前言
hfish.png
蜜罐是一种安全威胁的主动防御技术,它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁、提取威胁特征,蜜罐的价值在于被探测、攻陷。攻击者遇到蜜罐以后不但进攻得不到什么进展,而且还会暴露很多敏感信息,安全人员可以收集到攻击者的手法,样本,产出相应IOC,甚至执行一些反制措施。
需求与选择
根据蜜罐与攻击者交互程度的高低,蜜罐可以分为低交互蜜罐和高交互蜜罐,两者并无优劣之分,需要使用者根据自己的需求去选择合适的蜜罐执行特定的任务。
在威胁情报生产方面,可以利用蜜罐收集开源情报,产出IOC;并尝试使用蜜罐收集的数据来对一些开源IOC打上相应的tag。网络上有很多与蜜罐/蜜网有关的实践。蜜罐分为开源的和闭源的;模拟单一服务的蜜罐和可以模拟多种服务的蜜罐。针对这个需求,我罗列了一下自己的选择标准:
-
低交互蜜罐即可,只需要产出一些恶意IOC即可,没有什么高交互需求,而且这是自己的vps也存在服务器性能和安全性上的考量。
-
最好开源,商业蜜罐我没钱,闭源蜜罐不方便针对自己的需求做二次开发。
-
可以模拟多种服务,可以针对某一个IOC打上不同的Tag。
-
更新迭代迅速,社区氛围好,文档完善。
根据以上需求,我选择了一个开源蜜罐HFISH,这是国内安全团队开发,中文文档完善。
安装
本人安装的版本为0.6.2,按照官网步骤下载源码,安装即可。
登陆页面
01.png
仪表盘
02.png
上钩列表
03.png
可以看到捕获了很多的IOC,并且可以给这些IOC打上不同的Tag,例如这个“192.241.210.167”就可以打上类似es_bruteforce,automatic_scan的标签,为了验证结果,我们可以在一些威胁情报平台查询结果。
-
360威胁情报平台
-
04.png
-
```
可以看到360威胁情报平台对这个IP也打上也相应标签,并在开源情报部分展示了出来,
automatic-collection,ssh_bruteforce等标签也和我们收集到的攻击信息吻合,这样我们就可以利用开源蜜罐完成我们预定的目标。而且360这边给这个IP打标签的时间是2021-07-20,咱们捕获到攻击的时间是2021-07-21,说明360也在利用类似的手段进行开源情报Tag的标注工作。
```
-
奇安信威胁情报平台
-
05.png
-
其他乙方安全公司的威胁情报平台都大同小异,不再赘述
Tips
2021年11月更新
我在使用Hfish的时候是在2020年,github上还提供最新的源代码,我安装的版本是0.6.2。最近(2021年11月)发现Hfish只提供V2版本,方式改为闭源共享。新版本有一些改动,新增了几个蜜罐,具体更新项目查看最新文档即可,但不提供源代码又少了很多修改的可能性。
后记
1、后台进程被杀
使用HFISH的时候,发现后台进程会被杀掉,写脚本检测进程是否存在,使用crontab定时执行
参考 https://zhuanlan.zhihu.com/p/154585289
2、web特征过于明显
在fofa或者shodan等全网资产测绘平台查询hfish相关信息,例如我在fofa平台使用title="hfish"进行查询,结果如下,所以我们可以反向给这些IP打上标签"honeypot","安全人员/组织VPS"
06.png
下面的几个特征建议自己在使用hfish时进行修改,有兴趣的师傅可以去爆破一下管理页面的账户,有好几个弱密码账户哦。
- title="hfish"
- 默认管理IP 9001或4433
- 图片/图标资源
- 4433/assets/cb2b971bf7d987543560ef44026d0c3c.png
- :4433/assets/static/media/hfish-icon.473db7ce.svg
- :9001/static/images/hfish.png
- 9001/static/favicon.ico
- 默认的路由
- 默认的数据获取接口,添加认证
网友评论