一種基于分布式蜜罐技術(shù)的勒索蠕蟲(chóng)病毒監(jiān)測(cè)方法

秦玉杰

(鄭州銀行，河南 鄭州 450018)

0 引言

2017年5月12日，WannaCry在全球爆發(fā)，超過(guò)150個(gè)國(guó)家的20萬(wàn)臺(tái)計(jì)算機(jī)遭到感染，造成損失達(dá)80億美元[1]。盡管WannaCry勒索蠕蟲(chóng)病毒大規(guī)模爆發(fā)已經(jīng)過(guò)去一年，WannaCry疫情依舊嚴(yán)峻，終端安全依然是不少企業(yè)的安全的短板之一。如何彌補(bǔ)終端安全管理短板，成為不少政府企業(yè)單位亟需解決的問(wèn)題。本文重點(diǎn)探討目前內(nèi)網(wǎng)管理已有的安全措施及不足，分析通過(guò)蜜罐捕獲勒索蠕蟲(chóng)病毒的利弊，并針對(duì)蜜罐本身的局限性，提出終端與蜜罐服務(wù)相關(guān)聯(lián)的分布式蜜罐原型，并通過(guò)相關(guān)實(shí)驗(yàn)進(jìn)行論證，通過(guò)此部署方式可以最大化發(fā)現(xiàn)內(nèi)網(wǎng)存在的安全威脅，并有效降低運(yùn)維成本。

1 內(nèi)網(wǎng)終端安全現(xiàn)狀

目前大多數(shù)的政企事業(yè)單位在辦公電腦上均統(tǒng)一安裝殺毒軟件或者終端管理軟件，但依然存在大量?jī)?nèi)網(wǎng)用戶(hù)使用未打補(bǔ)丁的操作系統(tǒng)。而且由于辦公區(qū)域暫未執(zhí)行嚴(yán)格網(wǎng)絡(luò)安全準(zhǔn)入策略，存在大量外部移動(dòng)辦公設(shè)備進(jìn)入內(nèi)網(wǎng)，也成為內(nèi)網(wǎng)辦公安全管理短板。同時(shí)近年來(lái)出現(xiàn)了越來(lái)越多的未知威脅攻擊，這類(lèi)威脅攻擊往往存在潛伏性和持續(xù)性，并且在攻擊的過(guò)程中會(huì)采用多種未知的攻擊手法，殺毒軟件并不能在第一時(shí)間發(fā)現(xiàn)攻擊，從而導(dǎo)致內(nèi)部數(shù)據(jù)被竊取，造成嚴(yán)重經(jīng)濟(jì)及名譽(yù)損失等不良后果。

2 研究現(xiàn)狀

2.1 蜜罐概述

蜜罐是一項(xiàng)主動(dòng)防御技術(shù)，屬于一類(lèi)安全資源，它沒(méi)有任何業(yè)務(wù)上的用途，其價(jià)值就是吸引攻擊方對(duì)它進(jìn)行非法使用[2]。通過(guò)布置一些主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息為誘餌，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析，在此基礎(chǔ)上了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)，讓運(yùn)維人員清晰地了解所面對(duì)的安全威脅，并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

2.2 蜜罐分類(lèi)

根據(jù)蜜罐的交互能力可以分為低交互蜜罐和高交互蜜罐，低交互式蜜罐一般采用模擬或仿真網(wǎng)絡(luò)服務(wù)的方式，為攻擊者提供有限的交互，一般只能誘騙自動(dòng)化的攻擊方式；高交互式蜜罐則使用實(shí)際系統(tǒng)為攻擊者提供更為全面和真實(shí)的交互性[3]。在實(shí)際部署中，低交互蜜罐部署較為容易，管理成本較低，可以有效捕獲企業(yè)內(nèi)部異常網(wǎng)絡(luò)行為，并在第一時(shí)間進(jìn)行告警；高交互蜜罐需運(yùn)行真實(shí)服務(wù)，因此攻擊者會(huì)與真實(shí)系統(tǒng)和真實(shí)服務(wù)進(jìn)行交互，可以用來(lái)捕捉有效攻擊及惡意程序樣本，由安全運(yùn)維人員將獲取到的樣本進(jìn)行全網(wǎng)標(biāo)記查殺，然后安全研究人員通過(guò)深入逆向分析，獲取攻擊者具體行為操作，并進(jìn)行追根溯源。

