基于欺騙與應急場景構建的VPN防護技戰法

本文選自《交易技術前沿》總第四十二期文章(2020年12月)

楊媛媛、陳凱暉、趙黎、劉新亮、姚凱君

國泰君安證券股份有限公司 [email protected]

VPN是遠程辦公不可或缺的安全手段，起到保護內部網絡不受第三方非法入侵的作用，并為用戶提供了從互聯網接入企業內網的入口。與此同時，由于VPN地址直接暴露在公網上，容易遭受0day攻擊、暴力破解、賬號盜用等黑客攻擊，攻擊者可能利用VPN直接進入企業內網。無論是VPN系統失陷還是VPN賬號失陷，均會對公司內網安全造成極大的影響，其潛在的安全風險也對防守方進行著考驗。本文針對VPN面臨的威脅及攻擊面，通過VPN自身加固及多場景自動化監控告警的配置，結合欺騙防御技術布防VPN仿真系統，實現對VPN的防護和對攻擊者的溯源反制。

一、目標與思路

VPN作為公司用戶進入內網的重要手段之一，往往會直接暴露在公網上，同時也會被攻擊者直接利用。為了減少公網暴露面被攻擊的風險，我司安全團隊通過研究后，一方面對真實使用的VPN系統進行加固，避免0 day/N day漏洞被利用，并針對多種可能被攻擊者攻擊利用的場景設置告警監控點，實時監控VPN是否在異常狀態，結合威脅情報，以應對戰時可能出現的攻擊情況，做到及時有效的響應。

另一方面參考了ATT&CK矩陣防御方式，使用欺騙防御技術，基于攻擊的殺傷鏈在攻擊者必經之路上布防VPN仿真系統作為誘餌，混淆攻擊者的攻擊目標來實現戰前準備，同時安裝防反制木馬，對攻擊者采取反監聽措施，可反向獲取攻擊者信息，來實現對攻擊者的全面收集，獲取全量的情報信息，包含攻擊者當前使用設備的基本信息、WIFI連接狀態和網絡適配信息，以及攻擊者的賬戶和進程信息等，對解決攻防不對稱的第一步，獲取完備信息至關重要。

二、謀略與方法

(一)VPN系統的加固

針對VPN系統本身可能存在的配置弱點及攻擊面，從已知0day/Nday漏洞修復、配置優化多個維度進行加固

(1)環境弱點分析與加固升級

分析VPN自身可能存在的配置弱點，防范安全設備自身成為攻擊入侵者直接或間接利用的缺口，在演練開始前對現有的VPN進行排查，及時收集追蹤VPN設備已爆出的0day/Nday漏洞情況，并第一時間完成修復。

(2)優化配置

結合當前安全防護效果分析，提煉出優化的安全策略模型，對VPN進行縱深防護，補充提升針對性防護的規則。將管理服務器的端口改為不易猜測的端口，細化VPN日志的審計功能，延長登錄失敗鎖定時間，一旦發現異常登錄行為立即封鎖IP。

(3)加強入侵行為監測與分析

通過監控443,4430的訪問端口，識別以下五種入侵行為類型，標記具有入侵行為的IP，并記錄該可疑IP后續的訪問行為形成跟蹤日志以便進一步分析。

表1. VPN設備入侵行為分類

(二)蜜罐VPN的部署

為保護在外網開放的真實VPN系統，實現主動防御，根據攻擊行為做出預先判斷并進行提前布防，我司基于ATT&CK模型展開研究。ATT&CK模型全稱Adversarial Tactics, Techniques, and Common Knowledge，其包含了14種攻擊行為分類，及各分類下的攻擊技巧，全面地列舉了攻擊者在各個攻擊階段的行為中可能用到的攻擊技術，因此防守方可參考此模型，依據各階段攻擊技術采取相應的防守策略，檢測并阻止攻擊行為或減輕攻擊行為帶來的影響。

我司參考ATT&CK模型以攻擊者視角預測針對VPN系統的各攻擊階段，并基于欺騙防御技術設計部署相應防守策略，包括部署蜜罐VPN混淆攻擊者目標、偽裝虛假漏洞擾亂攻擊行為、部署反制誘餌拖延攻擊時間并溯源：

圖1. 基于欺騙防御技術設計部署相應防守策略

(1)在攻擊者踩點探測階段，參考ATT&CK所列攻擊技術T1016(攻擊者會收集系統網絡配置信息)、T1014(攻擊者可能使用Rootkit隱藏使用的惡意軟件)，利用蜜罐制作了VPN仿真系統，偽造系統網絡配置，誘導攻擊者攻擊蜜罐系統，用于混淆攻擊隊并消耗其攻擊時間;

