【谛听】蜜罐溯源介绍
面对日新月异的攻击手段,传统的基于已知漏洞、特征、规则的安全设备已经难以满足企业对于网络安全的需求,尤其是在被攻击者拿到核心数据或者破坏核心设施时,安全运维人员只能做事后修补,对攻击者的身份、位置、手段一无所知,企业亟需找到一种方式打破攻守的不平衡,了解、分析、追踪、震慑对手。
不同于传统安全产品的被动防御,长亭谛听伪装欺骗系统基于“主动防御”的理念,在法律允许范围内精准采集攻击者身份信息,分析并形成攻击者的画像,协助用户共同打击网络犯罪,保护资产安全。
在攻击者使用浏览器访问仿真溯源蜜罐时,谛听可对攻击者进行追踪溯源,可采集到的信息包括:
☘️设备指纹
设备指纹包括攻击者使用的主机和浏览器的信息,其中:
主机信息包括操作系统类型和版本、CPU核数、是否为触控屏、是否安装 unity (一款由 Unity Technologies 研发的游戏引擎)、屏幕分辨率和主机所在时区
浏览器信息包括:浏览器类型和版本、是否为移动端,以及浏览器指纹
备注:浏览器指纹是目前比较常用的跟踪用户的方式,每一种浏览器都会使用不同的图像处理引擎,不同的导出选项,不同的压缩等级,所以每一台电脑绘制出的图形都会不同,这些图案可以被用来给用户设备分配特定编号,也就是我们说的指纹,可以用来区分不同的用户。
☘️社交信息
谛听可通过在仿真溯源蜜罐页面嵌入js的方式溯源攻击者的主流社交平台的帐号信息,js可通过JSONP跨域绕过同源策略,只要攻击者在浏览器登录过社交帐号,即可采集到帐号信息,目前支持近20种主流网站,具体溯源内容变化较大,请以实际为准。
☘️位置信息
位置信息对能找到真实攻击者至关重要,防守方也可以在采集位置信息后,通过封禁外网和代理IP的方式有效组织攻击者入侵。
webrtc 获取真实IP介绍:
https://yryz.net/post/chrome-webrtc-leak-ip.html
谛听利用了浏览器的专有服务特点,能溯源到攻击者的真实IP,即使攻击者使用了多层代理或VPN,具体如下:
| IP类型 | 内容 |
|---|---|
| 真实外网IP | IP地址、地理位置、经纬度、时区、所属运营商 |
| 代理IP | IP地址、地理位置、经纬度、时区、所属运营商 |
| 直接攻击IP | IP地址、地理位置、经纬度、时区、所属运营商 |
