官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
安全背景
随着计算机网络的飞速发展,网络渗透,敏感信息盗取等攻击行为每天都发生在我们的身边。黑客利用各种服务器软硬件漏洞,获得服务器的控制权,并继续渗透入侵,以获得他们需要的信息。防火墙,入侵检测系统的广泛使用,使得黑客们常用的以使用服务器端软硬件漏洞为主的入侵方式成功率越来越低,因此攻击者开始使用新的,更加简便的攻击方式,客户端攻击。
客户端攻击以客户端软件漏洞为攻击目标,在各类客户端软件被广泛使用的今天,已经逐渐成为黑客们常用的攻击方式。在对抗传统攻击的过程中,安全研究人员提出了极富创造力的蜜罐理论并开发出各类不同的蜜罐系统,为研究和检测传统攻击方式做出了巨大的贡献。然而,新的客户端攻击方式的出现,使得针对传统攻击的蜜罐系统失去了作用,基于此,天翼安全提出了针对客户端攻击的客户端蜜罐。
安全创新
我司新研发docker沙箱,模拟应用服务、客户端服务,以及真实业务系统,最大程度进行业务仿真,迷惑攻击者。
除了服务型蜜罐:Mysql、ftp、ssh、snmp、ICS-s7comm(工控)、ICS-modbus(工控)、samba、web_server、honeycomb之外,还推出国内首家客户端蜜罐:
ssdp沙箱使用的简单服务发现协议(SSDP,Simple Service Discovery Protocol)是一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一。
nbns沙箱使用的网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS(NetBT)协议族的一部分,它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。
安全原理
客户端蜜罐用来检测客户端攻击。现在以检测恶意网页和恶意服务器为主。客户端蜜罐主动与网页服务器交互,并检测服务器返回的数据中是否包含攻击用户浏览器及插件的行为。
客户端攻击利用了客户端应用软件漏洞,用户访问一个被放置了恶意数据的服务器,当用户主机上有漏洞的应用软件处理这些恶意数据时,用户主机就可能被攻陷并执行恶意代码。而如果用户不去访问那些恶意服务器,那么他们的主机不会遭受客户端攻击。
因此,客户端攻击需要用户首先发起会话,这使得使用守株待兔方式的传统蜜罐无用武之地。传统的蜜罐系统一般都是服务器端的蜜罐系统,它们不能用于监测和研究客户端攻击,这些蜜罐系统所部署的漏洞及缺陷都以服务方式运行,等待入侵者找到它们并实施攻击。但对于客户端攻击,为了实现对其进行检测,系统必须主动与恶意服务器通信或处理恶意的数据,并区分出正常服务器与恶意服务器。
综上所述,客户端蜜罐系统具有如下特点:
基于客户端:它模拟或驱动客户端应用软件,不在其上部署等待攻击的服务端程序;
主动性:它不吸引攻击者来攻击,而是主动与远程服务器交互以发现客户端攻击;
辨识能力:所有与传统蜜罐系统交互的通信都被认为具有恶意性,但对于客户端蜜罐则不同,客户端蜜罐具备需要自动识别恶意服务器与正常服务器的能力。
天翼安全致力于构建动态防御主动防御新一代防御体系,开创蜜罐新思维,不仅限于服务端蜜网,通过创新式研发,将客户端蜜网加入欺骗防御新防线,使内网防护更加牢固可靠。
安全测试
我们来进行一个简单的使用测试:使用kali下的Responder来进行模拟攻击测试
(1)使用Responder查看使用选项
(2)启动Responder毒化攻击
(3)查看创建的NBNS客户端沙箱
(4)查看kali上的结果
(5)查看幻视行为追踪结果