(2)在攻擊者漏洞挖掘階段，通過在蜜罐中部署偽裝漏洞進一步獲取攻擊者的攻擊手法以及更多信息，參考ATT&CK防御技術DTE0011-Decoy Content誘餌部署，通過使用欺騙手段阻止或者擺脫攻擊者的認知過程，擾亂攻擊者的自動化工具，延遲攻擊者的行為或者擾亂攻擊者的破壞計劃;

(3)在攻擊者竊取數據階段，通過反制誘餌等方式，拖延攻擊時間并完成溯源。在獲取到攻擊者信息的情況下配合威脅情報庫或者其他的溯源手段來確定攻擊者真人身份信息。

一旦感知發現真實攻擊，也可以立即切斷，防止黑客攻擊真實業務，范圍可控。

(三)VPN防護應急場景的構建

VPN賬號異常登錄存在多種場景，除暴力破解等傳統攻擊利用場景外，還存在VPN賬號被盜用、VPN登錄后行為異常等風險，基于VPN設備本身的告警難以對多種攻擊利用行為進行檢測，且需人工通知相關賬號使用人，事件處置較緩慢。

因此我司通過安全日志分析平臺對接VPN日志，收集整合各VPN設備上的日志，根據VPN系統可能出現的攻擊場景及異常事件，設置以下5類安全分析與告警場景，產生告警時可自動關聯賬號使用人及安全管理人員，分析平臺將自動把告警內容短信發送至使用人和安全管理員，第一時間進行處置。

圖2.VPN自動化防護應急場景概覽

(1)VPN賬號暴力破解異常

檢測同一用戶賬號短時間內大量登錄失敗行為，及大量登錄失敗后登錄成功的行為，如存在上述行為則判斷用戶VPN賬號疑似遭到暴力破解或被爆破成功，產生告警并自動向用戶發送異常通知郵件。

(2)VPN用戶來源地異常

根據用戶最近兩次VPN登錄的ip地址所屬地及兩次登錄間隔的時間，計算出用戶移動的速度，檢測地理上不可能的訪問，如移動速度大于500km/h超過正常范圍，則判斷用戶VPN賬號疑似遭到盜用，產生告警并自動向用戶發送異常通知郵件。

(3)短時間內不同網段登錄異常

由于短時間內用戶從不同B段訪問VPN的可能性較低，檢測5分鐘內同一賬號從不同IP段(B段)登錄成功的異常場景，產生告警。

(4)惡意IP登錄異常

將VPN日志結合威脅情報信息，對訪問來源為惡意IP的VPN認證行為進行告警。

(5)用戶行為異常

將VPN日志結合堡壘機日志，檢測用戶通過VPN接入后的異常行為，對使用不同用戶賬號登錄VPN及堡壘機的行為進行告警。

三、攻擊對抗過程與成效

(一)VPN 0Day應用仿真

演習期間在獲取到VPN存在相關0Day漏洞后，立即制作包含最新0Day漏洞信息的仿真沙箱，使蜜罐對于攻擊者來說更具誘惑性，且成為攻擊者的首要目標。同時將攻擊隔離進沙箱系統，從而實現攻擊隔離，延緩攻擊進程。既能檢測黑客的行為，讓攻擊者不觸碰到真實資產，又能拖延攻擊者攻擊時間，提高攻擊成本，主動暴露出攻擊者身份、攻擊手法、攻擊目的等，并且還能捕獲攻擊者相關真實信息，有利于進一步溯源。

(二)VPN攻擊反制

配合重點系統需要下載指定軟件的特性，我們在制作沙箱的同時，還將VPN系統訪問所需要下載的軟件綁定免殺反制程序，當攻擊者誤攻擊仿真沙箱來下載訪問VPN的應用程序并且安裝之后，攻擊者的主機便能在反制模塊中上線，達到反制的目的，并且還能進一步獲取攻擊者團隊中其他成員的更多信息。

(三)成效

對蜜罐VPN告警、VPN入侵行為跟蹤日志、構建的防護應急場景進行實時監控，對產生的告警事件第一時間上報處置，并對異常事件進行源IP自動封禁或告警通知，提高了VPN威脅事件的通知及處置效率。演練過程產生多起VPN相關告警事件，告警類型包括暴力破解異常、訪問歷史高危漏洞頁面、用戶來源異常、觸發蜜罐告警等。通過及時確認并處置告警事件，封禁多個產生異常告警的互聯網ip，有效防止了針對VPN的攻擊，避免攻擊者以VPN作為入口進入內網，并使用蜜罐VPN吸引攻擊者消耗了其時間與資源。

同時通過基于安全運營中心構建的防護應急場景，對日常發生的VPN異常事件第一時間自動短信通知至相關VPN賬號使用人或安全管理員，防范VPN系統因0day漏洞被入侵、VPN賬號被竊取、盜用等情況，保障了遠程辦公環境的穩定運行。

聲明：本文來自上交所技術服務，版權歸作者所有。