2.3 蜜罐的部署局限

在蜜罐的實(shí)際部署當(dāng)中，往往存在蜜罐部署規(guī)模與部署成本的矛盾，尤其是針對(duì)辦公區(qū)域，一般企業(yè)的終端的數(shù)量就數(shù)以千計(jì)甚至更多。而且辦公網(wǎng)絡(luò)會(huì)根據(jù)樓層區(qū)域劃分不同的VLAN，要想最快發(fā)現(xiàn)威脅、響應(yīng)威脅，必須將蜜罐盡可能地覆蓋到所有網(wǎng)段。如果直接部署多臺(tái)蜜罐，需要投入大量主機(jī)系統(tǒng)資源放置在辦公網(wǎng)絡(luò)中，部署成本難以承受，同時(shí)需要安排相應(yīng)人力對(duì)蜜罐進(jìn)行維護(hù)及管理，管理成本非常龐大。

3 基于分布式蜜罐的監(jiān)測(cè)方法

3.1 概述

針對(duì)蜜罐在辦公環(huán)境存在的局限性，本文提出了一種基于終端代理和分布式管理的監(jiān)測(cè)方法，充分利用普通辦公終端的網(wǎng)絡(luò)資源和系統(tǒng)資源來(lái)降低蜜罐部署及管理成本，并達(dá)到感知內(nèi)網(wǎng)異常行為威脅及病毒樣本收集的目的。

首先在辦公網(wǎng)絡(luò)中挑選一定數(shù)量辦公電腦作為蜜罐的服務(wù)代理，通過(guò)對(duì)此類(lèi)辦公電腦的特定端口流量轉(zhuǎn)發(fā)至蜜罐服務(wù)器，實(shí)現(xiàn)內(nèi)網(wǎng)網(wǎng)絡(luò)通信信息采集。借助辦公電腦的正常工作端口及指紋信息，攻擊者不能有效區(qū)分辦公電腦或蜜罐主機(jī)，從而擴(kuò)大了蜜罐服務(wù)器的數(shù)據(jù)捕獲范圍。運(yùn)維人員可以根據(jù)捕獲到的樣本，分析相關(guān)特征并提交到病毒服務(wù)器，進(jìn)行全網(wǎng)查殺。同時(shí)根據(jù)日志情況通過(guò)分析定位，找到傳播病毒的主機(jī)進(jìn)行隔離修復(fù)。

根據(jù)實(shí)際的應(yīng)用情況，該監(jiān)測(cè)系統(tǒng)至少應(yīng)具備流量轉(zhuǎn)發(fā)模塊、日志模塊以及蜜罐服務(wù)區(qū)。

3.2 流量轉(zhuǎn)發(fā)模塊

端口映射是將一臺(tái)主機(jī)的IP地址的某個(gè)端口映射到另外一個(gè)IP地址的某個(gè)端口上[4]，當(dāng)用戶(hù)訪問(wèn)設(shè)置端口映射的主機(jī)對(duì)應(yīng)端口時(shí)，該主機(jī)會(huì)自動(dòng)將請(qǐng)求轉(zhuǎn)發(fā)到被映射主機(jī)特定端口上?；谶@種端口映射技術(shù)，可以在日常終端上設(shè)定轉(zhuǎn)發(fā)服務(wù)，將特定端口的訪問(wèn)流量轉(zhuǎn)發(fā)至蜜罐服務(wù)器，例如可以設(shè)定轉(zhuǎn)發(fā)勒索蠕蟲(chóng)病毒利用的445端口。通過(guò)設(shè)定流量轉(zhuǎn)發(fā)，既可以有效保護(hù)運(yùn)行服務(wù)的終端主機(jī)，又可以使蜜罐服務(wù)器捕獲內(nèi)網(wǎng)中的異常網(wǎng)絡(luò)流量。

