基于BeEF框架的蜜罐技術應用

羅宇曉

（浙江廣播電視集團傳輸發射中心，浙江 杭州 310061）

1 蜜罐技術的應用前景

云計算的快速應用以及遠程辦公方式的普及，直接導致相關單位網絡的被攻擊面迅速擴大，由此引發單位聯網架構出現越來越多的盲點。而被攻擊面擴大和監控系統盲點增多的后果是，偷襲成功的網絡攻擊數量明顯上升。網絡攻擊者利用缺少監控的盲點，闖入相關單位的基礎設施，提升攻擊力度或橫向移動，伺機尋找有價值的信息。而在低成本布局前提下，完全消除監控盲點并不現實，蜜罐技術便是讓網絡攻擊者陷入泥淖，步入陷阱的最佳防御武器。

對于缺乏專業安全團隊的中小企業來說，考慮實施安全項目的最重要前提，并非是這個項目是否有效，而是這個項目是否比其他項目更有效，實施成本更低。對于目前的蜜罐系統，雖然部署并不夠普及，但是由于具有易于部署、成本較低、彈性強，而且幾乎沒有誤報的重要特點，必將越來越有市場[1]。

2 蜜罐技術的實現

所謂兵不厭詐，欺騙是這個世界上成本最小、收效最大的攻擊。使用蜜罐技術的目的，就是用兵不厭詐的思路來圍堵這些可惡的入侵者。

蜜罐技術通過部署偽裝的憑證、數據庫、服務器來引誘攻擊者，由于它有著很低的誤報率，安全人員可以依據攻擊者在蜜罐中的活動，立刻采取諸如阻攔IP地址、隔離感染系統等自動化的緩解措施，還可通過人工智能技術在整個企業環境中建立欺騙網格并放置誘餌，如終端、網絡、服務器，甚至是云端[2]。

3 蜜罐技術的應用優勢

如今黑客對于企業的攻擊，都采用相同的行為模式。他們進入企業內部網絡，第一時間就會翻看高管郵箱、查看會員系統，或者進入財務系統尋找財報。也就是說，他們的目標非常明確。根據可靠的信息，從事這類黑產的黑客，進攻的成功率可以達到95%。

在實際應用中，基于行為檢測的蜜罐系統幾乎零誤報，運維人員可以不用疲于面對產品的大量告警日志，與傳統安全產品的特征檢測相比更高效。一個攻擊者常常會犯的錯誤是，他們通常在攻下了某個終端機器后，還會使用該機器測試是否能連接上另外某一臺機器，但在得到確認可以連接的信息后，往往又是用自己的機器去直接連接。這使得蜜罐不僅能獲取到攻擊者已控制的機器的IP地址等情報，還能得知攻擊者真實的地址。

4 關于蜜罐溯源實踐

4.1 蜜罐溯源之目的

攻擊溯源不僅可以保護本單位在網絡攻擊中免遭破壞，也能完成對攻擊方的調查取證。通過利用蜜罐系統本身的自動化記錄及取證的功能，對攻擊方所使用的攻擊手段和攻擊路徑進行記錄，為安全研究人員提供數據分析的基礎數據。利用這些信息，再結合捕獲的攻擊者所使用的入侵工具，可以對攻擊者所利用的安全漏洞進行分析和研判。

4.2 蜜罐溯源思路布局

通過部署蜜罐，完全模擬本單位自有業務系統，對攻擊者進行誘捕，偽裝服務系統本身內置多種社交賬號的溯源工具，當攻擊者訪問偽裝的業務系統或者對缺陷服務進行攻擊的時候，溯源工具對攻擊者的多種社交賬號進行誘騙獲取。再使用這些社交賬號，進行交叉查詢驗證，從而確定攻擊者的“真實身份”[3]。

在模擬的自有業務系統中，可以嵌入BeEF已編制好的一段javascript代碼。瀏覽器攻擊框架（The Browser Exploitation Framework Project，“BeEF”）是當前歐美最流行的Web框架攻擊平臺。利用跨站腳本攻擊（XSS）這個簡單的漏洞，一旦攻擊者訪問蜜罐，BeEF便可以通過這段已編制好的javascript來控制攻擊者主機的瀏覽器，通過瀏覽器拿到各種信息，同時能夠配合安全漏洞檢測工具metasploit來進一步滲透攻擊者主機，功能相當強大。

圖1 蜜罐溯源防守方案圖

此防守方案的目的是層層設防、層層迷惑，延長攻擊時間，增加攻擊成本。

4.3 互聯網誘捕系統的搭建

4.3.1 網絡規劃

首先在互聯網核心交換機旁路新建誘捕區，單獨劃分IP地址段，以保證與內部業務系統網絡層無法通信。在重要網段部署蜜罐入口，綁定盡可能多的空閑IP地址并開放迷惑性的端口，盡可能延長攻擊者消耗的時間，以此提高攻擊成本。同時提供弱點目標吸引攻擊者，如低版本中間件、數據庫等[4]。

