七兮技术分享

HFish蜜罐使用心得

04 09月
作者:七兮|分类:安全与攻防|标签:HFish 蜜罐 诱攻 git

最近搭建各种蜜罐测试,这篇文章主要分享 HFish V0.6.2 使用过程中的一些心得。

什么是蜜罐?

蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

好比是情报收集系统。罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

蜜罐分类

实系统蜜罐

实系统蜜罐是最真实的蜜罐,它运行着真实的系统,并且带着真实可入侵的漏洞,属于最危险的漏洞,但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的,没有任何SP补丁,或者打了低版本SP补丁,根据管理员需要,也可能补上了一些漏洞,只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络,根据目前的网络扫描频繁度来看,这样的蜜罐很快就能吸引到目标并接受攻击,系统运行着的记录程序会记下入侵者的一举一动,但同时它也是最危险的,因为入侵者每一个入侵都会引起系统真实的反应,例如被溢出渗透、夺取权限等。

伪系统蜜罐

什么叫伪系统呢?不要误解成假的系统,它也是建立在真实系统基础上的,但是它最大的特点就是平台与漏洞非对称性

大家应该都知道,世界上操作系统不是只有windows一家而已,在这个领域,还有LinuxUnixOS2BeOS等,它们的核心不同,因此会产生的漏洞缺陷也就不尽相同,简单的说,就是很少有能同时攻击几种系统的漏洞代码,也许你用LSASS溢出漏洞能拿到Windows的权限,但是用同样的手法去溢出linux只能徒劳。根据这种特性,就产生了伪系统蜜罐,它利用一些工具程序强大的模仿能力,伪造出不属于自己平台的漏洞,入侵这样的漏洞,只能是在一个程序框架里打转,即使成功渗透,也仍然是程序制造的梦境——系统本来就没有让这种漏洞成立的条件,谈何渗透?实现一个伪系统并不困难,Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具就能轻松实现,甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的漏洞,让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易,只要在后台开着相应的记录程序即可。

这种蜜罐的好处在于,它可以最大程度防止被入侵者破坏,也能模拟不存在的漏洞,甚至可以让一些Windows蠕虫攻击Linux——只要你模拟出符合条件的Windows特征!但是它也存在坏处,因为一个聪明的入侵者只要经过几个回合就会识破伪装,另者,编写脚本不是很简便的事情,除非那个管理员很有耐心或者十分悠闲。

以上部分摘选自百度百科,简化一下

蜜罐定义

诱使攻击方攻击,通过攻击行为对攻击方进行各种分析。

蜜罐类型 

1.漏洞百出的真实系统

2.模拟不属于自己系统(比如说服务器是linux,模拟一个windows服务器特征,让攻击者进入迷宫。)

很显然第一种实系统蜜罐的优势是能够在真实的情况下记录下入侵者的一举一动,但是由于与真实系统密切联系,入侵者每一个入侵都会引起系统真实的反应,万一真实系统被溢出或者渗透等,是非常危险的。

伪系统蜜罐就像是让入侵者进入了一个迷宫,但是入侵者还不知道自己在其中,他会自以为是的在里面瞎忙活,自己的记录也会被跟踪,虽然这种蜜罐相等安全,但是蜜罐对于有效的攻击行为却难以捕捉。

蜜罐作用

1.  迷惑入侵者,保护服务器
2. 
诱捕网络罪犯

3.  数据收集

4.   ......


注意事项

法律问题 : 出乎意料的是,监控蜜罐也要承担相应的法律后果,譬如说,有可能违反《反窃听法》。虽然目前没有判例法,但熟悉这方面法律的人士大多数认为,双方同意的标语是出路所在。也就是说,给每个蜜罐打上这样的标语:使用该系统的任何人同意自己的行为受到监控,并透露给其他人,包括执法人员。



部署的话,官方文档已经介绍的相当清楚了

我这里使用的是docker集群部署

主控

docker run -d --name hfish-master -p 21:21 -p 22:22 -p 23:23 -p 69:69 -p 3306:3306 -p 5900:5900 -p 6379:6379 -p 7879:7879 -p 8080:8080 -p 8081:8081 -p 8989:8989 -p 9000:9000 -p 9001:9001 -p 9200:9200 -p 11211:11211 --restart=always imdevops/hfish:latest


