在信息安全领域,蜜罐(Honeypot)是指一个被故意设计为易受攻击的系统、网络服务或数据,旨在引诱潜在的攻击者。
蜜罐的主要目的包括:
- 监控攻击者行为:通过记录攻击者的活动,安全专家可以了解新的攻击手法和策略。
- 分散攻击者注意力:将攻击者引导至无害的环境,保护真正的关键系统和数据。
- 收集法律证据:为潜在的法律行动收集必要的证据。
蜜罐的概念源自于使用甜蜜的诱饵来吸引目标的比喻,就像蜂蜜吸引熊一样。蜜罐通常看起来像是真实的系统,可能包含模拟的敏感信息,以增加其诱惑力。
https://hfish.net/ 就是一个典型的蜜罐工具,以它为例我们来看蜜罐的主要使用场景。
内网失陷检测
通过在内网部署HFish,模拟常见服务,诱捕潜在的内部威胁,及时发现并响应内网中的异常活动。
内网失陷检测主要是应对下面场景:
由于设备外带、USB设备接入、员工下载非法软件、客户端漏洞、VPN账号失窃、恶意员工等众多原因导致内部办公或内部服务器失陷,攻击者和蠕虫木马在内网肆无忌惮的横向移动。
具体做法如下:
内部办公场景:
蜜罐被部署在企业内部办公网区,用于 感知内网失陷主机、勒索软件扫描或恶意员工内网刺探行为 ,常见模板可设置为监听TCP/135、TCP/139、TCP/445和TCP/3389等服务。
内部服务器场景:
蜜罐被部署在企业内部服务器区,用于 感知内网失陷和横向移动,常见模板可以设置为模拟Web、MySQL、Redis、Elasticsearch、SSH、Telnet等服务。
高价值文件蜜饵:
伪造高价值文件(例如运维手册、邮件、配置文件等),用于引诱和转移攻击者视线,最终达到牵引攻击者离开真实的高价值资产并进入陷阱的目的。
例子:
攻击者侵入企业内部某台服务器,在其目录中找到一个payment_config.ini文件,文件中包含数据库主机IP地址和账号密码,
攻击者为隐藏自己真实入侵路径,通过第三台主机访问数据库主机……
在以上场景中,payment_config.ini为蜜饵,所谓的数据库主机是另外一台位于安全区域的蜜罐,而攻击者得到的所谓账号密码也是虚假且唯一的,防守者可以根据其得到攻击者真实的横向移动路径。
由于蜜饵只是静态文件,所以蜜饵适合部署在任何主机和场景中,例如作为附件通过邮件发送(检测邮件是否被盗)、在攻防演练期间上传到百度网盘或github上混淆攻击者视线、压缩改名成backup.zip放置在Web目录下守株待兔等待攻击者扫描器上钩……
外网威胁感知
在外网环境中部署HFish,监测来自外部的攻击尝试,获取攻击者的行为模式和策略,增强对外部威胁的感知能力。
该场景一般是将节点部署在互联网区,用来感知互联网来自自动化蠕虫、竞争对手和境外的 真实威胁,甚至发现针对客户的 0day攻击,通过和具有情报生产能力的 情报平台 对接,可以稳定准确的生产私有威胁情报。
注意:
-
该场景会捕捉到 大量真实攻击行为 ,建议在部署前将蜜罐加入网络检测设备白名单中避免误报;
-
个别行业需要考虑监管单位扫描通报情况,建议在部署前建表报备蜜罐地址;
威胁情报收集
利用HFish收集的攻击数据,分析并生成高质量的威胁情报,为安全防护策略的制定提供依据。
典型做法:
-
注册一个迷惑性子域名或使用某个废弃的子域名,通过搭建蜜罐感知攻击强度和攻击行为。
-
企业可将常见的对外服务例如vpn.company.com或hr.company.com 替换成蜜罐,通过监控试图登录的账号判断是否为 内部员工账号,并实时通知安全团队和该员工,敦促其尽快修改密码。
