兵临城下丨谈诱捕防御与溯源分析系统（RayTRAP）在攻防演习中的应用实践

诱捕防御与溯源分析系统（RayTRAP）采用孪生诱捕网络技术，通过在用户网络中自动化部署分布式异构形态蜜网，主动吸引攻击者对虚假环境或服务进行攻击，进而对攻击者进行诱捕、分析和溯源取证，并结合多种处置响应手段对威胁进行快速处置和防御。RayTRAP可有效弥补传统网络安全防御方案的弱点，构建主动发现感知网络威胁的能力，有效提升网络安全响应及防御能力。

欺骗防御作为当前主动防御的主要方法之一，是实战由被动向主动转变的重要手段。通过利用RayTRAP，企业能够充分了解攻击者的攻击套路和手段，有针对性地制定部署措施，从而扭转由于攻防不对称带来的劣势，提升安全防御的主动性和有效性。

在攻防演习中，红队的攻击行为是有“套路”可循的，大体来说分为3个阶段：前期侦查，单点突破，横向移动。

在“前期侦查”阶段，红队通常会在攻防演习前就开始广泛收集攻击目标的各种信息，这些信息包括：

对外暴露的IP、端口信息
网站、应用内容扫描
识别服务、软件版本
识别使用的WAF、防火墙等安全产品
从网络等多种渠道查找可能泄露的各类敏感文件和账户信息
从社工库查找可能泄露的相关账户信息
目标单位的组织架构、人员信息
目标单位的供应商、外包员工等信息

进入正式攻防演习后，红队将会利用前期侦查到的信息以及对应的各类0day或Nday漏洞利用等工具，尝试对目标系统进行单点突破来获取入口权限。常见的攻击方式包括：

针对各类中间件的漏洞利用
针对各类开源软件的漏洞利用
针对其它各类Web组件的漏洞利用
针对各类边界网络设备的漏洞利用
针对各类基础网络服务的漏洞利用
传统钓鱼等攻击利用

如果顺利拿下目标系统的入口权限，那就进入到第三阶段——“横向移动”，主要包括三个环节：

1、提权利用，因为拿到的入口权限一般为普通用户，权限不高，很难直接进行横向移动，这时一般利用系统漏洞或第三方组件来进行提权；

2、获取到入口主机的管理员权限后，采用多种方式来收集当前主机（跳板机）和所在网络的各类信息；

3、完成信息收集后，就会开始尝试横向移动，进而达到攻击的目标。

下面我们再从攻守双方的优劣势视角对比来进行分析：

作为红队（攻击方）

优势：

0day/Nday获取信息快速，攻击速度比防守方加固速度快，隐藏在暗处，攻击手段多样化。

劣势：

对目标单位网络不熟悉；人少、0day少、目标单位多、时间少、可用资源有限。

作为蓝队（防守方）

优势：

对自己的资产、网络结构、业务特点熟悉，有大量安全设备、技术人员来支撑防守。

劣势：

资产有死角、对攻击者无法分辨，修补漏洞有时延。

了解以上攻击套路和攻守双方优劣势对比是希望能知己知彼，百战不殆！在部署RayTRAP时，针对各个攻击阶段，充分利用好攻击方对防守方的劣势，来扩大防守方的优势，制定更为有效的针对性的防守策略。

在前期侦查阶段，提前设计好部署方案、部署好RayTRAP系统，主动将虚假的业务系统、服务等资产信息暴露给红队；
在单点突破阶段，通过RayTRAP对红队的攻击行为进行监测、对攻击套路进行分析，用以指导蓝队优化防御策略；
在横向移动阶段，用蜜罐为载体构造场景投递溯源、反制蜜饵，获取攻击者的身份信息，获得溯源得分。

