主動防護技術之蜜罐

    持續3周的HW總算是結束了，HW行動中紅藍雙方使出渾身解數，開展***與反***的終極大戰。做爲一名藍方人員，不只看到了傳統防護技術在此次HW中的精彩表現，更感覺到了主動防護技術在HW中發揮的巨大做用，在我看來最典型的莫過於蜜罐了，紅方人員誤入蜜罐，被藍方人員捕捉到並進行身份畫像，那咱們就來聊聊蜜罐爲什麼這麼diao。

                                                            從被動防護到主動防護
    一直以來，被動防護是經過面向已知特徵的威脅，基於特徵庫精確匹配來發現可疑行爲，將目標程序與特徵庫進行逐一比對，實現對異常行爲進行監控和阻斷，這些特徵庫是創建在已經發生的基礎之上，這就很好的解釋了爲何被動防護是一種「過後」的行爲。典型的技術有防火牆、***檢測等。可是對於未知的***如0day，依賴於特徵庫匹配的防護是沒法有效應對的，爲了應對這種***不對等的格局，主動防護技術出現了，典型的技術有網絡空間擬態防護等。
                                                             引入主動防護策略
    隨着***技術的進一步提升，愈來愈多的方法能夠繞過傳統的被動防護技術來對目標系統發動***，傳統的被動防護技術也引進了主動防護策略，如各大廠商推出的智能防火牆，思科的下一代防火牆、山石網科的智能防火牆，將人工智能技術引入防火牆來主動發現惡意行爲。除此以外，也有新型的主動防護技術如沙箱、蜜罐等相繼出現，進一步彌補了***不對稱的局面。這類技術主要解決「已知的未知威脅」，例如，蜜罐經過構建假裝的業務主動引誘***者，從而捕獲行爲。在HW期間，就存在將蜜罐假裝成某服的×××映射在外網引誘***者***，從而迷惑***者，經過捕獲IP進行封堵來提升***者的時間成本，也可對***者進行溯源，可是蜜罐技術仍是沒法應對0day。

                                                 沙箱技術
    沙箱技術源於軟件錯誤隔離技術（software-based fault isolation,SFI）。SFI主要思想是隔離。沙箱經過採用虛擬化等技術構造一個隔離的運行環境，而且爲其中運行的程序提供基本的計算資源抽象，經過對目標程序進行檢測分析，準確發現程序中的惡意代碼等，進而達到保護宿主機的目的。如默安的架構採用kvm，長亭採用的是docker。

    因爲沙箱具備隔離性，惡意程序不會影響到沙箱隔離外的系統，並且沙箱還具備檢測分析的功能，來分析程序是否爲惡意程序。可是還存在隱患，沙箱只監控常見的操做系統應用接口程序，使得一些惡意代碼可以輕鬆繞過從而***宿主外的環境。基於虛擬機的沙箱爲不可信資源提供了虛擬化的運行環境，保證原功能的同時提供了相應的安全防禦，對宿主機不會形成影響。基於虛擬機的沙箱採用虛擬化和惡意行爲檢測兩種技術，惡意行爲檢測技術方法採用了特徵碼檢測法和行爲檢測法來進行檢測，特徵碼檢測對檢測0day無能爲力，行爲檢測能夠檢測0day，但誤報率高。

蜜罐技術
    蜜罐技術起源於20世紀90年代，它經過部署一套模擬真實的網絡系統來引誘***者***，進而在預設的環境中對***行爲進行檢測、分析，還原***者的***途徑、方法、過程等，並將獲取的信息用於保護真實的系統。普遍應用於惡意代碼檢測與樣本捕獲、***檢測與***特徵提取、網絡***取證、僵屍網絡追蹤等。
    蜜罐之因此稱爲蜜罐，是由於設計之初就是爲了***者量身定作包含大量漏洞的系統，是用於誘捕***者的一個陷阱，本質上一種對***者的一種欺騙技術，只有蜜罐在處於不斷被掃描、***甚至被攻破的時候，才能體現蜜罐的價值。蜜罐實際不包含任何敏感數據。能夠這麼說，可以訪問蜜罐的，都是可疑行爲，均可以確認爲***，從而採起下一步動做。
    經過以上的分析，推出蜜罐具備三種能力：

    假裝，經過模擬各類含有漏洞的應用系統來引誘***者***以減小對實際系統的威脅。

    數據誘捕，***者若是攻入蜜罐，那麼能夠經過蜜罐日誌記錄來還原***者從進入到離開蜜罐期內的全部活動過程及其餘信息。

    威脅數據分析，對***者的數據進行分析，還原***者的***手法，並對此進行溯源等。

    但同時，蜜罐也具備侷限性，他只有***者***時才能發揮它自身的做用，若是***者沒有觸發蜜罐，那麼蜜罐將毫無心義，因此如今咱們更要關注如何讓***者能有效的觸碰到蜜罐，而後利用相關技術對此展開溯源。一樣，若是***者識別了該蜜罐，而且成功進入，利用相關逃逸0day對蜜罐展開***（蜜罐記錄不到），那麼蜜罐將會被當成跳板機對其餘真實業務展開***，危害巨大。

                                                                                     蜜罐分類
    蜜罐能夠分爲三類，低交互式蜜罐，中交互式蜜罐，高交互式蜜罐。
    低交互式蜜罐：一般是指與操做系統交互程度較低的蜜罐系統，僅開放一些簡單的服務或端口，用來檢測掃描和鏈接，這種容易被識別。
    中交互式蜜罐：介於低交互式和高交互式之間，可以模擬操做系統更多的服務，讓***者看起來更像一個真實的業務，從而對它發動***，這樣蜜罐就能獲取到更多有價值的信息。
    高交互式：指的是與操做系統交互很高的蜜罐，它會提供一個更真實的環境，這樣更容易吸引***者，有利於掌握新的***手法和類型，但一樣也會存在隱患，會對真實網絡形成***。
    在此次HW中，至關大一部分蜜罐都部署在內網當中，部署在外網的蜜罐只有極少數，部署在外網的蜜罐能夠檢測到的東西就多了，尤爲綁定域名後，把***者迷惑的分不清東西南北。某廠商的蜜罐能夠說在HW中大放光彩，只要***者對該蜜罐進行訪問，在很大程度上就可以獲取你的社交帳號ID，而後根據指紋信息還原***者身份畫像，這點我相信不少紅方沒有料到，從而被社工的很慘。至於用了什麼技術我就不寫了，怕見不到次日的太陽。蜜罐不只能檢測***者的***手法，也可以檢測到僵屍網絡，好比說此次HW中，有不少肉雞利用weblogic的漏洞自動對外網發起***，而後植入***病毒等。公網蜜罐能夠很好的檢測這種行爲，進而進行信息收集或追蹤。

    對於蜜罐相關技術感興趣的，友情推薦三款開源蜜罐工具：首推來自團隊成員pirogue的opencanary，支持16種協議，24種***特徵識別：pirogue，公衆號：pirogue蜜罐正式開源-簡單易用-支持16種協議honeyd：http://www.honeyd.orghttps://github.com/desaster/kippo文末感謝pirogue、12306小哥 的知識看法，才能編寫出這麼一篇來之不易的文章。