3.3 日志模塊

因?yàn)檫x定作為流量轉(zhuǎn)發(fā)的辦公電腦已關(guān)閉正常的445相關(guān)文件共享服務(wù)，故所有試圖訪問(wèn)辦公電腦445的請(qǐng)求可視為異常請(qǐng)求。可在進(jìn)行流量轉(zhuǎn)發(fā)的同時(shí)，對(duì)該訪問(wèn)請(qǐng)求進(jìn)行日志記錄，根據(jù)日志記錄的源地址信息可以快速定位可疑的勒索蠕蟲(chóng)病毒傳播源。

3.4 蜜罐服務(wù)器

為有效捕獲惡意腳本及相關(guān)Payload，應(yīng)部署基于Windows環(huán)境的高交互蜜罐。在具備全程行為日志記錄能力基礎(chǔ)上，需加強(qiáng)自身的健壯性，同時(shí)與外界建立安全隔離?？梢酝ㄟ^(guò)安裝還原軟件增加系統(tǒng)還原保護(hù)機(jī)制，并注意合理設(shè)置系統(tǒng)防火墻，只允許入站動(dòng)作，禁止出站動(dòng)作，防止蜜罐服務(wù)器中毒后向外部傳播勒索蠕蟲(chóng)病毒。

3.5 整體部署架構(gòu)

根據(jù)上文對(duì)分布式蜜罐不同模塊的介紹，整體的部署情況如圖1所示，在辦公環(huán)境中選取部分辦公終端安裝代理服務(wù)，實(shí)現(xiàn)對(duì)特定端口流量進(jìn)行轉(zhuǎn)發(fā)。根據(jù)終端代理規(guī)模部署多臺(tái)虛擬蜜罐服務(wù)，用于接收蜜罐代理終端轉(zhuǎn)發(fā)的流量，針對(duì)攻擊行為進(jìn)行告警及記錄，接收惡意軟件樣本進(jìn)行后期病毒行為分析。辦公終端將網(wǎng)絡(luò)日志通過(guò)日志模塊發(fā)送至日志服務(wù)器，日志匯總服務(wù)器對(duì)蜜罐日志及網(wǎng)絡(luò)異常流量日志進(jìn)行統(tǒng)一分析匯總。

圖1 分布式蜜罐部署圖

4 功能測(cè)試

4.1 環(huán)境介紹

為驗(yàn)證實(shí)現(xiàn)效果，在此搭建四臺(tái)虛擬機(jī)作為簡(jiǎn)易測(cè)試環(huán)境，虛擬機(jī)A運(yùn)行Kali Linux，IP地址為192.168.126.135，負(fù)責(zé)模擬WannaCry勒索蠕蟲(chóng)病毒攻擊；虛擬機(jī)B運(yùn)行Windows 7，IP地址為192.168.126.136，開(kāi)啟特定端口流量轉(zhuǎn)發(fā)及日志告警，作為蜜罐代理終端；虛擬機(jī)C運(yùn)行未進(jìn)行安全加固的Windows 7，IP地址為192.168.126.167，安裝還原軟件及安全監(jiān)測(cè)軟件，作為蜜罐服務(wù)器；虛擬機(jī)D運(yùn)行Ubuntu Linux，IP地址為192.168.126.165，部署ELK日志分析系統(tǒng)，用以接收蜜罐代理終端發(fā)送的網(wǎng)絡(luò)流量日志。

4.2 代理終端配置

在虛擬機(jī)B上關(guān)閉原有的139、445端口及相應(yīng)服務(wù)，通過(guò)執(zhí)行netsh命令將端口139及445流量轉(zhuǎn)發(fā)至虛擬機(jī)C(192.168.126.167)，具體參見(jiàn)圖2。

圖2 配置終端流量轉(zhuǎn)發(fā)

在終端上部署Packetbeat對(duì)特定端口網(wǎng)絡(luò)流量進(jìn)行記錄，Packetbeat是一款輕量型網(wǎng)絡(luò)數(shù)據(jù)包分析器，能夠?qū)崟r(shí)記錄網(wǎng)絡(luò)通信情況，并將數(shù)據(jù)發(fā)送至Logstash或Elasticsearch[5]。

