鑽石舞台

只能應用於攻防演練？

不止於此！

迷網欺騙誘捕防禦系統上得了實戰場，也能日常安全運維。

誰不想擁有迷網這麼一個有安全感的朋友呢？

全球勒索態勢愈演愈烈，由中國產業互聯網發展聯盟指導發布的《2022產業互聯網安全十大趨勢》明確指出，2022年勒索病毒危害將進一步擴大化。勒索產業鏈日益完善，勒索攻擊更頻繁、更多樣、更精準、更有目的性，勒索病毒目前已成為網絡安全頭號威脅，每15秒就有一家企業受到侵害。面對勒索病毒的囂張氣焰，防範應對刻不容緩。

擋槍、扛傷害，有事「我」先上

知己知彼，百戰不殆。勒索病毒作為一種新型電腦病毒，通過綁架用戶文件威脅索取高額贖金，堪稱網絡安全行業的「綁匪」。這種病毒主要攻擊Windows電腦，通過漏洞發起攻擊，或以郵件、程序木馬，網頁掛馬等形式進行傳播。它利用各種加密算法對文件進行加密，被感染者無法解密並打開文件，必須繳納攻擊者所要求的贖金，才能獲得打開文件的方法。勒索病毒持續產生新的變種，基於規則的檢測機制始終趕不上攻擊者的更新腳步，且其漏洞利用機制影響面巨大，稍有不慎就會中招。因此，勒索病毒的有效防治是日常安全運維的一大難題。

在過去的攻防演習中，安恆信息迷網欺騙誘捕防禦系統（以下簡稱「迷網」）展示出了面向攻擊強勁的誘捕和溯源能力。長期以來，國內對欺騙防禦技術的理解與應用大多還停留在攻防演練的場景當中，極少將其用於日常防護。實際上，以「欺騙防禦體系構建」為理念的迷網在日常安全運維中也很能打！

實戰案例：迷網vs勒索病毒

此前，迷網團隊在某項目日常運營過程中發現，用戶網內存在IP地址通過445端口對迷網部署下的samba蜜罐進行大量的持續探測行為。

迷網欺騙防禦系統告警頁面記錄截圖

通過對此行為進行關聯事件分析後，發現該IP對Windows7蜜罐（存在永恆之藍漏洞）進行了漏洞利用，成功獲取到蜜罐權限，在其中創建並運行病毒程序。

通過分析其獲取蜜罐權限後的攻擊行為，發現其攻擊意圖是通過Windows7蜜罐作為跳板，繼續對外進行攻擊擴散。當然，基於迷網自身的安全機制，該舉動只能以失敗告終（迷網自身的虛擬網絡實現機制，使攻擊性行為只能進不能出，所以蜜罐作為跳板時只能訪問其他蜜罐地址，不影響客戶真實網絡環境）。

當攻擊行為被確定後，迷網團隊協同客戶一起對IP進行了分析，發現該IP為其下屬單位歸屬IP。通過聯動其他安全產品分析發現，該IP地址也對網內其他主機嘗試進行攻擊，並且被多次阻斷，但由於平時運營告警量過大，該行為過去並未得到重視並進行處置。

在驗證該攻擊端行為過程中，查看其開放端口和連接情況時發現存在大量SYN連接，根據pid查看任務進程發現其攻擊進程並定位到文件，通過安恆威脅分析平台進行在線分析，發現其為wannaCryptor勒索病毒。

至此，該攻擊主機也被完全識別並進行妥善處置。

迷網團隊說

透過整個排查過程，我們思考幾個問題：

在運營過程中遠不止這一次攻擊，在後續的跟進過程中，我們幫助客戶在半年內完成了百餘次的精準處置，將風險扼殺於搖籃之中。

通過樣板案例對欺騙防禦技術的特性驗證，也更加堅定了我們開啟基於欺騙防禦技術的協同聯動體系的構建。

隨着網絡攻擊技術的不斷演變，欺騙防禦跳出了技術對抗的思路，把關注點從攻擊上挪開，進而去關注攻擊者本身。相信未來欺騙防禦技術會在自動化處置、協同聯動的安全領域中發揮不可替代的作用。