酷应用

你想漫游我的内网？看我如何“hack”back!

百家作者：锦行科技 2017-06-30 10:44:10

前言

自信息化的大潮肇始以来，内网始终是攻击者觊觎的一块肥肉，在攻击者眼中，内网里有数不清的珍奇宝藏：网络的拓扑结构、运维人员的账号密码、系统的控制权限、管理人员的邮件、企业的核心数据等等。为了获得这些“宝贝”，攻击者往往会采用各种手段展开内网渗透攻击。那么攻击欺骗作为可以逆转攻击形势，以主动防御的思想设置陷阱诱骗攻击者的一种技术，如果部署在内网，是否可以有效应对攻击者呢？我们一起来看看其在内网中具体应用时的各种“姿势”。

1. 认识内网攻击

1.1内网结构

内网的网络拓扑结构千差万别，各不相同，这里选择其中一种典型的内网拓扑结构来展开描述。需要说明的是，实际的内网拓扑结构要复杂的多，我们做了很多的简化，仅为描述清楚问题。

图一：典型内网拓扑

图中涉及的区域包括DMZ区、办公区和核心区。

DMZ区：是对外提供服务的区域，所以可以从外部访问，在边界上一般会放置防火墙，入侵检测，入侵防御产品，如果有web应用，还会有WAF。攻击者如果要进入内网首先要突破这重重防御。

办公区：这里是公司员工日常的工作区，一般会安装防病毒、主机入侵检测产品。办公区一般能够访问DMZ区，如果运维人员也在办公区，那么部分主机也能访问核心数据区，很多大企业还会使用堡垒机来统一管理登录。攻击者如果想进内网，一般会使用鱼叉攻击、水坑攻击，当然还有伟大的社会工程学。由于办公区人员多而杂，有可能变动也很频繁，在安全管理上会存在诸多漏洞，所以也是攻击者进入内网的重要途径之一。

核心区：这个区一般存放企业最重要的数据、文档等信息资产，所设置的保护也非常严密，往往限定只有很少的主机能访问，而且还有日志记录、安全审计等安全措施。从外部是绝难直接访问的，一般来说能够直接访问核心区的只有运维人员或者IT部门的主管，所以攻击者会重点关注这些他们的信息，在内网横向移动的时候，优先查找这些主机。

1.2内网渗透

虽然攻击的手段和技术都在不断的变化与发展，但是对于一次完整的网络攻击来说，他的基本流程都是几乎一致的，洛克希德马丁公司的安全科学家们在2011年提出的Kill-Chain模型则很好的表示了这一流程。

kill-chain模型

1. 初始侦查阶段

攻击者对各种系统进行识别，识别内容包括安全特性，应用，协议，地址，以及其他运行时特性等。

2. 找到一个突破口

攻击者利用漏洞或者其他攻击方法刺探和突破目标系统的防御，这些方法包括社工、钓鱼以及其他手段等。

3. 建立立足点

在成功打开了一个突破口进入内网后，攻击者要建立起持久化的控制，以便施展进一步的攻击。建立立足点的方法一般有安装后门或者木马病毒的方式。

4. 提权

攻击者想方设法提高自身对系统和资源的访问权限，方式有获取凭证，借用某个拥有特权的应用或者服务，以及利用程序漏洞等。

5. 内部侦查

攻击者通过上述种种先进手段进入内网之后，会首先进行信息收集，尽最大可能获取各种信息以初步了解内网情况，识别关键员工的角色和职责，搜集有价值的账号、密码、文档、最近访问网址、当前主机上进程、目录、端口，有没有一些防护软件等；然后再确定该主机所在网络位置、该主机的用途等，在此基础上进行横向移动。

6. 横向移动

攻击者在网络内部从一台主机移动到另外一台主机，这其中的方式主要有文件共享、计划任务、以及远程连接工具和客户端等。

7. 保持控制

攻击者需要保持目标和网络进行不间断的控制和访问权，因此采用的方式有安装后门和远程控制工具等。

8. 完成目标

攻击者最终获取到他想要获得的信息资产，比如知识产权、机密信息、财务数据、个人身份信息等。

图二：kill-chain模型

2. 如何有效防御内网渗透攻击

通过前面对内网结构和攻击者内网渗透的分析，我们知道当攻击者突破企业边界防御体系进入内网后，面对的其实是一片“黑暗森林”，俗话叫做“睁眼一抹黑”，他首先要问自己几个问题：

1. 我现在在哪？

2. 我接下来要去哪？

3. 我怎样才能到达哪里？

只有当这几个问题被回答后，攻击者才能进行下一步的横向移动，只有通过不断的横向移动，攻击者才能越来越靠近他的目标。

如果说传统的防御策略关注的是攻击技术本身，那么攻击欺骗技术则关注的是人，是真正基于攻击者视角的防御策略。

攻击欺骗事先给攻击者准备好了这几个问题的答案，而答案的背后则是一场精心设计的骗局，它将攻击者不知不觉的引入事先部署的圈套里，同时不断的被虚假答案所误导，这使得攻击者不断的犯错，离真实的目标越来越远，而他自己可能并不知道。

那么这场骗局要如何去策划呢？

主要有两个步骤。首先要建造一个足够真实和具有迷惑性的虚假场景，让攻击者在里面展开攻击也不被察觉。第二就是要在攻击者必定会查看的位置放置诱饵，将攻击者一步步引导进入预先设置的虚拟场景中。

