非法数据包检测命令（使用windows文件审计检测honeyfile访问）

简介

随着蜜罐技术的不断深入与成熟，蜜罐早已不再局限于传统的仿真操作系统和服务上了。如今蜜罐的形式和种类也越来越多样化和具有针对性，例如 “honeytokens”, “honeycreds”以及本文将要介绍的 “honeyfiles”（它可以是一个无人使用的用户账户，也可以是一个正常用户不会去访问的文件，又或是一个没有人会去点击的链接等等）。

蜜罐文件（honeyfiles）有时也被称作蜜罐文档，是一个专门用于迷惑和欺骗攻击者的单独文件。一般该蜜罐文件会被进行严密的监控，当有任何与该文件的交互发生都将触发警报，例如对文件进行读取、删除或修改等。

蜜罐文件可以说是一个企业网络，用于了解和追踪恶意活动最有效的手段之一。通过对企业资产及威胁的预判，我们可以创建较有针对性的蜜罐文件。例如创建一个名为“MySQL密码”的文件，而这类文件对于没有太多技术知识技能的内部员工往往不会去访问，但对于虎视眈眈的攻击者这就好比是天上掉下来的馅饼。同样与外部攻击者相比，内部员工可能更在像“年终财政”这类的文件。

文件共享通常是商业敏感数据的金矿，也被外部及内部攻击者视为最有价值的攻击目标。然而即便如此，想要检测和识别文件共享上的恶意行为仍是一项艰巨的任务。虽然文件共享通常都会启用审计功能并生成大量日志，但这些日志往往只能用作事后调查，而难以将其转换和检测其中的异常行为。

识别恶意活动的另一种手段是使用“honeytoken”。简单来说就是将一个honeytoken存储在文件中，当文件被打开时将自动连接到一个域名并生成一个警报。虽然这是一个相对有效和隐蔽的方法，但是它的缺陷也显而易见就是对于网络连接的要求。一个具有相关经验的攻击者将会很快意识到这些检测机制，并且在打开文件之前会将文件转移到一个隔离网络的环境中。在近段时间CIA泄露的一份文件中，描述了一些将honeytoken注入到微软office文件的方法，具体可以点击该链接了解：https://www.rt.com/news/386433-wikileaks-cia-scribbles-microsoft-office/ 。

Windows审计

Windows审计为我们提供了创建蜜罐文件的所有必要功能，并未我们其它失败的方案提供了机会。例如Windows审计不需要网络连接-被认为是一种使用honeytoken的规避技术。类似的通过精确的审计配置，我们可以将生成日志最大限度的优化，更好的检测和识别攻击者。

除了针对文件的审计，Windows审计还可用于大量其它活动，例如登录/注销，注册表更改，可移动驱动器使用情况等。但本文将重点关注honeyfile，更多有关Windows安全审计的信息可以访问：https://technet.microsoft.com/en-us/library/dn319078(v=ws.11).aspx 和 https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l–events-to-monitor了解。

配置文件监视

在honeyfile上定义审计策略之前，必须在组策略中将“高级审核策略配置”中找到的“文件审计系统”配置为“Success”。如下图所示：

在Windows Vista和Windows Server 2008R2或更高版本上均支持该功能的配置使用。

“文件审计系统”策略将在指定了系统访问控制列表（SACL）的文件系统对象上生成审计日志。简单来说，如果访问事件与定义的策略匹配，那么SACL将生成审计日志。有关更多信息，请访问：https://msdn.microsoft.com/en-us/library/windows/desktop/aa379557(v=vs.85).aspx 。

配置完组策略后，我们就可以开始审计蜜罐文件了。首先我们创建或修改一个用于监视的文件，在以下示例中该文件被命名为honeyfile.txt”。我们在文件上右击鼠标选择属性->安全->高级->最后选择审计选项卡。没有预先定义的审核，通过选择“添加”按钮添加审计条目。

因为我们要监视每个人在文件上的活动，所以我们添加主要对象为“Everyone”。我们只关注成功事件，所以我们选择“成功”这种类型。虽然“完全控制”是个很诱人的选项，但这将会产生大量的干扰信息，增加我们对警报信息的识别难度。因此，我们将专注于权限的一个子集，如下图所示：

• 列表文件夹/数据读取 – 文件被读取，显示属性，复制以及被执行时触发。

• 创建文件/写入数据 – 文件内容被修改时触发。

• 写入属性 – 属性被修改（在文件属性中显示）时触发。

• 编写扩展属性 – 扩展属性被修改时触发（文件属性，高级）

• 删除 – 当文件被删除和重命名时触发。

• 更改权限 – 文件权限被修改时触发。

• 取得所有权 – 文件所有权被更改时触发。

日志解读

现在我们已经启用了审计，我们可以开始解读日志了。所有文件审计日志将被写入Windows安全日志，事件ID为4663。通过对事件的分析，我们可以了解文件中发生了什么类型的活动，例如，文件是否已被读取，删除或修改过。通过对Accesse或AccessMask属性的解读，我们能够识别导致事件日志触发的特定活动。下图显示了一个警报示例：

