用DecoyMini部署業(yè)務(wù)系統蜜罐
發(fā)布時(shí)間:2022-04-15 10:23
來(lái)源:http://cio.idcquan.com/192302.
閱讀:154
作者:網(wǎng)絡(luò )
欄目: 互聯(lián)網(wǎng)
蜜罐在近幾年的攻防實(shí)戰演習中大放光彩���,它作為欺騙防御的重要技術(shù)��,是主動(dòng)防御的主要方法�����,也是實(shí)戰由被動(dòng)向主動(dòng)轉變最有效的手段�����,用好蜜罐可有效提升網(wǎng)絡(luò )安全防御能力�。蜜罐的核心是仿真能力�,所能提供的仿真能力和用戶(hù)環(huán)境貼合度越高誘捕效果越好���。因此蜜罐在部署時(shí)�,往往都需要根據部署環(huán)境對蜜罐仿真的各類(lèi)對象和數據進(jìn)行定制化�����,將自有的一些業(yè)務(wù)系統站點(diǎn)例如辦公系統�、ERP系統��、信息發(fā)布平臺等做成蜜罐部署出來(lái)����,這樣的蜜罐誘惑性更高��,對攻擊的誘捕效果也會(huì )更好���。
互聯(lián)網(wǎng)上已經(jīng)有不少免費的蜜罐工具����,但這些蜜罐工具絕大多數功能單一��、成熟度不高�、缺乏持續更新維護�����,很難支持對自有業(yè)務(wù)系統等個(gè)性化需求的仿真�。本文介紹一款免費的蜜罐軟件——DecoyMini�,它是由北京吉沃科技有限公司基于商業(yè)化蜜罐產(chǎn)品積累而推出的完全免費的蜜罐工具����,工具支持主流操作系統��、安裝使用簡(jiǎn)單���、安全穩定�����,支持插件化的仿真模板����,支持從論壇一鍵下載模板來(lái)快捷部署蜜罐����,同時(shí)提供蜜罐自定義能力�����,通過(guò)界面可視化編排配置即可部署對自有業(yè)務(wù)系統����、網(wǎng)絡(luò )協(xié)議和服務(wù)進(jìn)行仿真的蜜罐���。
本文將介紹用DecoyMini免費蜜罐工具來(lái)配置仿真自有業(yè)務(wù)系統蜜罐�����,并演示業(yè)務(wù)系統蜜罐部署后對攻擊誘捕的實(shí)戰效果�����。
軟件安裝
前往“https://github.com/decoymini”或者“https://gitee.com/decoymini”免費下載最新版本的DecoyMini����,支持Windows7/Win10/Windows Server 32/64位���、CentOS/Ubuntu/Debian/Kali32/64位���、樹(shù)莓派等操作系統��,讀者根據自己的操作系統類(lèi)型選擇對應的安裝包進(jìn)行下載����,普通辦公電腦的硬件配置就可以正常安裝使用�����。
DecoyMini支持單節點(diǎn)部署模式和分布式部署模式�����,本文示例環(huán)境以單節點(diǎn)模式來(lái)進(jìn)行部署����。
Windows下����,以管理員身份運行cmd�����,輸入如下命令進(jìn)行安裝:
DecoyMini_Windows_v1.0.xxxx.exe-install
Linux下安裝����,以CentOS 64位為例��,對安裝文件賦予可執行權限�����,用管理員權限執行如下安裝命令:
./DecoyMini_Linux_x64_v1.0.xxxx.pkg-install
按需選擇DecoyMini管理端監聽(tīng)的地址和端口后���,即可完成DecoyMini的安裝���。
安裝好DecoyMini軟件后���,使用安裝時(shí)配置的IP和端口即可訪(fǎng)問(wèn)管理端登錄頁(yè)面��,用DecoyMini論壇帳號或者本地預置帳戶(hù)admin可登錄DecoyMini管理端��。
創(chuàng )建仿真模板
使用DecoyMini部署業(yè)務(wù)系統蜜罐前��,需要先配置業(yè)務(wù)系統的仿真模板�。DecoyMini支持以下兩種方式來(lái)創(chuàng )建業(yè)務(wù)系統仿真模板:
