1. Общий обзор
Веб-атаки на веб-сайты являются основной угрозой безопасности в Интернете.Чтобы скрыть личность и избежать отслеживания, при атаке целевых веб-сайтов хакеры часто используют различные средства для сокрытия своей личности, такие как использование (динамических) прокси, виртуальная частная сеть и т. д. Эти методы злоумышленников хорошо скрывают собственную информацию, что усложняет сотрудникам службы безопасности отслеживание источника.
Хотя технологии защиты и технологии трассировки источников для веб-атак также постоянно развиваются, такие как: IDS, WAF, трассировка источников логов/трафика и т. д., эти технологии часто находятся в состоянии пассивной защиты или недостаточно информации для трассировки источников. , и трудно иметь дело со сложными и постоянно меняющимися средствами нападения.
Проблема 1: Атакующий трафик скрыт в большом количестве легитимного трафика, который непросто обнаружить и идентифицировать. Хотя IDS и WAF обладают мощными возможностями, все же существует вероятность ложных отрицательных или ложных срабатываний, а также возможность обхода из-за их собственных уязвимостей или несовершенных правил.
Вопрос 2: Даже после того, как атака идентифицирована, источник атаки может быть заблокирован на основе механизма черного списка IP-адресов, но если злоумышленник переключает исходящий IP-адрес, как эффективно идентифицировать поведение атаки до запуска новой атаки по-прежнему невозможно с Доступны текущие продукты безопасности, такие как IDS и WAF.
Вопрос 3: Если во время атаки злоумышленник использует (динамический) прокси-сервер, виртуальную частную сеть и другие средства, традиционная технология отслеживания, основанная на веб-журналах и сетевом трафике, не может эффективно определить личность или местонахождение злоумышленника.
2. Цель данной статьи
Рисунок 1 Цели исследования
Чтобы восполнить недостатки традиционных технологий защиты безопасности и обеспечить основу для отслеживания и судебной экспертизы киберпреступлений на основе идеи активной защиты, в этой статье предлагается техническая схема отслеживания, основанная на сетевом обмане и снятии отпечатков пальцев браузера. который направлен на эффективное определение поведения сетевых атак и локализацию атак.Идентификация или местоположение пользователя могут быть обнаружены с помощью механизмов сотрудничества или обмена информацией между различными веб-сайтами, а также могут быть обнаружены потенциальные эвристические атаки.
3. Родственные технологии
- Технология отпечатков пальцев браузера
Рис. 2. Обзор технологии снятия отпечатков браузера
Когда браузер взаимодействует с сервером веб-сайта, браузер предоставляет веб-сайту множество различных сообщений, таких как модель браузера, версия браузера, операционная система и другая информация. Точно так же, как человеческие отпечатки пальцев могут использоваться для идентификации разных людей, когда энтропия информации, предоставляемой браузером, достаточно высока, веб-сайты могут использовать эту информацию для идентификации, отслеживания и определения местоположения пользователей.
Сценарии применения технологии идентификации браузера (обсуждение возможности безопасности защиты от сетевых атак) Сценарии применения технологии идентификации браузера (обсуждение возможности безопасности защиты от сетевых атак)
Рис. 3 Возможности технологии отпечатков пальцев браузера
Эта технология применяется для отслеживания источника атаки.Даже если хакер использует (динамический) прокси-сервер, виртуальную частную сеть и т. д., «скрипт отслеживания источника», который собирает информацию об отпечатке пальца, может достичь браузера клиента в обратном направлении, а затем быть запускается и выполняется для получения информации, связанной с хакером, более сексуальной информации. Среди них информация, которая может быть собрана, включает не только системный шрифт клиента, язык системы, подключаемый модуль браузера, смещение часового пояса, холст, IP-адрес внутренней и внешней сети и другую информацию об устройстве, но также ключевую запись злоумышленника, посещенные веб-сайты. и даже конкретную поведенческую информацию, такую как учетные записи веб-сайтов (с уязвимостями JSONP). ("исходный скрипт трассировки" реализован на основе кода JavaScript)
- Технология интернет-обмана
Рис. 4. Обзор методов сетевого обмана
Кибер-спуфинг — это защита (или стратегия) от кибератак, предназначенная для того, чтобы убедить злоумышленников в том, что в целевой системе есть ценные уязвимые места в системе безопасности (фиктивные или неважные), ведущие злоумышленника к этим ресурсам ошибок для достижения цели. обнаружения атак, предотвращения атак и записи действий при атаке. Среди них приманка является распространенной технологией сетевого обмана.Помимо технологии приманки, существуют также различные методы реализации технологии обмана, такие как приманка, приманка и топология виртуальной сети.
Сценарии применения технологии отпечатков пальцев браузера
Рисунок 5 Технические средства сетевого обмана
Обычно, прежде чем пытаться атаковать веб-сайт, у злоумышленника есть некоторые встроенные методы сбора информации о целевом веб-сайте, такие как взрыв поддоменов, сканирование портов с высоким риском, сканирование конфиденциальных каталогов и сканирование веб-уязвимостей. Для различных методов атаки могут использоваться разные обманные методы, чтобы сбить злоумышленников с толку, например: для взрыва поддоменов может быть развернут поддельный веб-сайт и привязаны поддомены; для сканирования каталогов может быть развернута поддельная фоновая страница входа в систему и т. д.