被控

docker run -d --name hfish-client -p 21:21 -p 22:22 -p 23:23 -p 69:69 -p 3306:3306 -p 5900:5900 -p 6379:6379 -p 8080:8080 -p 8081:8081 -p 8989:8989 -p 9000:9000 -p 9200:9200 -p 11211:11211 -e CLUSTER_IP=master_ip:7879 -e NODE_NAME=clinet --restart=always imdevops/hfish:latest


  • 7879 为集群通信 RPC 端口

  • 环境变量 CLUSTER_IP 为集群主节点IP地址

  • 环境变量NODE_NAME为客户端节点名称,集群唯一,不可重名


访问 ip:9001 输入账号密码admin

进入容器内,vi 编辑 /opt/HFish/config.ini 配置文件,可以修改自己需要的,包含账号密码

可视化很简明,可以看到上方列表还有其他功能,这里暂时不研究.


HFish蜜罐使用心得  HFish 蜜罐 诱攻 第1张

image.png HFish蜜罐使用心得  HFish 蜜罐 诱攻 第2张


切换到装X界面,后台管理仪表盘中如果攻击者多的话才会体现视图优势,做测试看上去空荡荡的。

image.png HFish蜜罐使用心得  HFish 蜜罐 诱攻 第3张



分布式部署的话 我服务器不多,一个阿里云做的主节点,子节点分别是香港朋友自营,成都天翼云




官方分布式部署命令会少些端口,可以根据 config.ini 端口自行增删。

运行完后,查看主节点,成功接收到数据。

分布式蜜罐部署了几天后,接下来是对捕获的数据进行分析了,下面主要以 SSH 蜜罐攻击行为为例。各位大佬也可以从附件里下载数据库自行分析。往后如果有能力,会定期提供蜜罐捕获数据给各位。

攻击字典统计

先来看下数据库 hfish_info 表结构及数据:

HFish蜜罐使用心得  HFish 蜜罐 诱攻 第4张


可以看到数据库用 && 替换换行符,保存在数据库中,

HFish蜜罐使用心得  HFish 蜜罐 诱攻 第5张

可以看到爆破者的字典都已经存好了

因为收集时间不长,且子节点和主节点通信莫名中断,此结果不具有普遍性。

这里只是简单提取攻击字典,并没有做更深入分析,各位可以通过后面附件下载,自行分析。

测试了 webftpssh telent mysql服务

攻击者的登录行为都可以被捕捉到

而且以下信息都会被记录

HFish蜜罐使用心得  HFish 蜜罐 诱攻 第6张

mysql可以让攻击者使用弱口令登录,从进一步分析攻击者行为。

telent服务可以直连,并记录攻击者的操作行为。


拓展

1.集群部署

2.邮件报警

3.自定义web蜜罐

4.接入API收集信息

5.黑白名单限制

通过一个开源项目去简单的了解蜜罐技术,感觉自己的思路开拓了很多,在部署蜜罐的时候站在攻击者的角度去考虑问题,可能会得到很多奇妙的想法。

由于我刚开始去了解蜜罐技术,文章中有很多不足之处,敬请谅解。


项目地址: HFish(https://github.com/hacklcx/HFish)

本次分析的数据包

HFish蜜罐使用心得  HFish 蜜罐 诱攻 第7张Hfish.rar


本文来自 七兮网络 转载请注明;

本文地址:https://www.qxhut.cn/?id=194。

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序和内容,请支持正版,购买注册,得到更好的正版服务。我们非常重视版权问题,如有侵权请邮件与我们联系处理。敬请谅解!

浏览3446 评论0
返回
目录
返回
首页
“阿里云网盘”上线,非会员下载速度远超百度网盘 抵御Webshell入侵

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

登录
用户名
密码
注册
用户名
密码
确认密码
邮箱
QQ
验证码
找回密码
用户名
邮箱
※ 重置链接将发送到邮箱
请先 登录 再评论,若不是会员请先 注册