分析:下一代欺骗– Attivo BOTsink

我一直在使用 Attivo Botsink by. attivonetworks. 作为我在实验室的主要欺骗平台相当一段时间。我发现它非常适合收集攻击并分析它们。我升级到当前版本–4.2.3.62审查。升级到下一个版本很容易。只需转到Attivo支持门户,下载图像文件并告诉Botsink即可使用它来升级。该过程是典型的整体轰动性的设计:简单,直观和直截了当。

高级功能集

Botsink有一个全面的功能集,包括创建诱饵和诱饵的能力。完整的Botsink实现看起来完全像内部企业的扩展到管理员,但是侵入者彼此无法区分。诱饵设置又是非常简单的。我为此测试设置了三个诱饵,并允许肉汤进行其余的。一位诱饵是坐在互联网上的IP上的Web服务器–ATTIVO提供Web服务器,但您可以自定义或创建自己的–和两个内部诱饵。

诱饵看起来与合法的设备完全相同,除了他们收集未来分析的数据,并且任何将诱饵的尝试都被送到了陷入困境的池塘。诱惑是攻击者的攻击项目,如文件,电子邮件地址,用户,带有诱惑文件的文件系统和可能感兴趣和入侵者的其他内容。一个特别好的lure是一个文件,可以报告试图采取它的入侵者的地址。

这是一个真正的基于AI的系统。它使用无监督的机器学习来发现网络环境,使得Botsink可以构建欺骗网络。例如,在此测试中,我使外部Web服务器用内部IP双归位。此模拟Web开发人员和Web Masters内​​部访问的Web服务器的典型配置。只需分钟即可创建内部Web访问的诱饵即可–22总而言之。这个想法是如果攻击者通过外部Web服务器突破内部网络,他将在其中一个内部诱饵中找到自己。

一旦攻击者闯入诱饵–SSH,Telnet和FTP是有利的方法尝试这一诱饵–他可以在诱饵内工作,好像它是一个真正的机器。当他确实时,他会留下可以遵循的法医占地面目。我已经给了Web诱饵一个简单的猜测密码,普通账户,黑客毫无困难地妥协。结果是攻击者留下的法医数据的宝库。

Botsink允许设置Active Directory防御,终点的法医检查和特定的端点保护,针对整个企业进行横向移动尝试。法医功能需要将法医应用放置在端点上,因此它通常在攻击器设备上无效。

建筑学

Botsink可以是安装在多个VM架构中的设备或虚拟系统,例如VMware。它也可以安装在云中。一个名为attribdirect的单独模块可以收集诱饵信息–它创造了自己的诱饵–并将其转发回到主要的Botsink通过隧道。这允许分布式架构跨越多个内部网络。

我们实验室中的Botsink是3200型器具。在设备中是几个虚拟机:CentOS 7,Ubuntu 1.24,Ubuntu 1.31,Windows 7 64位,Windows 7和Windows Server 2008.这些VM中的每一个都支持我的设备上的32个单独的地址,我有一个192个诱饵网络的可能性。添加到我现有的网络。当然你可能会不会’由于配置VM并将配置反映在IP中,因此使用所有可能的IP。在我的情况下,我让Windows 7设备设置为用户工作站,Windows Server设置为包括AD和Linux VMS作为Web服务器的多功能服务器。我不’使用所有Windows服务器,我不’然而,使用所有的Linux诱饵。

除了提供的VM外,我还可以添加自定义VM。当然,我可以添加尽可能多的应用程序,因为当然,注意到一些– those that aren’t open source –需要获得许可。

用户界面

用户界面不能更加简单。它由三部分组成:顶部的下拉菜单,一组中子菜单,沿着侧面的每个下拉列表和各种功能内的额外子菜单。例如,如果我选择分析下拉目,我可以从几个选项中进行选择,例如事件,端点,网络和终端取证。如果我选择事件,我会得到一个如图1所示的展示。