在前期侦查阶段，我们需要提前部署好RayTRAP，主要工作包括：

设计部署方案：

RayTRAP部署在哪个位置，计划仿真什么网络、仿真哪些业务服务、哪些服务需要映射到外网、使用哪些IP等，同时可以考虑部署诱捕探针来进一步扩大诱捕范围；

部署系统：

设备上架，完成基本的配置工作，完成诱捕探针安装工作；

生成孪生诱捕网络：

RayTRAP支持通过手动绘制或自动测绘来生成孪生诱捕网络，通过对目标业务网络的自动测绘，使用模式识别等技术，基于全场景仿真模板对测绘信息进行拟合，生成最优的孪生诱捕网络模型，使用分布式异构形态蜜网来快速创建数字孪生诱捕网络，实现基于业务系统特性的孪生诱捕网络的快速虚拟创建；

部署诱饵：

按需部署溯源、反制类诱饵；

按需对外映射：

对需要部署到外网的蜜罐，在网关配置策略映射对应的IP、端口到外网。

当开始攻防演习后，就可以用RayTRAP来对攻击进行监测、诱捕和分析了。典型的工作流程如下：

1、攻击监测：

通过对风险事件进行监测，及时发现攻击行为；如果有攻击者对其进行攻击，RayTRAP能把攻击者的攻击行为详细记录下来，包括攻击者源IP、攻击的蜜罐、使用的账户、攻击描述、攻击结果、影响程度、攻击时间等信息，同时支持记录攻击者发起攻击对应的攻击首包、攻击载荷、完整流量包及攻击者上传的可疑文件，支持界面直接下载分析，这些数据对分析攻击者使用的工具和攻击手法将有很大的帮助；同时，支持以“时间线”方式来展示攻击者攻击的详细过程。

2、攻击分析：

发现攻击行为后，结合攻击日志，对攻击行为进行分析研判；基于对攻击日志的特征匹配、威胁情报检测，再使用关联分析规则对RayTRAP产生的诱捕日志进行多维度关联分析、去重合并，最终提炼出关键攻击行为生成风险事件，通过风险事件能够了解到攻击的详细信息、攻击影响和危害等。通过威胁情报和关联分析，RayTRAP产生的风险事件准确性高，告警数量少，结合事件自动处置，可以有效的提高安全监测的能力和效率。

3、攻击封堵：

根据研判的结果，是否决定对攻击进行封堵；RayTRAP支持联动防御能力，支持与盛邦安全的系列防御产品（包括RayWAF、RayIDP等）进行联动阻断，支持与网络空间资产探测系统（RaySpace）实时联动查询，将可疑文件发送给持续威胁检测与溯源系统（RayEYE）进行联动分析；同时也支持多种预警通知方式，及时将攻击事件通知到监测人员。

4、策略调优：

根据监测到的攻击日志对诱捕网络和诱捕策略进行动态优化。可以调整诱捕网络部署一些攻击者更感兴趣的仿真对象；对一些授权的扫描行为，可以一键白名单来自动忽略对应的告警等。

在红队尝试单点突破和横向移动时，攻击者可能就会触碰到RayTRAP预先部署的溯源反制蜜饵，进而来获取到红队的身份特征信息。RayTRAP支持多种溯源反制手段，包括WEB反制、扫描反制、木马反制等。

通过WEB反制，可以获取攻击者主机浏览器近期登录过的主流网站账户等信息；
通过扫描反制，可以获取攻击者主机指定数据文件，获取社交软件账号等信息；
通过定制反制木马，反向投毒，引诱攻击者去访问，进而拿到攻击者主机访问权限，来获取攻击者身份等信息。由于木马反制需要结合很多辅助手段，包括免杀木马制作、远控服务端搭建、上线后的分析等等，在攻防演习中通常由专业的安服人员来主导实施。

以上介绍了RayTRAP部署应用的一些基本方法和应用实践，希望能够为大家在攻防演习中更好地使用RayTRAP提供一些帮助。通常来说，直接部署使用标准的RayTRAP功能就能在攻击监测、诱捕上取得较好的效果；对于重保期间，在标准RayTRAP基础上，建议通过针对性地设计诱捕场景、定制高交互业务仿真模板和溯源反制诱饵，效率和效果会更好。