杀伤攻方“有生力量”|演习期间云蜜罐布控策略指南,请注意查收!
2023-8-8 17:50:50 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

事件背景

演习将至,负责斗象PVP诱捕溯源系统值守的小陈师傅正盯着屏幕发呆。小陈领导看到了心想,这不对啊,咋发起呆来了?随即走到小陈师傅旁边说道:“小陈,抽空把最近云蜜罐的布控策略梳理下,输出一份指南来”。小陈师傅陡然一惊,甚至忘记点击浏览器右上角的”X”,但随即又战术后仰,微微一笑,甩了甩鼠标,切出了珍藏多日的“大杀器”《PVP云蜜罐溯源反制布控策略》,并讲解了起来……

一、蜜罐布防之“天罗地网”

在攻防对抗中,能被攻击者找到的蜜罐才是最有效的蜜罐,为了在攻击者的攻击路径上布下天罗地网,小陈在此次布控中使用了两种蜜罐进行布防:

1. 云蜜罐(天罗)

这是此次通过云上部署方式为外部攻击者布下的第一种蜜罐——云蜜罐。

1.将蜜罐部署在公有云VPC上,并配合NAT映射给蜜罐分配了多个公网IP;

2.分配业务子域名、OA、File、VPN等,并将域名解析到蜜罐公网IP上;

3.使用CDN隐匿蜜罐真实IP,并设置回源地址到云蜜罐。

2. 微机蜜罐(地网)

说到这里,小陈介绍起了桌面上的一块不起眼的黑色小盒子,笑道:嘿嘿,这个硬件小盒子其实是一个微机蜜罐,而它基于一块小小的树莓派。

在企业内网部署中,PVP诱捕溯源系统支持硬件探针和软件探针,支持部署在Windows,Centos,Ubuntu,Raspberry(树莓派) 多种操作系统上。同时可以通过跨VLAN部署的方式将虚拟IP分配到多个网络区域,即使一块小小树莓派也可以实现对网络区域的蜜罐IP部署全覆盖,从而实现对IoT网络、访客网络等区域的监控。

二、业务仿真、动态克隆之“保真障眼法”

在蜜罐布控中,良好的业务仿真能力可以对攻击者造成更多的迷惑性,做到以假乱真。业务仿真方式除了传统的固定类型蜜罐部署外,更可以通过站点克隆和反向代理的方式来实现业务仿真,小陈师傅开始眉飞色舞的介绍PVP溯源反制诱捕系统中的“动态克隆”蜜罐

小陈还介绍到,在PVP中可以通过动态克隆蜜罐的编辑能力来对原始站点业务站点进行编辑和自定义:

三、服务模拟、漏洞伪装之“甜蜜迷魂阵”

在攻防演练中,攻击者会使用流行漏洞对目标站点进行POC扫描,识别目标站点是否存在漏洞。PVP溯源诱捕系统支持通过在蜜罐中提前放置流行漏洞,伪造漏洞检出,吸引攻击者对蜜罐进行更深度地探测和攻击载荷的释放

PVP溯源诱捕系统特点

内置大量伪装漏洞

 ▶ 支持通过插件化的方式在任意蜜罐中插入漏洞

 ▶ 支持用户自定义创建漏洞

 ▶ 支持扫描器进行扫描检出

四、对抗反制、诱捕溯源之“一招必杀”

讲到这,小陈师傅不禁回忆起了去年通过PVP溯源诱捕系统反制到的那些攻击者,暗自笑了起来。他开始介绍到这次布控所使用的反制诱饵:PVP中支持多种类型的反制诱饵,并内置支持反沙箱,反虚拟机,反调试和诱饵免杀的能力。

我们将各种类型的反制诱饵通过插件化的方式布置到各个蜜罐中,在攻击者成功被诱饵反制之后,PVP溯源诱捕系统内置的反制平台,将支持对攻击者进行持续性地控制,获取和解析攻击者身份信息

接着小陈师傅点开了屏幕监控功能,说起了去年通过屏幕监控来跟攻击队唠嗑的故事,那故事就说来话长了……

蜜罐用得好,2023反制攻击队出奇制胜

“蜜罐结合恰当的策略运营可以达到事半功倍之效,”小陈嘴角微微上扬,接着又说到:”今年攻防演习中,我们可以通过PVP蜜罐溯源和反制攻击队扣分甚至出局,利用规则杀伤‘敌方有生力量’,同样能为公司获得更多赢面。”

听小陈讲完,领导拍了拍小陈的肩说道:“小伙子,干得不错!”小陈回应道:“嘿嘿,必须的嘛~”


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwMjcyNzA5Mw==&mid=2247491577&idx=1&sn=ae6cad8375d8c5ebe6d30edea6cd598b&chksm=96db1423a1ac9d35dda61e6a13c6c9e275fc0622103ceb6069565c04896feefad1412a99bf2b&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh