企业级国产免费蜜罐HFish内测版先览 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

工具

企业级国产免费蜜罐HFish内测版先览

2021-12-28 18:42:35

本文由创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

引言

有幸从HFish产品小姐姐那儿获得了V2.8.0的内测资格，和大家分享一下个人使用心得，以及部分落地方法。

什么是蜜罐

简单来说蜜罐其实就是一个诱饵，一个或多个看上去非常脆弱的服务器/应用，在黑客对目标进行攻击时蜜罐可以及时发现黑客的攻击行为，并且记录黑客的攻击信息。

对甲方的意义

对于甲方而言蜜罐可以在黑客对目标进行探测，资产收集时，吸引火力、转移注意，同时也能进行预警（有攻击者已经盯上我们了！）

心理学告诉我们，如果有一个百分之百可以拿下的目标和一堆不确定的目标，那入侵者一定会把中心放在确定的目标上。所以一个高度仿真、服务名和数据极具诱惑力的蜜罐，往往可以转移大部分入侵者的注意，当他们踩进蜜罐，同时自己又浑然不知的时候，他的命运将由你掌控。

对乙方的意义

对于乙方来说，部署一定规模的蜜罐可以获得大量威胁情报，0day、1day样本，从而输出各种包括但不限于：商业级威胁情报、应急响应、虚拟补丁、WAF规则等等极具变现价值的成果。

关于HFish

这边先简单介绍一下，HFish是基于Golang开发的，安全、简单、免费的企业级蜜罐，同时拥有低、中、高的交互级别。官方现支持基于JSONP的简单溯源，高危账号尝试登录，密饵等较为先进的威胁诱捕技术。

下面我挑一些核心的功能进行介绍：

1640661973_61ca83d57595790b22b14.png!small?1640661975340

1640662006_61ca83f6bc4fcd325ee96.png!small?1640662008272

支持蜜罐类型

我把类型分为两大类

1.协议蜜罐

Redis、MEMCACHE: 仿真成为授权的Redis、MEMCACHE服务器，可以记录下所有黑客执行的命令，下图很明显可以看出这是一个利用Redis未授权漏洞进行挖矿的自动化攻击案例。

1640676691_61cabd53aaf64b397f310.png!small?1640676693184

MYSQL:模拟了默认的mysql账号密码（root/root）同时具有一定的反制能力，在黑客连接成功后可以读取黑客电脑里的指定文件（利用了Mysql的一个协议级漏洞），我这边读取/etc/passwd作为演示

1640677830_61cac1c6f2868966c4438.png!small?1640677832413

SSH、Telnet:模拟了弱密码(root/root)，可以简单的记录操作（本次最新内测版已更新为高交互蜜罐下面会有具体介绍）

1640678634_61cac4ea3377ffe83399a.png!small?1640678635750

FTP、Elasticsearch、VNC:具有记录爆破使用的账号密码功能

2.Web应用蜜罐

GitLab蜜罐、Exchange蜜罐等等：这一类蜜罐通过模拟企业常用的基础Web服务引诱黑客攻击，利用此类蜜罐可以对黑客进行溯源，诱捕，甚至是捕获0day，具体可参考HFish官方文章。

1640679170_61cac7027ce21d21281e1.png!small?1640679171933

3.自定义蜜罐

具体可参考官方文档进行配置，简单来说用户可以通过官方的模板定制自己的蜜罐（比如企业自身业务的蜜罐）

1640679254_61cac75694420b102dab1.png!small?1640679256115

蜜饵功能

这个功能，做到这个程度，可以说是全球范围内的首创了，这里仅做一个抛砖引玉，具体怎么玩儿大家可以自由发挥。

简单介绍一种用法：蜜饵可以通过将指定虚假文件投放到A服务器，而这个文件可以是B服务器的连接密码，或者web服务的登录账号，那么在这种情况下如果B服务被登录就会判定蜜饵失陷，就能确定黑客当前渗透得深度。

威胁情报对接

对接社区情报可以在攻击列表中更直观的显示ip的威胁信息更好的帮助安全人员确认告警准确性。

新功能

修复MySQL连接地址无法使用域名问题

众所周知，在企业的生产环境中往往会使用RDS（数据库实例）存储数据，而不是直接在ECS上手动安装数据库，HFish在本次的更新中修复了原先只能使用IP地址作为连接地址的问题。

原先：

1640574780_61c92f3c548fd602f8246.png!small?1640574780598

现在：

1640682145_61cad2a15e3e7e3e8a4b9.png!small?1640682146820

高交互SSH、Telnet蜜罐

高交互蜜罐实现了，各种SSH、Telnet命令的执行，反馈，提高了真实性，可以更好的对黑客进行诱捕，分析黑客的行为，正所谓知己知彼才能百战百胜。

1640694346_61cb024a987eb0a4af415.png!small?1640694348073

1640661615_61ca826f344a17b65fc41.png!small?1640661617255

从如上两张图可以看到高交互SSH蜜罐，可以给黑客完全模拟出真实的ssh环境，迷惑黑客。这边建议高交互蜜罐可以结合密饵一起使用。（上面两张图不是同一时间截的，所以数据显示不一致[笑哭]）

蜜罐类型

丰富了Web类蜜罐的类型，大家可以自行探索。

节点蜜罐在线配置

在之前的部分中说到过Mysql可以支持反制，在本次更新中，支持了部分蜜罐（ssh低交互，mysql等）的在线配置，在原来的版本中所有蜜罐配置项都是无法修改的，修改之后服务端会向客户端同步数据恢复配置。

因此我们可以给mysql的蜜罐配置，反制时需要读取的文件。

1640694915_61cb04837604dfc7fc442.png!small?1640694916911

告警模板优化

更新了针对不同场景不同类型的配置，对于需要把告警对接的企业自身风控平台，告警平台的场景，有了更友好的支持。

1640679500_61cac84c52837f0f9196b.png!small?1640679502173

黑客画像、每日推送攻击IP

会每日从社区推送最新的攻击较多的IP到使用者，这个功能需要加入HFish社区才可使用

1640661360_61ca8170502c0c357ce2d.png!small?1640661361768

一个简单的落地方案

这边介绍一个简单的落地方案仅供参考：

系统组成

告警平台，风控系统，HFish蜜罐

方案概述

HFish检测到攻击，通过Webhook通知到风控（不同类型，不同场景的告警可以通过区分webhook通知到不同的风控规则），风控结合业务数据以及HFish告警数据分析确认实际对业务可能造成的危害等级，同时根据具体情况进行溯源，最后将评级后的告警和溯源结果，发送到告警平台，由告警平台进行统一告警，完成闭环。

版本公测

最后向大家透露一下产品小姐姐告诉我的更新时间：2022年1月5日[嘘]，大家尽情期待！

1640701674_61cb1eea07f140ebf5143.png!small?1640701675402

# 蜜罐技术 # 威胁监测 # HFish # 威胁狩猎

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

已在FreeBuf发表 0 篇文章

本文为独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多