企业内蜜罐系统的部署

前言

安全中比较重要的一环就是如何发现攻击行为，一般我们在网络边界上部署了各种设备，如waf，ips，ids等等，这些设备有助有帮助我们识别攻击行为。

但是如果攻击者绕过了网络边界设备进入了内网，那么如何去感知？进入内网以后，这些部署在访问边界的安全设备都没有了作用，它们检测不到内网之间的横向流量。

为了检测内网之间横向流量，一般有两种方案：一种是基于主机层的检测，也就是我们常说的HIDS，另外一种就是在内网部署蜜罐系统，抓取攻击者的横向流量。

蜜罐不仅仅可以部署在内网抓取内网的攻击，也可以部署在外网用来抓取最新的攻击方式。本篇文章就来看看在企业内蜜网系统的搭建。

什么是蜜罐？

蜜罐：蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务 或者 信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行 捕获 和 分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐 好比是 情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

蜜罐的分类

蜜罐系统根据攻击者与蜜罐的交互级别把蜜罐分为低交互蜜罐、中交互蜜罐和高交互蜜罐。

低交互蜜罐通常是最容易安装、配置、部署和维护的，它的设计和基本功能都很简单，只是模拟各种服务，攻击者仅限于与预先指定的服务进行交互。例如，一个低交互的蜜罐可以用来模拟一个标准的Linux服务器，在Linux服务器中正在运行的FTP、SMTP和TELNET等服务。攻击者可以通过远程连接到这个蜜罐，并且获得服务的登录提示，然后通过猜测或暴力破解进行登录尝试，蜜罐将捕获并且收集这些登录尝试，攻击者与蜜罐的交互仅限于登录尝试，并不能登录到这个系统。

中交互蜜罐为攻击者提供了比低交互蜜罐更多的交互能力，如提高一些低交互蜜罐无法提高的响应，但比高交互蜜罐的功能少。例如，可以通过构建一个中交互蜜罐来模拟一个web服务器，并且呈现出蠕虫病毒攻击所需的漏洞，无论何时攻击者与蜜罐建立http连接，蜜罐都会进行响应，使攻击者有机会与模拟的web服务器进行交互。这种交互的程度比低交互的蜜罐交互程度高。在低交互的蜜罐中，攻击者可能只会获得一个http的响应提示。在蠕虫蜜罐的例子中，可以捕获攻击行为的有效载荷，以便对攻击行为进行分析。

高交互蜜罐可以为构建者提供大量攻击者的信息，构建和维护非常的耗费时间，而且风险极高，在高交互性的蜜罐中，攻击者可以对真实的操作系统进行访问，系统中有着最真实的漏洞，记录下的入侵信息也都是最真实的。

蜜罐的作用

入侵检测

企业在安全建设上大多数都会更加侧重于边界安全的防护，然而攻击者一旦通过0day、社工钓鱼、近源攻击等攻击手法突破网络边界进入内网，那么企业对内网失陷造成的横向移动感知则会成为防护的盲区，而在内网部署蜜罐可以为此提供良好的帮助，一方面在内网部署蜜罐可以诱导攻击者陷入蜜网，远离核心业务(之前在打HW的时候有听到同事说起过有一家厂商曾在内网搭建了一套域环境，之后害的红队成员白白忙活)，另一方面可以对内网失陷主机的异常横向移动进行感知。因此可以通过蜜罐感知可能的入侵行为。

0Day或者未公开POC捕获

目前有很多的企业或个人都会尝试去部署各种各样的蜜罐产品，且大部分产品都是一些OA系统、CMS等常用的系统，目的大多都是为了捕获在野利用的通用型0day或者未公开的POC

企业在外网部署产品蜜罐实现对在野利用0day的捕获，由此产生的价值在于可以更快一步发现企业产品中存在的脆弱点并通过对在野利用0day的复现、漏洞利用载荷的分析来定位底层代码功能点位，之后通过对脆弱点进行修复，从而提升系统的整体安全性

