簡(jiǎn)析蜜罐技術(shù)及其應(yīng)用價(jià)值

作 者：中國(guó)移動(dòng)通信集團(tuán)福建有限公司莆田分公司 何曉晗

    眾所周知， 互聯(lián)網(wǎng)業(yè)務(wù)量的增大與風(fēng)險(xiǎn)類(lèi)型的日新月異給當(dāng)前的互聯(lián)網(wǎng)安全帶來(lái)巨大的考驗(yàn)。 因此無(wú)論是對(duì)于安全研究人員、安全產(chǎn)品研發(fā)人員、安全管理人員或者是安全響應(yīng)服務(wù)人員， 都需要首先對(duì)黑客社團(tuán)有深入的了解， 包括他們所掌握的攻擊技術(shù)、技巧和戰(zhàn)術(shù)、甚至心理和習(xí)慣等， 只有在充分了解對(duì)手的前提下， 才能更有效地維護(hù)互聯(lián)網(wǎng)安全， 而蜜罐技術(shù)為捕獲黑客的攻擊行為， 并深入分析黑客提供了基礎(chǔ)。

    蜜罐的定義

    入侵誘騙技術(shù)是較傳統(tǒng)入侵檢測(cè)技術(shù)更為主動(dòng)的一種安全技術(shù)， 它是用特有的特征吸引攻擊者， 同時(shí)對(duì)攻擊者的各種攻擊行為進(jìn)行分析， 并找到有效的對(duì)付方法。 為了吸引攻擊者， 網(wǎng)絡(luò)管理員通常還在蜜罐系統(tǒng)上故意留下一些安全后門(mén)， 或者放置一些攻擊者希望得到的敏感信息， 當(dāng)然這些信息都是虛假的。 當(dāng)入侵者正為攻入目標(biāo)系統(tǒng)而沾沾自喜時(shí)， 殊不知自己在目標(biāo)系統(tǒng)中的所作所為， 包括輸入的字符， 執(zhí)行的操作等都已經(jīng)被蜜罐系統(tǒng)所紀(jì)錄。

    蜜罐就是指受到嚴(yán)密監(jiān)控的網(wǎng)絡(luò)入侵誘騙系統(tǒng)， 通過(guò)真實(shí)或模擬的網(wǎng)絡(luò)和服務(wù)來(lái)吸引攻擊， 從而在黑客攻擊蜜罐期間對(duì)其行為和過(guò)程進(jìn)行分析， 以搜集信息， 對(duì)新攻擊發(fā)出預(yù)警， 同時(shí)蜜罐也可以延緩攻擊和轉(zhuǎn)移攻擊目標(biāo)。

    目前蜜罐系統(tǒng)針對(duì)檢測(cè)新類(lèi)型（未知）風(fēng)險(xiǎn)的方式主要有異常特征（signatureofanormaly）與沙箱（sandbox）檢測(cè)技術(shù)兩種。 異常特征檢測(cè)技術(shù)主要依靠通用異常匹配模式進(jìn)行檢測(cè)， 常見(jiàn)例子如Snort規(guī)則， 通過(guò)檢查數(shù)據(jù)包頭128字節(jié)內(nèi)是否存在14個(gè)NOP（空）來(lái)決定是否存在緩沖區(qū)溢出攻擊時(shí)常常出現(xiàn)的SHELLCODE獲取權(quán)限行為， 雖然該類(lèi)型檢測(cè)方式不針對(duì)漏洞本身， 且檢測(cè)效率高， 但存在一定的誤報(bào)率。

    沙箱檢測(cè)技術(shù)的原理是通過(guò)搭建模擬虛擬主機(jī)并分析其文件、進(jìn)程、注冊(cè)表與引導(dǎo)區(qū)等信息確認(rèn)是否存在惡意行為。 該技術(shù)不依賴(lài)特征庫(kù)進(jìn)行分析， 因此誤報(bào)率低， 但分析與處理能力要求高。 目前該技術(shù)廣泛利用在各種主機(jī)入侵防御系統(tǒng)（HIPS）中。