自動(dòng)創(chuàng )建:指定待仿真的目標業(yè)務(wù)系統地址�,軟件自動(dòng)爬取業(yè)務(wù)系統站點(diǎn)網(wǎng)頁(yè)來(lái)創(chuàng )建仿真模板���,推薦用于信息發(fā)布類(lèi)業(yè)務(wù)系統的自動(dòng)仿真���;
手動(dòng)創(chuàng )建:手動(dòng)下載待仿真的目標業(yè)務(wù)系統站點(diǎn)網(wǎng)頁(yè)進(jìn)行上傳�,配置相關(guān)仿真參數和訪(fǎng)問(wèn)映射規則�����,完成模板的手動(dòng)創(chuàng )建��,適用于采用自動(dòng)創(chuàng )建頁(yè)面爬取不完整或需定制化仿真內容等其它場(chǎng)景����。
對于自定義的仿真模板支持導出分享��,可以分享到其它DecoyMini環(huán)境����,實(shí)現仿真能力的快速遷移���;也可以分享到DecoyMini技術(shù)論壇�����,將有機會(huì )獲得論壇禮品或現金獎勵��。
自動(dòng)創(chuàng )建
DecoyMini提供自動(dòng)仿真指定業(yè)務(wù)系統站點(diǎn)的能力����,通過(guò)系統內置的網(wǎng)頁(yè)爬蟲(chóng)對指定目標網(wǎng)站進(jìn)行自動(dòng)爬取可以快速生成對應業(yè)務(wù)系統站點(diǎn)的本地鏡像���。利用此功能��,可以快速生成自有業(yè)務(wù)系統的仿真模板����,并作為誘捕器(蜜罐)部署出來(lái)��。主要操作步驟如下:
(1)進(jìn)入DecoyMini仿真模板管理界面����,在左側仿真模板樹(shù)形列表中點(diǎn)擊“增加仿真網(wǎng)站”來(lái)增加一個(gè)仿真的站點(diǎn):
在“模板配置”中配置相關(guān)參數�����,填入要仿真的目標業(yè)務(wù)系統網(wǎng)站地址(支持http和https)�����,配置網(wǎng)站數據同步周期(單位:天)�,值>0時(shí)每間隔指定天數自動(dòng)重新爬取業(yè)務(wù)系統頁(yè)面來(lái)更新模板�����,值為0不自動(dòng)爬取更新�。
(2)當完成參數配置后點(diǎn)擊“增加”按鈕�����,稍等片刻待DecoyMini后臺完成網(wǎng)站內容爬取彈出提示消息后����,就完成對自定義網(wǎng)站仿真模板的增加操作�。
采用自動(dòng)創(chuàng )建模式增加的仿真模板�,還可以繼續手動(dòng)編輯模板仿真頁(yè)面數據和參數�,來(lái)定制化仿真內容����。
手動(dòng)創(chuàng )建
手動(dòng)創(chuàng )建“WEB仿真模板”的子模板���,將下載的業(yè)務(wù)系統站點(diǎn)網(wǎng)頁(yè)打包上傳�,配置模板的仿真網(wǎng)頁(yè)數據和訪(fǎng)問(wèn)映射規則�����,完成模板的手動(dòng)創(chuàng )建����。
業(yè)務(wù)系統網(wǎng)頁(yè)下載
用網(wǎng)站下載工具或者瀏覽器下載功能將需要仿真的業(yè)務(wù)系統網(wǎng)站頁(yè)面下載保存�����,以瀏覽器下載保存為例����,具體操作方法如下:
(1)用瀏覽器瀏覽需要仿真的網(wǎng)頁(yè)��,用瀏覽器保存網(wǎng)頁(yè)功能將網(wǎng)頁(yè)保存到本地���。
保存時(shí)候注意文件名用英文���,保存類(lèi)型選擇保存全部?jì)热荨?/strong>
(2)對保存下來(lái)的網(wǎng)頁(yè)文件��,根據需要可以對網(wǎng)頁(yè)內容進(jìn)行定制化處理��,處理完畢后�����,將網(wǎng)頁(yè)以及依賴(lài)的圖片等資源文件用zip格式進(jìn)行打包��。
(3)將打包好的zip文件名更改為res_package.zip待用(res_package.zip為DecoyMini仿真模板資源文件壓縮包保留名稱(chēng)�����,當上傳的壓縮包文件名為此名稱(chēng)時(shí)��,則會(huì )自動(dòng)解壓包里的文件到“數據文件”目錄下)��。
創(chuàng )建仿真子模板