溯源分析

现在的商用蜜罐也越来越多的用在了溯源分析上，可以通过蜜罐获取攻击者的 一些个人信息，为溯源提供便利。如下图所示，获取到了攻击者的baidu2账号。

目前蜜罐获取个人信息主要使用的技术是jsonp劫持和xss技术。

下面是从蜜罐中抓取到使用的jsonp劫持的链接

溯源目标模版

姓名/ID：
攻击IP：
地理位置：
QQ:
IP地址所属公司：
IP地址关联域名：
邮箱：
手机号：
微信/微博/src/id证明：
人物照片：
跳板机（可选）：
关联攻击事件：

蜜罐根据其部署位置的不同，也具有不同的作用

部署在外网蜜罐

主要目的：发现可能得攻击行为，捕获最新的漏洞以及利用

办公网蜜罐

主要目的：发现办公网内失陷主机，发现可能得攻击行为，溯源攻击者

生产网蜜罐

主要目的：发现生产网内是否存在横向移动，溯源攻击者

蜜罐系统的搭建

为了应对不同的场景，我们搭建了内网和外网的蜜罐系统，内网蜜罐主要是为了捕获办公网和生产网的横向攻击，外网蜜罐是为了迷惑攻击者以及抓取攻击方式。

蜜罐的部署一定要注意与其它机器的隔离，防止蜜罐系统出现安全问题。

由于安全预算的原因，开源蜜罐成了我们的首选。常见的蜜罐有Honeyd，hfish等。我们最终选择了hfish蜜罐系统。

HFish采用B/S架构，HFish由管理端（server）和节点端（client）组成，管理端用来生成和管理节点端，并接收、分析和展示节点端回传的数据，节点端接受管理端的控制并负责构建蜜罐服务。

在HFish中，管理端只用于数据的分析和展示，节点端进行虚拟蜜罐，最后由蜜罐来承受攻击。

server端安装

由于docker方式安装比较方便，并且可以进一步保障宿主机的安全，因此我们本次采用了docker的方式进行安装

docker run -itd --name hfish 
-v /usr/share/hfish:/usr/share/hfish 
--network host 
--privileged=true 
threatbook/hfish-server:latest

登录方式

登陆地址：https://[server]:4433/web/
初始用户名：admin
初始密码：HFish2021

节点安装

可以界面上选择增加节点，然后配置，到相应的节点机器执行命令即可

蜜罐的运营

蜜罐搭建完成以后就要进行正常的运营，在运营过程中我们主要关注了下面的方面：

1）覆盖率

在内网中检测横向攻击，首先要保证的就是覆盖率。只有覆盖了全部的网段，才能最大可能的保证检测到横向攻击。比如说，用户有10台真实服务器，在服务器所在的DMZ区域用户部署了90个蜜罐，那么攻击者进入用户网络中后第一次攻击到真实服务器的概率就是百分之十。那如果用户部署了190个蜜罐，那攻击者第一次攻击到真实服务器的概率就是百分之5，所以蜜罐捕获攻击者就是一个概率的问题。

我们设置的是所有使用的网段内保证有两台蜜罐主机，一台IP在10.100.0.128以前，一台在10.100.0.128以后。

实际部署的时候我们没有这些多的节点机器给到我们，我们就在一台机器上虚拟出了不同网段的IP，这样一台机器就可以配置不同网段的节点IP。

2）误报率

无论是在内网还是在外网，都会有各种网络爬虫以及扫描程序的存在，导致蜜罐会被误触发。因此蜜罐运营的一个很重要的工作就是要排除这些“正常的”访问IP。在内网通常是维护一个IP白名单，将内部的扫描程序加入白名单中，这在蜜罐搭建前期误报可能比较多，白名单维护起来以后，这类的告警就会逐步减少。

3）告警时效

内网的蜜罐主要是为了捕获攻击行为，为了防止攻击者进一步的横移操作，因此其对告警的及时性要求非常高。

hfish提供了多种告警方式，我们这边通过webhook的方式进行告警，当出现高警时发送到企微并且建立工单，通知安全人员处理。

4）蜜罐服务的配置

我们还要考虑蜜罐要开启什么样的服务，外网蜜罐需要保证服务的真实性以及交互性才能吸引攻击者前来攻击。蜜罐不能太假，如多端口开启不同的web服务，系统要给攻击人员一种是靠自己努力获取成果的假象

