主动防御

吉沃运营专员

一、理论

Miter Att&CK 的姊妹框架 Mitre Shield 是将工具和技术映射到主动防御领域的框架。美国国防部将主动防御定义为 "采用有限的进攻行动和反击来阻止敌人进入有争议的区域或阵地"。在 Mitre Shield 中，主动防御的范围从基本的网络防御能力到网络欺骗和对手交战行动。这些防御的结合使组织不仅可以应对当前的攻击，还可以更多地了解该对手并更好地为未来的新攻击做好准备。

二、工具

2.1 蜜罐

蜜罐是主动防御的核心部分，除了在了解攻击者及方法方面上具有令人难以置信的价值之外，还可用于检测任何成熟度级别的安全程序的令人难以置信的实用程序。蜜罐的核心概念之一是假设会发生妥协，通过准备一个如此多汁的目标，或一个如此不经常使用的资源，以至于可以由毫无戒心的攻击者发起对其访问，可以在网络中捕获参与者，即使他们足够精明，可以偷偷绕过所有其他防御。

• 优秀的蜜罐集
• https://tryhackme.com/room/introductiontohoneypots
• 蜜罐工具
  
  • Honeyd 是一个在网络上创建虚拟主机的小守护进程。可以将主机配置为运行任意服务，可个性化，使它们看起来像是在运行某些操作系统。
  • MDH：现代蜜罐网络，易于安装和配置蜜罐服务。有 Snort、Cowrie 和 Dionea 的配置脚本。
  • Open Canary - 最流行和最灵活的蜜罐应用程序之一。OpenCanary 是一个运行 canary 服务的守护进程，可以在访问时触发警报。警报可以发送到系统日志、电子邮件或 opencanary-correlator。
    
    • https://adhdproject.github.io/#!Tools/Attribution/OpenCanary.md
      
  • Wordport - The Wordpress based Honeypot
    
    • https://adhdproject.github.io/#!Tools/Annoyance/Wordpot.md
      
  • Labrea - LaBrea 接管未使用的 IP 地址，并创建对 Internet 上的蠕虫、黑客具有吸引力的虚拟服务器。该程序以这样一种方式回答连接尝试，即另一端的机器会 "卡住"，有时会持续很长时间。
    

Honeyports - Honeyports 是一种将攻击系统动态列入黑名单的好方法。可以创建一个简单的脚本，在攻击者与某些端口建立完整连接时将其动态列入黑名单，或执行简单的警报。

• Honeyports tool
  
  • https://adhdproject.github.io/#!Tools/Annoyance/HoneyPorts.md
    
• RubberGlue
  
  • https://adhdproject.github.io/#!Tools/Annoyance/Rubberglue.md
  • https://bitbucket.org/Zaeyx/rubberglue/src/master/
    
• Invisport
• Offensive Countermeasures - pg. 34
  

Honey-Assets - 任何合法用户或进程通常不会触及的文件、对象、帐户或其他资源，它们被设置为在访问时执行特定操作。

• Canary Tokens - Canary Tokens 是未激活的对象，可以在激活时返回。例如，可以创建一个回调的 Word 文档。或者，在这个例子中，一小段 HTML 代码在激活时回调
• dcept - 用于部署和检测 Active Directory 蜜令牌使用的工具
• CryptoLocked - 反勒索软件工具包
• Artillery - Honeypot、honeyport、文件完整性监控合二为一，统治他们的一个项目。
  
  • https://adhdproject.github.io/#!Tools/Annoyance/Artillery.md
  • https://medium.com/@Mag1cM0n/act ... 012-r2-e1ab22974947
  • Offensive Countermeasures - pg. 76
  • Honeydocs - Applied Network Security Monitoring, pg.335
    

资源

• https://www.honeynet.org/
• Using Canary Honeypots for Detection - Applied Network Security Monitoring, pg.317
  

视频演示：https://www.youtube.com/watch?v=14YuyMkfB9Q

2.2 归因

有没有想过谁在攻击你？不是他们通过什么 IP 进行代理，而是真正在攻击你的是谁？揭露攻击者并获取有关如何访问和使用你的数据的详细情报，能够采取主动措施来防范下一轮攻击。

• Cowrie - Cowrie 是一个中高交互 SSH 和 Telnet 蜜罐，旨在记录暴力攻击和攻击者执行的 shell 交互。在中等交互模式 (shell) 下，它在 Python 中模拟 UNIX 系统，在高交互模式 (代理) 下，它充当 SSH 和 telnet 代理，以观察攻击者对另一个系统的行为。
  
  • https://adhdproject.github.io/#!Tools/Annoyance/Cowrie.md
    
• Decloak - 用于识别 Web 用户的真实 IP 地址，无论代理设置如何，使用客户端技术和自定义服务的组合。
  
  • https://adhdproject.github.io/#!Tools/Attribution/Decloak.md
    
• HoneyBadger - 用于通过结合使用浏览器的共享位置功能、可见 WiFi 网络和 IP 地址定位技术来识别 Web 用户的物理位置。
  
  • https://adhdproject.github.io/#!Tools/Attribution/HoneyBadger.md
    
• https://github.com/Phype/telnet-iot-honeypot
  

2.3 网络 Poisoners 检测

像 Responder 这样的网络 Poisoners 可以捕获并响应网络内的 LLMNR、NBT-NS 和 MDNS 流量，以用于横向移动和内部侦察。它将根据名称后缀回答特定的 NBT-NS (NetBIOS 名称服务) 查询。可以通过各种方式检测到这些，包括仅由网络中 Poisoners 捕获的虚假凭据集。

• Respounder - Respounder 为不存在的虚构主机名发送 LLMNR 名称解析请求。 在正常的非对抗性网络中，我们不希望这样的名称能够解析。 但是，响应者（如果存在于网络中）将解决此类查询，因此将被迫暴露自己。
• HoneyCreds - HoneyCreds 网络凭证注入以检测响应者和其他网络 poisoners。
  

三、其它

• https://github.com/adhdproject/awesome-active-defense
• ADHD (Active Defense Harbinger Distribution) - 从 Blackhills Infosec 和 Active Countermeasures 的工作中产生的一个项目，ADHD 是一个基于 ubuntu 的操作系统发行版，带有大量可用的最好的以主动防御为重点的工具。它是一个免费发行版，还包含由 Active Countermeasures 开发的大量免费学习内容。 查看他们的网络广播和 Wild West Hackin' Fest 的培训，了解有关如何充分利用这些工具的更多详细信息
• Talos 主动防御工具包 - 提供一个中央集线器，计算机网络防御者可以通过该集线器无缝、简单地运行，以在其网络上部署主动防御工具
• Offensive Countermeasures: The Art of Active Defense  - John Strand
• BTFM: Honey Techniques - pg. 48