猎风-蜜罐诱捕与入侵监测系统-
【某三级医院客户】
采用创宇蜜罐发现内网勒索病毒
方案:
1. 采用创宇蜜罐客户端接入方式覆盖内网各个VLAN
2. 将每个VLAN闲置IP绑定到客户端,将攻击流量转发至蜜罐应用系统
3. 开放蜜罐服务端口,如:445
价值:
攻击发现:3天捕获威胁请求5000+次,通过对蜜罐捕获的大量威胁告警日志进行分析,确定某内网 IP 对内网多个网段超过2000个IP发起了端口扫描动作,且针对445端口发起了大量端口扫描动作
处置响应:分析发现某内网IP感染了蠕虫病毒、沦为跳板机,并向周围发起蠕虫传播,同时对445等敏感端口进行探测,协助客户立即对关键服务器 数据库 进行排查加固,关闭可能被勒索病毒利用的敏感端口,并处理了感染蠕虫病毒的高危主机
【某大型企业客户】
采用私有版高仿真蜜罐、蜜饵、蜜网牵制攻击者7天
方案:
调研网络管理员主机、邮件信息、文件信息,内网AD域配置情况,采用私有版蜜罐部署
在网络管理员所在网段及其它网段,对网络管理员主机进行1:10孪生蜜罐部署(对数据进行了脱敏),隐藏了主机蜜罐运行进程,散播邮件、文件等蜜饵到内网关键位置,同时构建AD域蜜网,仿真管理员信息、成员信息
每一个蜜罐、蜜饵中都有其它蜜罐的入口、虚假域控等信息,引诱攻击者掉入下一层蜜网
价值:
攻击发现:其中一个网络管理员孪生蜜罐诱捕到攻击者,蜜罐RDP录屏功能将攻击者在蜜罐内的操作过程录制了下来,后攻击者顺藤摸瓜掉入了AD域蜜网,攻击者前后在构建的蜜网包括AD域内摸索了7天
攻击还原:当内网感知型蜜罐发现攻击者利用内网跳板机进行横向渗透扫描后,客户正准备对其进行阻断时,看到攻击者进入了其中一个网络管理员孪生蜜罐主机,继续在孪生蜜罐主机内观察攻击者行为,看到攻击者发现了存储虚假域控信息的文件并打开了文件,攻击者随后根据蜜饵文件中存储的地址信息链接到了另一台蜜罐主机,并用AD域管理员账号(其实是虚假的蜜饵)登录了主机,获取了域控权限,后续多次对AD域内若干主机(其实也是蜜罐)进行了查看、删除操作记录等操作,试图找到主机上存放的高价值数据,并拿走了一些看起来有价值的数据(经过脱敏、误导处理的),到第7天攻击者还在AD域中探索,客户对攻击者进行了阻断
【某客户公有云】
采用创宇蜜罐牵制攻击者2天
方案:
公有云部署
创宇蜜罐的单IP多端口多蜜罐部署
价值:
在公有云部署创宇蜜罐客户端,绑定客户公有云 公网IP 地址,将攻击流量转发至创宇蜜罐的云端蜜场
攻击发现:1000+条攻击日志/天
分析发现:攻击者对公网IP上进行全端口扫描,掉入了事先预置了漏洞的Struts2蜜罐,在蜜罐中停留了2天,尝试利用Struts2的漏洞进一步突破,但最终未能得手
【某省级大数据中心攻防演练】
采用创宇蜜罐溯源到攻击队所属单位
方案:
远程完成蜜罐部署,海量快速部署
将蜜罐入口散播到互联网
价值:
攻击发现:攻防演练中捕获到60+个攻击者IP
分析发现:
18个IP近期被打上了「威胁」标签
1个IP在此次攻防演练期间在全网的攻击量大增,且攻击行业中高校占比98%
通过多方情报对比得出,该攻击者IP属于某安全公司,作为攻击队参加,并主要针对高校客户进行攻击渗透
创宇蜜罐在攻击者提前“踩点”阶段就发现了攻击者。客户提交溯源分析报告加了500
评价与问答