4. Сценарии применения
- Сценарий применения - специальный обман
Сценарии применения технологии отпечатков пальцев браузера
Рис. 6. Архитектура выделенной среды обмана
Развернуть выделенную сетевую среду обмана, например: зарегистрировать имя поддомена и намеренно привязать фальшивую систему веб-бизнеса; развернуть фальшивую страницу входа и регистрации на веб-сайте на веб-сервере (используется для захвата номера мобильного телефона злоумышленника, электронной почты и другой информации). ; Разверните уязвимый Weblogic и откройте его для Интернета и т. д. В то же время вся «обманная информация или услуги» не выдаются во внешний мир, и доступ к ним возможен только с использованием определенных технических средств, а обычные пользователи обычно не совершают таких операций.
- Сценарий применения — обычная защита веб-сайта
Рис. 7 Архитектура фоновой защиты веб-сайта
Развертывание «скрипта трассировки» на странице входа администратора в реальной бизнес-системе может не только собирать информацию об отпечатках пальцев злоумышленника, но и когда злоумышленник использует одно и то же устройство для атаки на страницы входа администратора в нескольких бизнес-системах, отпечатки пальцев браузера коррелировать события атаки. (Примечание: информация об отпечатках пальцев устройства администратора была изменена)
Сценарии применения технологии отпечатков пальцев браузера
Рис. 8 Общая архитектура защиты веб-сайта
Кроме того, на главной странице веб-сайта можно развернуть «скрипт отслеживания источника» для сбора информации об отпечатках пальцев всех пользователей и сравнения ее с информацией в базе данных отпечатков пальцев (сохраняются только отпечатки пальцев клиента, относящиеся к поведению атаки). чтобы почувствовать потенциальное поведение исследовательской атаки. Преимущество данного сценария применения заключается в том, что в процессе анализа сайта и поиска уязвимостей злоумышленник может выделить его из большого количества обычного трафика.
- Сценарий приложения — внедрение WebShell
Сценарии применения технологии отпечатков пальцев браузера
Рис. 9 Веб-оболочка Traceability
Когда обнаруживается, что веб-сайт был захвачен злоумышленником, а бэкдор WebShell остался, помимо изоляции сети и машины, троянский файл можно временно не удалять, но «скрипт трассировки источника» можно вставлены в него, ожидая повторного посещения злоумышленником, чтобы получить и атаковать. Информация об отпечатках пальцев с сильной корреляцией между пользователями может обеспечить основу для отслеживания и сбора доказательств.
Пять, преимущества и недостатки
- Преимущества этой программы:
(1) Отсутствие ложных срабатываний
Созданная среда обмана не публикуется в Интернете, невидима для обычных пользователей и может быть обнаружена только определенными средствами. Любой доступ к этим поддельным ресурсам считается потенциальной атакой, поэтому ложных срабатываний не бывает.
Таким образом, по сравнению с обычными продуктами для обеспечения безопасности, такими как IDS и WAF, основанными на технологии сетевого обмана, атакующий трафик может быть идентифицирован из большого количества законного трафика, и нет ложных срабатываний.
(2) Улучшить ложноотрицательный показатель
Даже в ходе атаки хакер использовал большое количество прокси-серверов и постоянно менял выходной IP-адрес. На основе технологии снятия отпечатков пальцев в браузере можно вовремя обнаружить исследовательскую атаку, инициированную одним и тем же устройством, а затем заблокировать атаку. (Примечание: при фактическом использовании необходимо учитывать частоту столкновений отпечатков пальцев браузера)
Таким образом, по сравнению с механизмом защиты, основанным на черном списке IP, механизм черного списка, основанный на отпечатке устройства, позволяет быстрее обнаруживать, отслеживать и блокировать атаки (даже если злоумышленник использует большое количество прокси-серверов), тем самым уменьшая количество ложных срабатываний.
(3) повысить прослеживаемость
Относительно полагаясь только на серверную часть для получения прослеживаемости информации, основанной на технологии отпечатков пальцев браузера, можно собирать информацию на стороне клиента, которая более актуальна для злоумышленника, и даже учетную запись его социальной платформы (требуются определенные предварительные условия), тем самым расширяя возможности отслеживания и судебной экспертизы.
- Недостатки этой программы:
(1) Проблемы столкновения отпечатков пальцев и ассоциации отпечатков пальцев
Во-первых, собранная информация об отпечатках пальцев между разными клиентами может конфликтовать с отпечатками пальцев, то есть отпечатки пальцев разных устройств считаются одним и тем же устройством. В то же время также существует ситуация, когда информация об отпечатках пальцев одного и того же устройства несовместима из-за переключения сетевых сред, обновления браузеров или переключения браузеров.
Следовательно, как собрать более дифференцированные атрибуты функций на стороне клиента, чтобы уменьшить частоту конфликтов, и как реализовать отслеживание отпечатков пальцев между браузерами и устройствами — это вопросы, которые необходимо учитывать в практических приложениях.