(1)登錄DecoyMini管理中心��,切換到“仿真模板”界面��,點(diǎn)擊WEB仿真模板“創(chuàng )建子模板”來(lái)創(chuàng )建一個(gè)新的WEB仿真子模板�����。
輸入子模板信息后��,完成子模板創(chuàng )建操作����。
(2)在左側模板列表中選擇新創(chuàng )建的子模板�,切換到“資源文件”標簽���,在資源文件左側目錄樹(shù)中選擇“數據文件”����,將剛制作好的資源文件包res_package.zip文件進(jìn)行上傳��。
上傳完成后�����,則可以在文件列表里看到res_package.zip壓縮包解壓后的全部文件清單����。
(3)資源文件上傳完畢后����,點(diǎn)擊“應用”按鈕應用資源文件����,應用后的資源文件數據才會(huì )被蜜罐所使用�。
(4)點(diǎn)擊“參數設置”標簽�,可以查看當前模板已經(jīng)配置的參數�����,其中類(lèi)型為“動(dòng)態(tài)解析”的參數軟件會(huì )根據攻擊者訪(fǎng)問(wèn)請求來(lái)動(dòng)態(tài)解析�����,在響應數據配置里可以用“{{參數標識}}”格式來(lái)引用對應參數的值���。
(5)切換到“響應數據”標簽���,來(lái)配置將攻擊者的訪(fǎng)問(wèn)請求和資源文件做關(guān)聯(lián)���,根據不同的請求可以配置響應對應的仿真數據���。
在本例中將攻擊者訪(fǎng)問(wèn)根路徑與資源文件里index.html文件關(guān)聯(lián)���,配置方法為:在“響應數據”列表里編輯名稱(chēng)為“首頁(yè)”的響應數據項�����,請求路徑配置為“/”�����,響應數據選擇“數據文件”輸入“index.html”后保存���。則蜜罐在收到攻擊者訪(fǎng)問(wèn)“/”路徑的請求時(shí)將響應數據文件里index.html文件的內容�。
其他訪(fǎng)問(wèn)路徑對應的響應數據可參考上述方法依次進(jìn)行配置�����,多條響應數據將從第一條開(kāi)始往后匹配�,直到匹配到為止��;若未能匹配上則會(huì )響應標識為notexists里的響應數據���。
配置記錄登錄賬戶(hù)
部署業(yè)務(wù)系統蜜罐除關(guān)注哪些IP來(lái)訪(fǎng)問(wèn)外�����,記錄攻擊者嘗試登錄業(yè)務(wù)系統的賬號也有助于對攻擊者進(jìn)行溯源分析�����。DecoyMini支持通過(guò)界面編排配置�����,實(shí)現記錄攻擊者嘗試登錄業(yè)務(wù)系統的賬戶(hù)的功能��。
在上節配置的仿真模板基礎上�����,配置攻擊者登錄的用戶(hù)名�、密碼獲取參數����,以及有效的用戶(hù)名和密碼等信息��。參數標識配置為post.userId��,將從POST數據里提取名稱(chēng)為userId的值�,post.password將從POST數據里提取名稱(chēng)為password的值�����,配置有效的登錄賬號為admin /123456���。
在響應數據部分增加對登錄請求相關(guān)的響應配置�����。
關(guān)鍵的幾個(gè)響應數據配置方法說(shuō)明如下:
(1)修改業(yè)務(wù)系統登錄頁(yè)面代碼���,攻擊者執行登錄操作時(shí)調用login.js里的login函數��,將登錄用戶(hù)名和密碼POST到“/api/user/login”這個(gè)地址�����,如果服務(wù)端響應狀態(tài)碼為200則跳轉到業(yè)務(wù)系統主頁(yè)面����,否則顯示登錄失敗的提示�。
(2)對登錄請求進(jìn)行響應:判斷請求的路徑是否為“/api/user/login”��,且登錄用戶(hù)名和密碼為預設的用戶(hù)名和密碼時(shí)�,響應登錄成功的狀態(tài)數據����。
配置接收到登錄請求后�����,記錄登錄日志��,同時(shí)記錄登錄的用戶(hù)名和密碼����。
(3)當發(fā)送的登錄請求用戶(hù)名和密碼與預設的用戶(hù)名密碼不匹配時(shí)����,登錄失敗��,響應登錄失敗狀態(tài)和錯誤消息���,并配置記錄日志����。