Accesse和AccessMask属性及其相关活动类型的细分如下：

文件读取

Accesse：数据读取（或列表目录）

AccessMask（访问掩码）: 0×1

文件写入

Accesse: 数据写入 (或文件添加)

AccessMask: 0×2

文件删除

Accesse: 删除

AccessMask: 0×10000

文件重命名

Accesse: 删除

AccessMask: 0×10000

复制文件

Accesse:数据读取 (或列表目录)

AccessMask: 0×1

文件权限更改

Accesse: WRITE_DAC（修改DACL的权限）

AccessMask: 0×40000

文件所有权变更

Accesse: WRITE_OWNER（更改所有者权限）

AccessMask: 0×80000

减少假阳性率

honeyfile的审计策略几乎可以将所有与其发生交互的行为都记录下来，但这也增加了一定的假阳性率，例如Windows的搜索服务。Windows搜索服务是前Windows索引服务的替代品，是在Windows服务器上执行文件共享索引的可选功能。索引文件共享旨在允许客户端在共享上执行更快更有效的搜索。每次修改文件时，Windows搜索服务将对文件执行索引，导致索引服务发生文件读取。但这种行为不属于恶意活动，所以我们可以通过对执行索引的过程进行过滤来忽略此活动；SearchProtocolHost.exe。

对于攻击者而言，他们可能会借此伪装成“SearchProtocolHost.exe”进程（或任何列入白名单的进程）以躲避文件审计。但他们必须要了解honeyfile的相关知识才行。

可能导致假阳性率的另一个潜在应用是防病毒软件。一般情况下，防病毒程序会在文件保存到磁盘上时立即扫描文件，分类文件是否恶意。此外，防病毒程序还会定期的扫描对整个磁盘进行扫描，以寻找隐藏的恶意文件。这些都可能导致虚假警报的触发。

可疑活动识别

事件ID 4663是一个详细日志，我们可以从中提取大量的信息。除了在文件上执行的活动类型外，在某些情况下，进程也封装在日志中。对于要包含的进程，需要在文件共享本身上执行该活动。例如，使用PowerShell来读取文件中特定文件的内容，将生成一个文件读取日志，其相应的进程名称为PowerShell.exe。当事件中捕获进程则表示该活动是在文件共享上执行的，因此可能意味着文件共享受到了威胁。

操作成本

上面详细描述的审计配置主要是将日志记录控制到最小值，只记录有需要的日志，但是在生成的日志中仍然有明显的增加。重要的是，当你的SIEM解决方案基础成本来自于所接收的数据量时，要考虑到这一点。在这种情况下，可能会有:

• 在客户机上过滤日志，只接收需要的日志(事件ID 4663)。

• 对整个文件共享进行审计，或只对单个文件进行审计。以线性方式，审计文件数量减少与生成日志数量减少有关。

躲避检测

蜜罐通常用于欺骗攻击者，让恶意攻击者误以为当前与之交互的是一个真实合法的系统环境。如果一个用户能够识别一个蜜罐，那么以下行为就不太可能在正常情况下完成。以恶意软件为例；一个高度定制复杂的恶意软件，可能会分析检测自己当前的运行环境是否为沙箱并有意隐藏来自恶意软件的沙箱属性来躲避检测。类似的蜜罐也会隐藏它的真实身份，只暴露被识别的合法功能。

以下可能有助于减少攻击者识别蜜罐的潜在风险及可能性:

• 对文件执行严格的访问控制权限，这样用户就无法查看审计条目。

• 启用对所有文件/文件夹的日志记录，并在日志服务器端应用过滤。

强制执行严格的访问控制权限是一种有效的补救措施，但这也有限制。尽管这可能会使普通用户无法查看审计条目，但这并不会妨碍管理员的权限。管理员具有查看、重新配置和/或删除审计策略的权限。如果特权用户被感知具有威胁，那么建议使用第二个选项。

启用审计对于所有文件/文件夹都有其优点和缺点。首先，由于日志是在所有文件/文件夹上启用的，如果发生的事件超出了honeyfile的范围，则会针对调查目的进行审计跟踪。通过对日志进行简单的搜索可以帮助我们找到原因。然而，在大型和活动频繁的文件共享上启用审计，将不可避免地产生大量日志。如果要沿着这条路线走下去，我们必须要考虑到操作成本。

Windows文件审计限制

与不产生日志的文件交互的一个例外是执行搜索并且搜索的内容与文件的内容匹配时。我们可以创建一个文本文件，并将“MWR测试文件”写入文件。执行“MWR”的搜索显示该文件，但是没有记录。该文件的内容的小片段，被呈现给未被主动记录的用户。但是需要注意的是，只有当Windows搜索服务已启用为对文件的内容执行索引时才会发生此异常。然而，尽管有这个限制，当文件被索引并且文件被检索或修改时，仍将产生日志。

总结

总而言之，Windows审计为我们检测恶意活动提供了很大的帮助。更具体地说，应该是文件共享。它不同于蜜罐文件的方法，Windows审计不限于特定的文件类型，不需要网络连接，并且难以被绕过。除此之外，我们还可以无缝的把它集成到现有的监控解决方案中。

,