【谛听】针对攻击全过程的欺骗防御

所有网络攻击，无论多么复杂，都具有相似的过程，并且欺骗技术几乎可以在每个攻击阶段得到解决。

🔥第一步：侦查-收集信息

攻击者：在shodan、fofa、站长之家、github等任何攻击者能想到的位置收集信息，摸清企业资产情况甚至是防火墙
防守方：1.部署外网蜜罐让攻击者收集；2.散布与蜜罐相关的诱饵信息

🔥第二步：武器构建-收集可利用的工具

攻击者：1.整理收集到的信息，例如受感染的机器、被盗用的凭证、漏洞；2.如果信息价值不高，创建非法邮件准备钓鱼
防守方：1.散布与蜜罐相关的诱饵信息，吸引攻击者注意

🔥第三步：初始访问-进入网络

攻击者：1.网站前端恶意代码注入；2.发送钓鱼邮件；
防守方：1.布置蜜罐，攻击者访问时发出告警

🔥第四步：执行-运行恶意代码

攻击者：1.攻击者运行恶意代码，在不知不觉中欺骗用户在终端上打开一个恶意文件
防守方：1.如果攻击者在蜜罐中运行恶意代码，或者正常进程被外部程序操控，或者有其他进程插入，蜜罐会立刻发出告警

🔥第五步：维持权限

攻击者：1.攻击者通过增加账号、自启动程序等方式在一个位置站稳脚跟

🔥第六步：提升权限

攻击者：1.使用劫持DLL等技术提升权限
防守方：1.提前在主机上散布诱饵，比如错误的备份或配置文件，当攻击者打开诱饵时发出告警

🔥第七步：摆脱防守

攻击者：1.恶意软件使用多种仿真和虚拟化检测技术，并等待计算机中的人为行为来引爆。
防守方：1.放置看起来像安全软件的诱饵，但是如果禁用或卸载，则会发送警报。 2.在欺骗环境中打开恶意软件。

🔥第八步：偷取凭证

攻击者：1.从内存中偷取凭证。
防守方：1.在内存中投放凭证诱饵

🔥第九步：发现

攻击者：1.在PC上寻找网络信息，找到运行的流程、软件，研究PC的配置文件等
防守方：1.设置文件诱饵：（1）打开即告警；（2）引导到蜜网环境；（3）提供虚假信息

🔥第十步：横向移动

攻击者：1.用0day或1day漏洞打生产服务器
防守方：1.部署一些容易被发现的蜜罐，例如域控服务器

🔥第十一步：收集

攻击者：1.获取敏感用户的分类信息
防守方：1.设置攻击者喜好的虚假信息；2.诱饵打开即告警

🔥第十二步：命令和控制

攻击者：1.使用DNS隧道连接CC
防守方：1.如果攻击者在蜜网环境内搭建连接CC的隧道，设备会很容易发现，并标记

🔥第十三步：获取数据

攻击者：1.加密数据传送回CC，以防被发现
防守方：1.如果在欺骗环境中，拿到的都是虚假信息甚至是诱饵

🔥第十四步：影响-处理或销毁数据

攻击者：1.控制更多系统；2.泄漏敏感信息
防守方：1.在攻击的早期阶段检测攻击者，向攻击者提供渗透所需的虚假信息，从而限制影响