(4)配置當輸入了預設的用戶(hù)名和密碼后����,顯示指定的業(yè)務(wù)系統主界面����。
記錄登錄賬戶(hù)的完整配置內容請參見(jiàn)DecoyMini內置“WEB業(yè)務(wù)系統示例”仿真模板���。
發(fā)布模板
編輯確認仿真模板的基礎信息�,如模板名稱(chēng)���、事件日志類(lèi)型��、類(lèi)別����、描述等�,完成編輯后便可“發(fā)布”仿真模板���,發(fā)布后的仿真模板就可以在誘捕策略里部署使用��。
部署蜜罐
配置完成業(yè)務(wù)系統仿真模板后���,切換到“誘捕策略”界面來(lái)部署蜜罐��。DecoyMini支持虛擬IP技術(shù)��,支持在一臺蜜罐上虛擬多IP來(lái)模擬多臺主機����,快速組建蜜罐群����,有效提高蜜罐的覆蓋率���,用較小的部署資源實(shí)現最大化的攻擊誘捕效果����。
(1)增加誘捕器(蜜罐)����,選擇剛發(fā)布的業(yè)務(wù)系統仿真模板����,配置蜜罐外部訪(fǎng)問(wèn)IP����、監聽(tīng)端口�����、協(xié)議等環(huán)境參數����。
蜜罐的“外部訪(fǎng)問(wèn)IP”可以填寫(xiě)網(wǎng)絡(luò )可達范圍內的空閑IP��,將蜜罐直接部署在這個(gè)空閑IP上�����,例如網(wǎng)絡(luò )里10.1.18.84這個(gè)IP未使用��,則可將外部訪(fǎng)問(wèn)IP配置為10.1.18.84��,蜜罐部署好后�����,攻擊者通過(guò)10.1.18.84就能夠訪(fǎng)問(wèn)到此業(yè)務(wù)系統蜜罐��。
DecoyMini支持動(dòng)態(tài)端口功能��,配置端口時(shí)支持特定端口����、端口列表或端口范圍��,當配置為端口列表或端口范圍�����,蜜罐在運行時(shí)將會(huì )自動(dòng)從中隨機選取一個(gè)端口來(lái)部署此蜜罐����。
訪(fǎng)問(wèn)業(yè)務(wù)系統蜜罐協(xié)議支持HTTP或HTTPS�,DecoyMini已經(jīng)內置了默認的SSLssl/' target='_blank'>證書(shū)��,如果需要自定義��,可以將新的證書(shū)文件和密鑰文件分別命名為server.crt和server.key替換仿真模板資源文件“配置文件”目錄里同名文件�。
(2)配置完部署蜜罐的必要參數后��,點(diǎn)擊“確定”保存蜜罐配置��。
(3)點(diǎn)擊“應用”按鈕將誘捕策略下發(fā)到誘捕探針來(lái)生成對應的蜜罐�����。
部署效果
在DecoyMini上部署好蜜罐之后���,用瀏覽器訪(fǎng)問(wèn)誘捕策略里配置的地址就可以訪(fǎng)問(wèn)到仿真的業(yè)務(wù)系統站點(diǎn)�。
以下為筆者模擬攻擊者發(fā)起請求���,展示業(yè)務(wù)系統蜜罐對攻擊的誘捕效果��。
攻擊事件日志
當攻擊者訪(fǎng)問(wèn)到業(yè)務(wù)系統蜜罐后����,在系統的風(fēng)險事件里可以查看到相關(guān)風(fēng)險事件告警信息���。DecoyMini支持關(guān)聯(lián)分析�����,支持對同類(lèi)事件進(jìn)行自動(dòng)合并����,這可以有效降低告警數量�、提高告警準確度����,從而大大降低安全運維投入�。
風(fēng)險事件的詳細信息中包含兩部分:事件詳情和關(guān)聯(lián)誘捕日志列表����。
事件詳情展示了風(fēng)險事件的名稱(chēng)�、描述�、類(lèi)型��、合并數量��、攻擊源IP��、攻擊目的IP����、匹配到的關(guān)聯(lián)分析規則名稱(chēng)���、威脅影響和解決方案�、風(fēng)險事件合并開(kāi)始時(shí)間和結束時(shí)間等屬性�。
關(guān)聯(lián)誘捕日志展示的為此風(fēng)險事件關(guān)聯(lián)的誘捕日志列表:
在系統的“誘捕日志”里可以查看到完整的攻擊日志信息���;仿真模板配置了記錄攻擊賬戶(hù)功能�,當攻擊者嘗試登錄業(yè)務(wù)系統時(shí)�����,在對應的誘捕日志里可以查看到嘗試登錄的賬戶(hù)信息��,包括登錄使用的用戶(hù)名和密碼等�����。