2.1蜜罐选择

图三：部署了蜜罐的典型内网拓扑

攻击者在内网渗透的时候，选择哪些蜜罐才能更有效的诱骗攻击者呢？这其实是个系统工程，我们从多个层面展开说明，首要的原则是：根据各个区域的工作性质，以及攻击者在各个不同区域的行动特点，来设计不同种类的蜜罐组合。

1）操作系统

一般DMZ区和核心区会选择Centos、Debian、Windows server 2008/2012这样的服务器上常用的操作系统；办公区会选择Win7、Win8、Win10等个人主机操作系统，有的会使用ubuntu desktop版操作系统，如果要模仿域控主机，那么可以使用Windows server 2008/2012之类的服务器操作系统；

2）主机设置

攻击者进入之后一般会根据主机名、用户账号、网络配置等判断当前主机的用途和当前主机所处网络的规模。所以蜜罐中的主机名、用户名、网络配置等信息要符合本机用途和当前区域的环境，比如DMZ区的真实主机使用的都是webserver、oaserver这样的主机名，那么蜜罐也要取诸如ftpserver、webserver2这样的主机名；

3）服务

蜜罐上要开放哪些服务，要开放一个还是多个服务，需要根据蜜罐的用途进行设定。

DMZ区：比如蜜罐的用途确定是ftpserver，那么要开放ftp的20、21端口。服务的banner也可以设定为跟内网所有者相关的信息；

办公区：蜜罐一般伪装的是个人主机，大部分是windows系列的，所以上面一般开放的服务包括：135、139、445，有些还可以开放3389；

核心区：蜜罐一般为Centos、Debian、windows server 2008/2012等操作系统，上面开放的一般是80/1433/1521/3306/27017等Web、数据库的服务端口，或者是内部源码管理服务器，比如svn、git等；

4）应用

以Web服务为例，应用可以有很多选择。最好的就是内网中特有的应用系统，比如企业自身的OA系统、业务系统等；也可以部署通用的Web应用，一般用于知识库、博客系统、内部论坛等。

2.2部署蜜罐

在部署蜜罐时，一般有两种选择：集中式还是分布式。

集中式是指所有的蜜罐在物理形式上都在一起，构成一个或多个蜜网，通过节点或其他形式，把攻击者流量转移到后端这个统一管理的蜜网中。这样部署的好处是：节点是轻量级的，在真实网络中很容易部署，部署完之后，基本不需要再管理，所有的管理和控制都在后端统一完成。操作方便、易于扩展。

图三：集中式蜜罐部署

分布式是指把蜜罐分散到各个真实网络中，通过网络与管理中心通信，不方便扩展和控制，但是与真实网络能完全融合。

图四：分布式蜜罐部署

两种方式都有其应用场景：

集中式：方便控制、易于扩展，攻击者进入该蜜网之后，就无法再对其他真实主机发起攻击，实现了攻击的隔离；

分布式：与真实业务环境融为一体，但不易控制和扩展，或者为了控制做了很多限制，难以防止对其他真实主机发起攻击，一般只能实现部分的隔离；

当然还有融合了两种方式的部署模式，这个很有趣，我们以后再说。

2.3设置诱饵

当蜜罐部署完毕后，我们还要在攻击者进行内网渗透的必经之路上设置诱饵，所谓诱饵就是能够诱骗攻击者离开真实目标，进入虚假蜜罐的线索，可以是包含蜜罐的IP地址和登录蜜罐的账号密码的文件、包含蜜罐IP的host信息、登录蜜罐的证书、访问过的蜜罐共享目录、访问蜜罐网站的痕迹等等，所有能诱骗攻击者的手段都可以用上。

一些补充：

随着攻击欺骗技术的发展和推广，一些有经验的攻击者也能通过一些手段对蜜罐进行判别，在欺骗系统的设计过程中要做到知己知彼，避免被攻击者识破。

以下从攻击者的角度来判断他所处的环境是否是一个蜜罐：

1. 通常情况下来说，连接到互联网的机器会尽可能的关闭不必要的服务，如果一台主机开放了太多不合理的端口和服务，这就显得很可疑。

2. 如果一台主机的系统完全是保持初始状态的设置，那大概率是个蜜罐。

3. 如果一台主机的硬盘有大量空闲的磁盘空间，而且几乎没安装什么应用软件，这也可能是个蜜罐。

4. 如果某台主机在明显的位置以很显著的名称给文件命名（比如帐号密码，用户资料等。。。），这很可能是个诱饵。

对攻击者的了解在搭建内网攻击欺骗系统的过程中有着至关重要的作用，在内网部署蜜罐时要注意这些问题，才能妥妥欺骗正在内网渗透的攻击者。

3. 总结

19世纪英国作家科尔顿说：“有些骗局布设得如此巧妙，只有傻子才不上当受骗。”那些布设巧妙的往往是大谎言，人不容易相信小谎言，但是却对弥天大谎深信不疑。

我们可以看到，每一个步骤每一个环节都可以是一个小小的欺骗元素，而正是利用这些小元素却能够组合出千变万化的诱骗网络，攻击者一旦踏入这个网络，就很难抗拒种种诱惑，将会在这个网络中一步一步的深入，进入我们精心为其准备的陷阱之中。

在这个过程中，我们可以做很多事情，比如分析攻击者行为、识别攻击者意图、对攻击者画像、为客户争取应急响应时间、帮助客户重点防御攻击者感兴趣的信息资产等，这也是攻击欺骗技术的重要价值和迷人之处。