在外网蜜罐中我们模拟了一些常见的网络设备，如VPN登录页面。而在内网中我们则没有过多的考虑真实性的问题，尽可能的开启端口和服务。

5）蜜罐的安全性

蜜罐虽然是模拟漏洞，但蜜罐本身不可能保证得了自己完全无漏洞可被利用，就比如前几年hvv爆出了蜜罐逃逸漏洞，说明蜜罐并不是绝对安全的产品，没有绝对的安全，只有相对的，这应该是安全圈的共识。在使用过程中还要关注蜜罐的状态，防止蜜罐被攻击。

6)蜜罐与其它设备的关联分析

蜜罐的告警的处理还需要与其它的设备进行关联分析。例如蜜罐与威胁情报系统的联动，将蜜罐获取到的ip或者文本查询威胁情报系统进行辅助分析，查询蜜罐获取到的ip在其它安全设备（HIDS，）上是否有相应的行为等等

HW中的应用

最近几年在护网中也经常能见到蜜罐的身影，攻击者花费了大量的经历，最后发现攻击的蜜罐。蓝队通常使用诱饵技术吸引攻击者，然后通过蜜罐对攻击者进行反制。

诱饵技术

可以在互联网中部署一定的诱饵来吸引攻击者进入特定的蜜罐中。常见的诱饵有域名诱饵、Github 诱饵、网盘诱饵、邮件诱饵、主机诱饵、文件诱饵、漏洞诱饵等。

域名诱饵指使用特定的在字典中且有意义的主域名做为诱饵，比如 vpn.example.com / oa.example.com 等。

文件诱饵是在容易失陷的主机中放置虚假的拓扑图，关键系统 IP 的文件，从而诱导攻击者的方式。

Github 诱饵指在 Github 中放置代码文件、失陷凭证的方式。

漏洞诱饵通过部署存在特定漏洞特征的蜜罐站，吸引攻击者攻击。

反制技术

蜜罐可以使用一些方式对攻击者进行反制，常见的方式有 Jsonp、安全工具漏洞、Client 漏洞反制、文件反制等方式。

Jsonp 主要是使用各大网站的 Jsonp 获取攻击者已经登录的社交账号，用以溯源。另外如果攻击者使用流量的方式访问蜜罐网站，可以使用运营商接口获取攻击者的手机号。

安全工具漏洞,倘若对方使用带有漏洞版本的攻击工具例如蚁剑、AWVS等，这时候可以使用RCE攻击对其进行反控，高版本蚁剑上此漏洞已经被修复。

Client 反制，指使用虚假的 Server 对存在漏洞的客户端进行反制，例如通过 MySQL Client 读取文件，基于RDP/SMB 的漏洞进行 RCE。

反制文件，指在蜜罐环境中设置特定的文件，例如伪装的 VPN 客户端、特定插件来诱导攻击者点击。

DoS 反制，在获取到攻击者的 C2 样本后，可以通过批量上线的方式影响 C2 攻击者的控制服务器。

将WAF识别的可疑信息联动至蜜罐

攻防演练中WAF作为Web应用的重要防线，能够识别出大部分攻击行为，为获取更多攻击者信息，本次演练中，防守方设定WAF与欺骗伪装平台进行联动，将可疑访问转发至蜜罐中，采集攻击者信息。

1）WAF应具备自定义拦截页面和重定向能力。

2）WAF检测策略应进行优化，尽可能消除误报，避免将正常请求重定向至蜜罐。

3）攻击者触发WAF拦截策略后，将被重定向至拦截页面，拦截页面具备溯源能力，攻击者信息会传递至欺骗伪装平台后台。

总结

蜜罐作为防御体系的一环，在攻防不断加剧的基础上，蜜罐的使用也会越来越多。灵活的使用蜜罐，可能会带来意想不到的效果。

原文始发于微信公众号（信安路漫漫）：企业内蜜罐系统的部署