4.3.2 蜜罐部署

蜜罐部署的核心思路就是“仿真”，通過迷惑性的方式，如增加業務系統假分身、隱藏真實業務系統、適當放出漏洞等，提高攻擊者的攻擊難度，從而保障系統安全。

例如，我們要對一個部署在一臺Windows Server服務器上的業務系統進行仿真，則至少需要Web偽裝服務、Windows RDP、Windows系統偽裝服務組件以及數據庫偽裝服務組件等。同時，在系統偽裝服務組件和數據庫偽裝服務組件中，還可以放置脫敏脫密的蜜文件或蜜數據，以加強整體業務系統的偽裝性。

在外網業務系統的這些Web偽裝服務組件中，可放置真實業務系統的前端數據。對于仿真的業務系統，綁定無法被域名猜解工具猜解到的域名，然后發布在互聯網上。在后端可配置基于真實業務系統后端服務的偽裝服務組件，以提高整體業務系統的仿真度。

為加強蜜罐的迷惑性，來充分模擬已有業務系統的后臺登錄頁面，還需要重新編譯高交互頁面，并強制觸發URL跳轉關鍵字，在正常業務系統中不存在的高風險目錄內加入重定向代碼，對企圖攻擊者進行誤導引流[5]。

4.3.3 BeEF部署

（1）服務器層面的部署。通過外部云VPS（Virtual Private Server虛擬專用服務器），部署BeEF系統。

（2）BeFF控制代碼的部署。在蜜罐中部署的各類應用系統及部分真實的業務系統的敏感頁面（如管理后臺登錄界面，假的敏感信息泄漏頁面、黑客字典中的敏感頁面等）Web代碼中嵌入BeEF的控制代碼，來反向滲透并控制攻擊者的瀏覽器以獲取攻擊者的網絡信息。

4.3.4 利用誘捕系統溯源攻擊者

4.3.4.1 鑒別攻擊者

（1）主動訪問蜜罐的IP地址90%都是入侵攻擊者的，其余部分是互聯網各類爬蟲、探針等IP地址，正常用戶不會去主動訪問蜜罐端口。

（2）通過互聯網側的應用防護設備、全流量威脅感知分析系統采集到的各類攻擊者IP地址均可以作為攻擊者IP地址。

圖2 BeEF管理界面

（3）有訪問正常業務不存在的高風險目錄行為的IP地址，也可判斷為攻擊者IP地址，正常用戶極少會主動訪問不存在的Web目錄。

4.3.4.2 獲取攻擊者虛擬身份信息

（1）訪問蜜罐的設備在蜜罐系統后臺上線后，我方則開始反向釣魚，如圖3所示，首先嘗試通過蜜罐來獲取攻擊者的虛擬身份信息，如果不能直接抓取到攻擊者的真實身份信息，則通過BeEF向攻擊者瀏覽器發送重定向指令，讓攻擊者的瀏覽器主動去訪問其他能夠獲取到更多信息的蜜罐系統，例如重定向到百度網盤、163郵箱、騰訊等頁面，一旦攻擊者瀏覽器仍保存上述站點的登錄信息，則有機會通過蜜罐獲取到攻擊者上述站點的虛擬身份信息，來開展進一步的攻擊溯源。

圖3 反向釣魚流程圖

（2）在正常業務系統不存在的目錄中嵌入相關代碼，將攻擊者重定向至蜜罐系統，通過蜜罐及BeEF獲取攻擊者的虛擬身份信息。

4.3.4.3 虛擬身份信息的溯源

在獲取到攻擊者的虛擬身份信息后，繼續通過搜索引擎、論壇、貼吧、微博等社交平臺及社工庫嘗試分析攻擊者的真實身份信息。例如，在一個攻擊IP地址（168.224.XXX.XXX）對企業門戶和蜜罐系統進行攻擊時，蜜罐成功誘導攻擊者獲取相關信息，截獲了攻擊者瀏覽器中的新浪賬號昵稱“太陽***”，利用外部情報平臺和社工庫完成對攻擊者溯源，比如可以在知乎、微博等平臺對該用戶進行搜索，或者利用支付寶微信轉賬的方式獲取攻擊者信息。如圖4所示，在成功獲取攻擊者的詳細真實身份信息后，則完成對攻擊者的完整畫像。

圖4 溯源流程圖

在國家相關主管部門組織的2020年大型網絡安全實戰攻防演習行動中，相關單位作為防守方參與演習，并部署以上蜜罐系統成功溯源了攻擊者。釣魚攻擊如今已經成為攻防演練中的一個非常重要的、也很常見的攻擊方式，所以對于攻擊方來說，厘清溯源的思路，能夠讓其更好地隱藏自己；防守方也可以依靠猜解攻擊者的習慣和攻擊手法去進行溯源并反向釣魚進行反制。對于參與攻防演習的防守方，還應該配置郵件網關、沙箱等物理設備防范釣魚攻擊，同時可以組織內部防范釣魚攻擊培訓，進一步提高員工的安全意識。

5 結束語

早期的蜜罐技術主要只應用于被動地收集數據，如今蜜罐技術更注重通過高交互的仿真環境，實現誘捕，甚至溯源反制，達到防御欺騙的效果。這種欺騙防御技術既可以當作網絡安全的第一道防線，也可以作為最后一道防線。它既可以檢測低級別的掃描探測，也可以檢測出高級別的已經滲透到企業網絡中的APT（高級可持續威脅攻擊）攻擊。而基于BeEF框架的蜜罐技術更擅于反制攻擊者，易于反向滲透。