freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

企业级国产免费蜜罐HFish内测版先览
2021-12-28 18:42:35

引言

有幸从HFish产品小姐姐那儿获得了V2.8.0的内测资格,和大家分享一下个人使用心得,以及部分落地方法。

什么是蜜罐

简单来说蜜罐其实就是一个诱饵,一个或多个看上去非常脆弱的服务器/应用,在黑客对目标进行攻击时蜜罐可以及时发现黑客的攻击行为,并且记录黑客的攻击信息。

对甲方的意义

对于甲方而言蜜罐可以在黑客对目标进行探测,资产收集时,吸引火力、转移注意,同时也能进行预警(有攻击者已经盯上我们了!)

心理学告诉我们,如果有一个百分之百可以拿下的目标和一堆不确定的目标,那入侵者一定会把中心放在确定的目标上。所以一个高度仿真、服务名和数据极具诱惑力的蜜罐,往往可以转移大部分入侵者的注意,当他们踩进蜜罐,同时自己又浑然不知的时候,他的命运将由你掌控。

对乙方的意义

对于乙方来说,部署一定规模的蜜罐可以获得大量威胁情报,0day、1day样本,从而输出各种包括但不限于:商业级威胁情报、应急响应、虚拟补丁、WAF规则等等极具变现价值的成果。

关于HFish

这边先简单介绍一下,HFish是基于Golang开发的,安全、简单、免费的企业级蜜罐,同时拥有低、中、高的交互级别。官方现支持基于JSONP的简单溯源,高危账号尝试登录,密饵等较为先进的威胁诱捕技术。

下面我挑一些核心的功能进行介绍:

1640661973_61ca83d57595790b22b14.png!small?1640661975340

1640662006_61ca83f6bc4fcd325ee96.png!small?1640662008272

支持蜜罐类型

我把类型分为两大类

1.协议蜜罐

Redis、MEMCACHE: 仿真成为授权的Redis、MEMCACHE服务器,可以记录下所有黑客执行的命令,下图很明显可以看出这是一个利用Redis未授权漏洞进行挖矿的自动化攻击案例。

1640676691_61cabd53aaf64b397f310.png!small?1640676693184

MYSQL:模拟了默认的mysql账号密码(root/root)同时具有一定的反制能力,在黑客连接成功后可以读取黑客电脑里的指定文件(利用了Mysql的一个协议级漏洞),我这边读取/etc/passwd作为演示

1640677830_61cac1c6f2868966c4438.png!small?1640677832413

SSH、Telnet:模拟了弱密码(root/root),可以简单的记录操作(本次最新内测版已更新为高交互蜜罐下面会有具体介绍)

1640678634_61cac4ea3377ffe83399a.png!small?1640678635750

FTP、Elasticsearch、VNC:具有记录爆破使用的账号密码功能

2.Web应用蜜罐

GitLab蜜罐、Exchange蜜罐等等:这一类蜜罐通过模拟企业常用的基础Web服务引诱黑客攻击,利用此类蜜罐可以对黑客进行溯源,诱捕,甚至是捕获0day,具体可参考HFish官方文章

1640679170_61cac7027ce21d21281e1.png!small?1640679171933

3.自定义蜜罐

具体可参考官方文档进行配置,简单来说用户可以通过官方的模板定制自己的蜜罐(比如企业自身业务的蜜罐)

1640679254_61cac75694420b102dab1.png!small?1640679256115


蜜饵功能

这个功能,做到这个程度,可以说是全球范围内的首创了,这里仅做一个抛砖引玉,具体怎么玩儿大家可以自由发挥。

简单介绍一种用法:蜜饵可以通过将指定虚假文件投放到A服务器,而这个文件可以是B服务器的连接密码,或者web服务的登录账号,那么在这种情况下如果B服务被登录就会判定蜜饵失陷,就能确定黑客当前渗透得深度。


威胁情报对接

对接社区情报可以在攻击列表中更直观的显示ip的威胁信息更好的帮助安全人员确认告警准确性。


新功能

修复MySQL连接地址无法使用域名问题

众所周知,在企业的生产环境中往往会使用RDS(数据库实例)存储数据,而不是直接在ECS上手动安装数据库,HFish在本次的更新中修复了原先只能使用IP地址作为连接地址的问题。

原先:

1640574780_61c92f3c548fd602f8246.png!small?1640574780598

现在:

1640682145_61cad2a15e3e7e3e8a4b9.png!small?1640682146820

高交互SSH、Telnet蜜罐

高交互蜜罐实现了,各种SSH、Telnet命令的执行,反馈,提高了真实性,可以更好的对黑客进行诱捕,分析黑客的行为,正所谓知己知彼才能百战百胜。

1640694346_61cb024a987eb0a4af415.png!small?1640694348073

1640661615_61ca826f344a17b65fc41.png!small?1640661617255

从如上两张图可以看到高交互SSH蜜罐,可以给黑客完全模拟出真实的ssh环境,迷惑黑客。这边建议高交互蜜罐可以结合密饵一起使用。(上面两张图不是同一时间截的,所以数据显示不一致[笑哭])

蜜罐类型

丰富了Web类蜜罐的类型,大家可以自行探索。

节点蜜罐在线配置

在之前的部分中说到过Mysql可以支持反制,在本次更新中,支持了部分蜜罐(ssh低交互,mysql等)的在线配置,在原来的版本中所有蜜罐配置项都是无法修改的,修改之后服务端会向客户端同步数据恢复配置。

因此我们可以给mysql的蜜罐配置,反制时需要读取的文件。

1640694915_61cb04837604dfc7fc442.png!small?1640694916911

告警模板优化

更新了针对不同场景不同类型的配置,对于需要把告警对接的企业自身风控平台,告警平台的场景,有了更友好的支持。

1640679500_61cac84c52837f0f9196b.png!small?1640679502173

黑客画像、每日推送攻击IP

会每日从社区推送最新的攻击较多的IP到使用者,这个功能需要加入HFish社区才可使用

1640661360_61ca8170502c0c357ce2d.png!small?1640661361768

一个简单的落地方案

这边介绍一个简单的落地方案仅供参考:

系统组成

告警平台,风控系统,HFish蜜罐

方案概述

HFish检测到攻击,通过Webhook通知到风控(不同类型,不同场景的告警可以通过区分webhook通知到不同的风控规则),风控结合业务数据以及HFish告警数据分析确认实际对业务可能造成的危害等级,同时根据具体情况进行溯源,最后将评级后的告警和溯源结果,发送到告警平台,由告警平台进行统一告警,完成闭环。

版本公测

最后向大家透露一下产品小姐姐告诉我的更新时间:2022年1月5日[嘘],大家尽情期待!

1640701674_61cb1eea07f140ebf5143.png!small?1640701675402

# 蜜罐技术 # 威胁监测 # HFish # 威胁狩猎
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录