攻擊預警
當攻擊者訪(fǎng)問(wèn)到業(yè)務(wù)系統蜜罐時(shí)����,DecoyMini支持配置多種預警方式及時(shí)將告警通知到安全管理人員手里�,包括郵件告警��、彈窗告警�����、企業(yè)微信�、釘釘等方式���,也支持通過(guò)Syslog格式將告警信息輸出到其它系統來(lái)實(shí)現對攻擊進(jìn)行聯(lián)動(dòng)處置���。
采用自動(dòng)預警通知�����,可實(shí)現用極少的資源和人力投入��,就可以實(shí)現7x24小時(shí)不間斷遠程值守�����,安全管理人員隨時(shí)隨地都能輕松掌握網(wǎng)絡(luò )的風(fēng)險態(tài)勢���。
攻擊過(guò)程分析
在風(fēng)險事件詳情或者誘捕日志里查看日志詳情時(shí)�����,除可以看到該誘捕日志詳細信息外���,還支持以“時(shí)間線(xiàn)”方式以時(shí)間先后順序展示該攻擊者的詳細操作�,還原攻擊的完整過(guò)程�。
在風(fēng)險事件或誘捕日志界面中���,點(diǎn)擊誘捕器(蜜罐)鏈接��,可以查看到攻擊此誘捕器的IP畫(huà)像���,畫(huà)像直觀(guān)展示了攻擊此蜜罐的源IP分布以及攻擊頻率等信息��。
點(diǎn)擊事件列表或事件詳情中的“被攻擊IP”�����,可以展示對應被攻擊IP的畫(huà)像��,畫(huà)像展示了攻擊該IP的攻擊來(lái)源情況以及攻擊的蜜罐范圍�����。
攻擊溯源
DecoyMini不僅能夠對攻擊進(jìn)行監測����、對失陷進(jìn)行感知�,同時(shí)它也具備攻擊溯源能力����。當攻擊者訪(fǎng)問(wèn)部署的業(yè)務(wù)系統蜜罐后�����,通過(guò)內置在業(yè)務(wù)系統蜜罐內的反制腳本��,就能夠自動(dòng)獲取到攻擊者主機的多種特征信息���,包括真實(shí)IP�����、主機特征���、瀏覽器特征等等����。同時(shí)DecoyMini已經(jīng)與盛邦安全的網(wǎng)絡(luò )空間資產(chǎn)探測平臺聯(lián)動(dòng)�����,能夠自動(dòng)查詢(xún)攻擊IP所在主機最近一段時(shí)間開(kāi)啟的端口和服務(wù)��,為溯源攻擊者的真實(shí)身份提供了多維度的數據支撐�。
點(diǎn)擊事件列表或事件詳情中的“攻擊IP”����,可以展示對應攻擊IP的畫(huà)像�����,包括攻擊者地域信息��、攻擊影響范圍��、主機特征�、瀏覽器特征�����、主機曾開(kāi)啟的服務(wù)等信息����。
點(diǎn)擊畫(huà)像上的基本信息���、主機特征�����、瀏覽器特征��、曾使用服務(wù)���,可以鉆取到對應攻擊IP的攻擊者特征詳情���;點(diǎn)擊攻擊目標的IP或誘捕器����,可以鉆取到此IP對該攻擊目標實(shí)施攻擊產(chǎn)生的風(fēng)險事件和詳細誘捕日志列表��。
總結
面對當前嚴峻的網(wǎng)絡(luò )安全態(tài)勢��、及時(shí)發(fā)現更具隱蔽性和多樣性的攻擊行為���,對網(wǎng)絡(luò )安全防御手法上需要有所創(chuàng )新���。通過(guò)在網(wǎng)絡(luò )部署蜜罐��,以攻防對抗思路為基礎�,以攻擊者視角去發(fā)現威脅����,可有效彌補傳統網(wǎng)絡(luò )安全防御方案的弱點(diǎn)�����,構建主動(dòng)感知網(wǎng)絡(luò )威脅的能力���,協(xié)助提升網(wǎng)絡(luò )安全監測��、響應及防御能力����。
本文介紹了使用DecoyMini來(lái)部署業(yè)務(wù)系統蜜罐的基本方法����,讀者可以參考去配置滿(mǎn)足自己需求的業(yè)務(wù)系統蜜罐�。DecoyMini作為一款優(yōu)秀的國產(chǎn)免費蜜罐軟件�,具備豐富的攻擊誘捕和溯源分析功能���,提供靈活的蜜罐自定義能力����,支持快速組建蜜罐群����,是企業(yè)零成本構建欺騙防御能力的得力工具��,值得企業(yè)部署嘗試��。