    蜜罐的價(jià)值

    蜜罐并不修正任何問(wèn)題， 它們僅提供額外的、有價(jià)值的信息。 所以說(shuō)蜜罐并非是一種安全的解決方案， 這是因?yàn)樗�并不�?huì)“修理”任何錯(cuò)誤， 它只是一種工具， 如何使用這個(gè)工具取決于用戶(hù)想做什么， 它可以對(duì)其他系統(tǒng)和應(yīng)用進(jìn)行仿真， 創(chuàng)建一個(gè)監(jiān)禁環(huán)境將攻擊者困在其中。 無(wú)論用戶(hù)如何建立和使用蜜罐， 只有蜜罐受到攻擊， 它的作用才能發(fā)揮出來(lái)。 蜜罐主要是一種研究工具， 但同樣有著真正的商業(yè)應(yīng)用， 它常常被用來(lái)跟蹤僵尸網(wǎng)絡(luò)或是收集惡意代碼等。

    在當(dāng)前商業(yè)社會(huì)， 蜜罐系統(tǒng)的主要作用主要體現(xiàn)為“家庭醫(yī)生”的角色。 大多數(shù)企業(yè)在防范黑客攻擊、蠕蟲(chóng)等網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí)主要依靠網(wǎng)絡(luò)安全廠商所提供的安全預(yù)警通報(bào)、入侵檢測(cè)特征庫(kù)升級(jí)來(lái)對(duì)近期常見(jiàn)的風(fēng)險(xiǎn)進(jìn)行預(yù)警， 而針對(duì)特定的攻擊行為或變種的病毒則無(wú)能為力。 從這個(gè)觀點(diǎn)中， 我們可以看出網(wǎng)絡(luò)安全廠商可比作“國(guó)家衛(wèi)生廳”， 可以發(fā)布常見(jiàn)的風(fēng)險(xiǎn)， 但對(duì)于針對(duì)某個(gè)個(gè)體本身可能存在什么風(fēng)險(xiǎn)則無(wú)從而知了。 為保證企業(yè)的資源得到更有效的保護(hù)， 必須引入專(zhuān)門(mén)針對(duì)個(gè)體的“家庭醫(yī)生”-蜜罐系統(tǒng)， 透過(guò)其內(nèi)部固有的特征檢測(cè)、沙箱檢測(cè)模塊確認(rèn)個(gè)體本身已經(jīng)存在的風(fēng)險(xiǎn)， 并分析得出“藥房”-風(fēng)險(xiǎn)分析結(jié)果。 最后由企業(yè)網(wǎng)絡(luò)管理員根據(jù)分析結(jié)果并依靠安全產(chǎn)品作為支撐手段實(shí)現(xiàn)動(dòng)態(tài)的安全預(yù)警。

    蜜罐系統(tǒng)的優(yōu)點(diǎn)之一就是它們大大減少了所要分析的數(shù)據(jù)， 對(duì)于通常的網(wǎng)站或郵件服務(wù)器， 攻擊流量通常會(huì)被合法流量所淹沒(méi)， 而蜜罐進(jìn)出的數(shù)據(jù)大部分是攻擊流量， 因而， 瀏覽數(shù)據(jù)、查明攻擊者的實(shí)際行為也就容易多了。

    信息安全已經(jīng)成為網(wǎng)絡(luò)管理員所面對(duì)的最嚴(yán)重問(wèn)題， 管理員必須花費(fèi)大量的時(shí)間來(lái)確保網(wǎng)絡(luò)已經(jīng)部署了防火墻并為操作系統(tǒng)安裝了最新的補(bǔ)丁， 同時(shí)使用入侵檢測(cè)系統(tǒng)去記錄所有的可疑活動(dòng)。 不幸的是， 當(dāng)前的防火墻和入侵檢測(cè)系統(tǒng)已經(jīng)不再有效， 因?yàn)殡S著網(wǎng)絡(luò)的不安全因素的增多， 防火墻和入侵檢測(cè)系統(tǒng)的日志內(nèi)容也日益龐大， 甚至有些系統(tǒng)每天的日志量就達(dá)1GB， 企業(yè)再也沒(méi)有過(guò)多的人力用來(lái)每天處理如此大量的日志內(nèi)容。