4.3 模擬攻擊

在虛擬機(jī)A上通過(guò)Metasploit漏洞利用框架，向虛擬機(jī)B(192.168.126.136)發(fā)起攻擊，虛擬機(jī)A通過(guò)服務(wù)信息判斷虛擬機(jī)B為Windows 7并發(fā)送EternalBlue利用代碼，最終成功獲得系統(tǒng)權(quán)限。此攻擊并未對(duì)虛擬機(jī)B造成實(shí)際影響，所有攻擊流量被轉(zhuǎn)移到了蜜罐服務(wù)器虛擬機(jī)C，在虛擬機(jī)C上安裝的安全防護(hù)軟件可以看到攻擊告警，并識(shí)別攻擊方式為EternalBlue，如圖3所示。同時(shí)蜜罐服務(wù)器可以接收病毒樣本，后續(xù)可對(duì)病毒行為進(jìn)行詳細(xì)分析，并通過(guò)殺毒軟件下發(fā)病毒特征，開(kāi)展全網(wǎng)病毒專(zhuān)項(xiàng)查殺。另外通過(guò)蜜罐服務(wù)器上配置使用的還原技術(shù)和防火墻技術(shù)，即使蜜罐服務(wù)器被勒索蠕蟲(chóng)病毒感染，也可快速進(jìn)行恢復(fù)，不會(huì)進(jìn)行二次傳播。

通過(guò)日志服務(wù)器，發(fā)現(xiàn)該代理終端在對(duì)應(yīng)時(shí)間點(diǎn)存在異常端口訪問(wèn)記錄，日志包含可疑目標(biāo)的IP地址信息、源端口信息以及mac地址等網(wǎng)絡(luò)信息，具體參見(jiàn)圖4。

4.4 測(cè)試結(jié)果

經(jīng)過(guò)簡(jiǎn)單的模擬驗(yàn)證，代理終端可以有效地將特定端口的攻擊行為轉(zhuǎn)移至蜜罐服務(wù)器，同時(shí)對(duì)相應(yīng)網(wǎng)絡(luò)連接行為進(jìn)行日志記錄。代理終端與蜜罐服務(wù)器結(jié)合使用，具備蜜罐主要功能，可以發(fā)現(xiàn)內(nèi)網(wǎng)中異常行為攻擊，并進(jìn)行日志記錄，同時(shí)可以收集攻擊行為和病毒樣本，可以代替蜜罐服務(wù)器在內(nèi)網(wǎng)中大規(guī)模部署。因?yàn)榻K端部署可以直接利用辦公電腦現(xiàn)有資源，僅維護(hù)后臺(tái)數(shù)臺(tái)蜜罐服務(wù)器及日志服務(wù)器即可感知內(nèi)網(wǎng)威脅，通過(guò)此方式部署，可以減輕蜜罐服務(wù)器在內(nèi)網(wǎng)中部署的硬件成本及運(yùn)維成本。

圖3 蜜罐識(shí)別EternalBlue攻擊

圖4 終端端口訪問(wèn)日志記錄

5 結(jié)論

隨著勒索蠕蟲(chóng)病毒的不斷演變，終端安全已經(jīng)成為企業(yè)安全中非常重要的一個(gè)部分，通過(guò)部署蜜罐可以發(fā)現(xiàn)未知威脅，但由于部署效果與部署規(guī)模密切相關(guān)，而部署及管理的成本是運(yùn)維人員不可忽視的問(wèn)題。本文針對(duì)蜜罐部署成本及管理成本過(guò)高的問(wèn)題，提出了一種基于終端代理蜜罐服務(wù)的勒索蠕蟲(chóng)病毒監(jiān)測(cè)方法，通過(guò)在終端上部署代理進(jìn)行端口映射，可以將蜜罐作為一種服務(wù)代理到辦公網(wǎng)絡(luò)的各個(gè)網(wǎng)段之間，達(dá)到對(duì)內(nèi)網(wǎng)威脅感知覆蓋的效果。通過(guò)實(shí)驗(yàn)結(jié)果顯示，本方法可以有效發(fā)現(xiàn)攻擊行為，并進(jìn)行日志記錄，同時(shí)該方法適用于不同的后端蜜罐服務(wù)。