正常用户不会去主动访问蜜罐端口。

（2）通过互联网侧的应用防护设备、全流量威胁感知分析系统采集到的各类攻击者IP地址均可以作为攻击者IP地址。

图2 BeEF管理界面

（3）有访问正常业务不存在的高风险目录行为的IP地址，也可判断为攻击者IP地址，正常用户极少会主动访问不存在的Web目录。

4.3.4.2 获取攻击者虚拟身份信息

（1）访问蜜罐的设备在蜜罐系统后台上线后，我方则开始反向钓鱼，如图3所示，首先尝试通过蜜罐来获取攻击者的虚拟身份信息，如果不能直接抓取到攻击者的真实身份信息，则通过BeEF向攻击者浏览器发送重定向指令，让攻击者的浏览器主动去访问其他能够获取到更多信息的蜜罐系统，例如重定向到百度网盘、163邮箱、腾讯等页面，一旦攻击者浏览器仍保存上述站点的登录信息，则有机会通过蜜罐获取到攻击者上述站点的虚拟身份信息，来开展进一步的攻击溯源。

图3 反向钓鱼流程图

（2）在正常业务系统不存在的目录中嵌入相关代码，将攻击者重定向至蜜罐系统，通过蜜罐及BeEF获取攻击者的虚拟身份信息。

4.3.4.3 虚拟身份信息的溯源

在获取到攻击者的虚拟身份信息后，继续通过搜索引擎、论坛、贴吧、微博等社交平台及社工库尝试分析攻击者的真实身份信息。例如，在一个攻击IP地址（168.224.XXX.XXX）对企业门户和蜜罐系统进行攻击时，蜜罐成功诱导攻击者获取相关信息，截获了攻击者浏览器中的新浪账号昵称“太阳***”，利用外部情报平台和社工库完成对攻击者溯源，比如可以在知乎、微博等平台对该用户进行搜索，或者利用支付宝微信转账的方式获取攻击者信息。如图4所示，在成功获取攻击者的详细真实身份信息后，则完成对攻击者的完整画像。

图4 溯源流程图

在国家相关主管部门组织的2020年大型网络安全实战攻防演习行动中，相关单位作为防守方参与演习，并部署以上蜜罐系统成功溯源了攻击者。钓鱼攻击如今已经成为攻防演练中的一个非常重要的、也很常见的攻击方式，所以对于攻击方来说，厘清溯源的思路，能够让其更好地隐藏自己；防守方也可以依靠猜解攻击者的习惯和攻击手法去进行溯源并反向钓鱼进行反制。对于参与攻防演习的防守方，还应该配置邮件网关、沙箱等物理设备防范钓鱼攻击，同时可以组织内部防范钓鱼攻击培训，进一步提高员工的安全意识。

5 结束语

早期的蜜罐技术主要只应用于被动地收集数据，如今蜜罐技术更注重通过高交互的仿真环境，实现诱捕，甚至溯源反制，达到防御欺骗的效果。这种欺骗防御技术既可以当作网络安全的第一道防线，也可以作为最后一道防线。它既可以检测低级别的扫描探测，也可以检测出高级别的已经渗透到企业网络中的APT（高级可持续威胁攻击）攻击。而基于BeEF框架的蜜罐技术更擅于反制攻击者，易于反向渗透。