    防火墻日志和入侵檢測(cè)系統(tǒng)的報(bào)告是毫無(wú)價(jià)值的， 事實(shí)上它們確實(shí)認(rèn)真地履行了各自的任務(wù)， 不過(guò)當(dāng)看到如此大量的信息和報(bào)告， 而其中大部分都是對(duì)系統(tǒng)沒(méi)有威脅的無(wú)目的的掃描時(shí)， 利用蜜罐也許是一個(gè)好方法。

    利用蜜罐檢測(cè)僵尸網(wǎng)絡(luò)

    在過(guò)去的幾年里， 許多Windows的嚴(yán)重漏洞都已經(jīng)被暴露， 利用這些漏洞的各種惡意軟件數(shù)量在同一時(shí)期也已經(jīng)迅速增加。 多數(shù)蠕蟲(chóng)都會(huì)有若干變種， 并且它們中的許多都有bot家族特征。

    該方法從僵尸程序（bot）入手研究Botnet的特征， 并利用了Botnet的可傳播性， 通過(guò)蜜罐手段獲得用于傳播擴(kuò)散的bot程序樣本， 然后逆向分析這些樣本， 從而獲得這些bot程序中所包含的連接Botnet服務(wù)器所需要的屬性值， 這樣就可以深入地跟蹤Botnet， 獲得Botnet的情況。

    這種方法的優(yōu)點(diǎn)是能夠有效地捕獲比較活躍的Botnet， 并且準(zhǔn)確率比較高， 同時(shí)， 由于可以獲得程序中包含的一些特征值， 可以對(duì)Botnet進(jìn)行更深層的研究， 但這種方法對(duì)于不再傳播的Botnet是無(wú)法捕獲的。

    利用蜜罐建立安全事件行為特征庫(kù)

    傳統(tǒng)意義上講， 網(wǎng)絡(luò)安全要做的工作主要是防御， 防止自己負(fù)責(zé)的資源不會(huì)受到別人入侵， 盡力保護(hù)自己的組織、檢測(cè)防御中的失誤， 并采取相應(yīng)的措施， 這些安全措施都只能檢測(cè)到已知類(lèi)型的攻擊和入侵。 蜜罐和蜜網(wǎng)的設(shè)計(jì)目的就是從現(xiàn)存的各種威脅中提取有用的信息， 發(fā)現(xiàn)新型的攻擊工具， 確定攻擊模式并研究攻擊者的攻擊動(dòng)機(jī)， 從而確定更好的對(duì)策。 在過(guò)去的幾年里， 安全人員利用各種蜜罐技術(shù)已經(jīng)收集了攻擊者及其攻擊方法的大量數(shù)據(jù)， 包括已知的和未知的攻擊方法和手段， 以及發(fā)起攻擊的源IP等。 電信運(yùn)營(yíng)商通過(guò)對(duì)這些有用的信息進(jìn)行整理， 并建立起內(nèi)部安全事件行為特征庫(kù)， 為處理各種復(fù)雜和日益更新的網(wǎng)絡(luò)安全問(wèn)題起到極大的幫助作用。

    任何事物的存在都有利有弊， 蜜罐也毫不例外， 蜜罐僅僅可以收集那些針對(duì)自身的數(shù)據(jù)， 收集數(shù)據(jù)的來(lái)源過(guò)于狹窄。 如果蜜罐沒(méi)有被攻擊， 就失去了價(jià)值， 而蜜罐在簡(jiǎn)單易行地對(duì)攻擊者進(jìn)行“誘騙”、記錄和分析的同時(shí)， 也為整個(gè)系統(tǒng)引入了可能被入侵的風(fēng)險(xiǎn)。