设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 数据 手机 公司
当前位置: 首页 > 服务器 > 安全 > 正文

这个由中国黑客研究的“超级欺骗系统”,究竟能做什么?(2)

发布时间:2017-03-26 02:09 所属栏目:53 来源:雷锋网
导读:一个蜜场其实并不用和企业真实的网络架构100%相似,而是要和黑客想象中的企业网络架构100%一样。因为黑客根本没有见过企业真实的网络,所以他只会把摸到的情况和想象中比对,越是靠近想象,他们就越不怀疑自己入侵

一个蜜场其实并不用和企业真实的网络架构100%相似,而是要和黑客想象中的企业网络架构100%一样。因为黑客根本没有见过企业真实的网络,所以他只会把摸到的情况和想象中比对,越是靠近想象,他们就越不怀疑自己入侵了假的系统。

这个由中国黑客研究的“超级欺骗系统”,究竟能做什么?

【蜜罐、蜜网、蜜场的逻辑结构】

蜜场之内的“盗梦空间”:幻云

自古兵不厌诈,蜜场的概念人们都可以理解。但是,一个好的“欺骗系统”,很重要的一步恰恰是第一步:把黑客引入这个“盗梦空间”。

由于企业内部网络需要正常运营,必须对有权限的好人提供服务的同时,把坏人引向另一个时空的“欺骗系统”——幻云。

所以企业内网需要掌握的一项重要能力,就是分辨好人和坏人。

对此,这些大牛黑客们设计出了一套精巧的验证系统。

由于我们做了将近二十年的安全测试,很多时候都是在对方基层员工根本不知情的情况下尝试突破系统的防守。所以,我们对于攻击者的理解是非常深刻的。我们能够清楚地分辨出哪些行为是正常的,哪些行为是只有入侵黑客才会做的。

这些特征并不是什么很明显的动作,而可能是一个非常小的端口检索动作,或者一种不同寻常的查询方法,就像一个老刑警可以通过一个小动作就锁定小偷。

la0wang 如是说。

还是回到小偷和别墅的比喻。小偷进入别墅之后,会摸到几扇相同的门。作为窃贼没办法分辨哪个门后面才有有价值的资料,于是他的做法一定是先试着把几扇门都撬一下。其中有一扇门不用很大的力气就被撬开,小偷一定会选择先进入这个房间看一看。

没错,这扇最好撬开的门恰恰就是蜜场的入口。

一旦被定向到蜜场,小偷的世界就被偷天换日,即使他很快退出这个屋子,外面的一切都已经被悄悄替换成了蜜场。

我不需要所有真实的门锁都非常强,我只需要所有真实的门锁都强于这个通向幻云的门锁,就够了。

老王说。

这扇虚假的门用专业术语称为:诱捕节点。实际上诱捕节点可以部署在网络环境中的很多部位,例如:办公网络、DMZ区(隔离区)、核心数据区等。只要入侵黑客碰到了任何一个节点,都会瞬间被定向到“盗梦空间”,永远无法返回。

这个由中国黑客研究的“超级欺骗系统”,究竟能做什么?

【攻击流重定向示意图】

我们的目标是:怒怼黑客

既然来了,就别走了。

这一定是欺骗系统最想对入侵黑客说的话。

由于提供了逼真的环境,黑客不仅不会对所处的环境产生怀疑,反而会对自己的技术沾沾自喜。而在这个时候,就是监视黑客的好机会了。

这个由中国黑客研究的“超级欺骗系统”,究竟能做什么?

【幻云系统截图】

来拍个照片吧:黑客全景录像

黑客得意洋洋地穿梭在幻云中,系统会记录攻击过程中的网络数据、主机数据、各种类型的行为数据。

这些数据详尽到令人发指。胡鹏介绍说:

我们收集数据的比例是 1:50。这个比例是什么呢?比如我们捕获到攻击者的一条攻击指令,我们会同时获取近50个项目的相关信息,包括这条指令的附属信息、关联信息、环境信息等等,凡是和这条指令相关的数据,我们全部保存。

为什么这么做?因为攻击的过程非常宝贵,尤其是内网渗透的全过程,如果我们没有保存那么多数据,如果后续的分析环节就可能受影响,如果我们保存了足够多的数据,那么就为后续的分析打下了一个良好的数据基础。所以,我们决定保存足够详尽的攻击数据。

当然,所有收集信息的过程,必须是完全地悄无声息。因为攻击者一旦发现了破绽,很可能马上离开,或者选择反过来做很多迷惑对手的行为。

la0wang 说:

我们使用了非常隐蔽的无痕监控技术,就像一间屋子的地下有着震动感应的传感器,黑客在屋子里看不到任何东西,但是他的一举一动都会通过震动波被记录下来。攻击者可以很开心地在我们的环境中攻击,我们可以很开心地采集攻击者的行为数据。何乐而不为呢?

来看看照片吧:通过“语境”判断攻击意图

有了丰富详实的数据基础,就可以开始行为分析了。这其中设计一个有趣的技巧,就是攻击者的“语境”。

简单举个例子:

这个由中国黑客研究的“超级欺骗系统”,究竟能做什么?

这是微信上一段对话的截图,从对话中可以看到是右边的人想向左边的权哥借5000块钱,那么是不是这样的呢?我们再看第二幅图:

这个由中国黑客研究的“超级欺骗系统”,究竟能做什么?

看了第二幅我们才知道原来是左边的权哥欠了人家的钱不还,而且还说话不算数,故意抵赖。其实这个借钱不还的故事还有很长很精彩,篇幅所限,我只截了其中一小段。用这个例子说明什么呢?

如果不是在一个连续的、完整的语境环境中,那么我们针对数据的分析结果很有可能是错误的结果。

所以,一个完整的攻击语境包括:行为上下文、攻击时间、所处业务场景、目标对象等与攻击有关的语境因素。

胡鹏为我们举了几个简单的例子:

业务场景:我们的欺骗环境是由不同的业务场景组成的,比如有办公区、DMZ区、核心数据区等,那么不同场景下相同的动作就会有不同的含义,我们的分析都是在特定的业务场景中展开的。

重要环节:在攻击过程中,攻击者在不同的环节,会有不同的动作特点,比如刚进入内网时的探测、探测之后的渗透、得手之后的获取数据、走的时候清除痕迹等,这些都是攻击过程中的重要环节,针对重要环节的分析可以让我们从纷繁复杂的数据中整理出一个有序的过程,整个分析的结果会更加清晰。

关键路径:攻击者在攻击过程中会形成一定的攻击路径,也就是攻击者是如何一步步的达成目标的,经过哪些关键的位置,这个过程中比如攻击者是如何挑选不同的进攻路径的,比如如何从办公区进入核心数据区,攻击者需要先找到运维人员或者管理员的那台机器进入,那么这个运维人员或者管理员就是攻击路径中的关键点,通过对关键路径的分析,可以看出攻击者的进攻思路和攻击技巧。

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读