图1–分析 - 事件显示

还有额外的子菜单。例如,我可以根据关键字,描述,攻击者IP,目标和其他几个搜索。我可以指定捕获期–在这种情况下,一周,严重程度,在这种情况下高,我可以命名搜索。我可以将搜索保存以稍后返回,我可以切换到表格视图,使我更详细地提供如图2所示。

图2–分析事件下拉的表格视图

将所有方式移动到此显示的右侧,我得到了一些非常有趣的信息,如图3所示。

图3.–成功的SSH从英国的51.77.66.35登录

我可以扩展,即使进一步达到成功的整个图片(突出显示的部分),如图4所示。

图4.–成功登录的活动日志

请注意,攻击者尝试连接到172.217.168.206,命令和控制服务器位于Google云中。

分析Attivo Botsink

我对Botsink有一点经验,并且有两个突出功能已经成为我的主要实验室测试平台:易于部署和全面的分析能力。欺骗表现出越来越受欢迎,市场上有几种欺骗产品。有些人在企业的隔离上是薄弱的,但也有一些好的。

Botsink提供出色的隔离–我试图脱离欺骗网–污水孔可以防止攻击者使用诱饵作为枢轴点,以便额外的攻击或与c的沟通&C服务器。我已经看到了一些攻击者试图用诱饵垃圾邮件和凭证填充攻击的优秀典范的若干攻击者的例子。 Botsink通过注意到访问诱饵或诱饵来快速识别攻击者。但是,如果端点会受到影响,则可以通过将Botsink与多个智能防火墙中的任何一个集成来阻止它。

我找到了功能优秀,但大型企业的大赢得易于部署。无监督的机器学习速度和简化大型企业的部署。一旦基本的Botsink部署了诱饵,AD保护和取证就会简单。内存取证可以在端点或Botsink VM处运行。

监测和报告是关于最全面的我 ’看到它,它甚至可以分析可执行文件。与SIEMS和SYSLOG服务器集成以及提供分布式欺骗的能力将Botsink扩展到完整的企业级安全系统。通过使用一些配置技巧,Botsink可以安全地捕获和转发垃圾邮件和网络钓鱼电子邮件,而不会影响分析师’S电脑。这只是一个简单的设备配置功能的一个简单示例。

观点

I’ve有机会通过多个版本看到肉汤链接,它只是保持越来越好。毫无疑问,它是一个真正的下一代安全工具。我们处于一个恶意行为在线速度发生的环境中,人类运营商不可能跟上。今天唯一的真实答案是自动化,今天唯一的有用自动化是AI,特别是无监督的机器学习。安全工程师倾向于将欺骗网络视为某种溶解的蜂蜜锅。随着Botsink演示,这可能不会远离真相。

今天’S欺骗网络必须能够检测和响应攻击和响应– better –完全破坏攻击。具有分层功能,Botsink与近期可能的祖先蜜尼那样远离其祖先的。作为欺骗网络的发展,我希望看到更多来自Attivo的创新。我看到的核心增长区域是利用AI自动化欺骗,响应和取证能力,即使是今天的侵略性。这种增长不仅仅是添加功能,而是,相反,平台的扩展使得从一开始就建立了更强大的系统。我的看法是,Attivo沿着这条道路很好,我希望能够在一段时间内测试和试验。

强烈建议使用Botsink。

P. R. Stephenson,PHD,CISSP(RET)
未来激烈的出版商
独家在网络防御杂志上

P.S.我们的朋友在Attivo上提醒我,我不仅仅是192 IP,我实际上还有更多。我为不打电话而道歉:‘即使VMS拥有192个总虚拟接口,那么Botsink也可以处理高达2000个诱饵IP,它需要它,并将其转发给适当的诱饵以进行参与’。我应该在架构部分中注意到这一点,因为它是一个非常有价值的建筑资产。事实上,我自己在实验室里使用它。

 

 

 

 

 

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请