攻防演練中紅隊如何識別蜜罐保護自己

前言

最近在攻防演練中經常會遇到蜜罐，這次就來嘮嘮蜜罐。

蜜罐是對攻擊者的欺騙技術，用以監視、檢測、分析和溯源攻擊行為，其沒有業務上的用途，所有流入/流出蜜罐的流量都預示著掃描或者攻擊行為，因此可以比較好的聚焦于攻擊流量。

蜜罐可以實現對攻擊者的主動誘捕，能夠詳細地記錄攻擊者攻擊過程中的許多痕跡，可以收集到大量有價值的數據，如病毒或蠕蟲的源碼、黑客的操作等，從而便于提供豐富的溯源數據。

但是蜜罐存在安全隱患，如果沒有做好隔離，可能成為新的攻擊源。

一、蜜罐分類

按用途分類，蜜罐可以分為研究型蜜罐和產品型蜜罐。研究型蜜罐一般是用于研究各類網絡威脅，尋找應對的方式，不增加特定組織的安全性。產品型蜜罐主要是用于防護的商業產品。

按交互方式分類，蜜罐可以分為三類，低交互式蜜罐，中交互式蜜罐，高交互式蜜罐。

低交互式蜜罐 ：通常是指與操作系統交互程度較低的蜜罐系統，僅開放一些簡單的服務或端口，用來檢測掃描和連接，這種容易被識別。

中交互式蜜罐 ：介于低交互式和高交互式之間，能夠模擬操作系統更多的服務，讓攻擊者看起來更像一個真實的業務，從而對它發動攻擊，這樣蜜罐就能獲取到更多有價值的信息。

高交互式 ：指的是與操作系統交互很高的蜜罐，它會提供一個更真實的環境，這樣更容易吸引入侵者，有利于掌握新的攻擊手法和類型，但同樣也會存在隱患，會對真實網絡造成攻擊。

常見的比較優秀的蜜罐：

Honeyd：https://github.com/DataSoft/Honeyd

T-pot : https://github.com/dtag-dev-sec/tpotce

常見的WEB蜜罐：

HFISH: https://github.com/hacklcx/HFish

opencanary web : https://github.com/p1r06u3/opencanary_web

評分較高的蜜罐：

研究的過程中，發現了有人已經對市面上的大部分蜜罐進行了測試和評分，因為比較多，下面列舉出排名前五名的蜜罐：

Shadow Daemon：https://shadowd.zecure.org/overview/introduction/

影子守護進程是一組工具的集合，用于檢測、記錄和阻止對web應用程序的攻擊。從技術上講，影子守護進程是一個web應用程序防火墻，它攔截請求并過濾惡意參數。它是一個模塊化的系統，將web應用程序、分析和接口分離開來，以提高安全性、靈活性和可擴展性。

影子守護進程是免費軟件。它是在GPLv2許可下發布的，所以它是開源的，每個人都可以檢查、修改和分發代碼。

難易性★★★★☆

可用性★★★★★

展示性★★★★★

交互性★★★★★

RDPy：https://github.com/citronneur/rdpy

RDPY是Microsoft RDP遠程桌面協議協議客戶端和服務器端的純Python實現。RDPY是在事件驅動的網絡引擎Twisted上構建的。RDPY支持標準RDP安全層基于SSL的RDP和NLA身份驗證通過ntlmv2身份驗證協議。

難易性★☆☆☆☆

可用性★★★★★

展示性★★★★★

交互性★★★★★

snare

這個蜜罐是復制別人網站的源碼程序原理跟釣魚網站差不多

難易性★★☆☆☆

可用性★★★★★

展示性★★★★★

交互性★★★★☆

django-admin-honeypot

難易性★☆☆☆☆

可用性★★★★★

展示性★★★★★

交互性★★★★☆

Artillery ：https://github.com/trustedsec/artillery/

開源藍隊工具，旨在通過多種辦法保護 Linux 和 Windows 操作系統。

難易性★☆☆☆☆

可用性★★★★★

展示性★★★★★

交互性★★★★☆

二、如何識別

攻擊者也會嘗試對蜜罐進行識別。比較容易的識別的是低交互的蜜罐，嘗試一些比較復雜且少見的操作能比較容易的識別低交互的蜜罐。相對困難的是高交互蜜罐的識別，因為高交互蜜罐通常以真實系統為基礎來構建，和真實系統比較近似。對這種情況，通常會基于虛擬文件系統和注冊表的信息、內存分配特征、硬件特征、特殊指令等來識別。

我們可以通過以下方式去做蜜罐識別：

1. BOF的識別；BOF（Back Officer Friendly）

2. 假代理技術，關注Honeypot Hunter軟件；

3. Honeyd的識別；

4. 利用Sebek識別蜜網，第二、三代蜜網都有這個軟件；

5. Tarpits的識別；

6. 外聯數據控制識別，一般蜜罐會嚴格限制系統向外的流量；

7. 識別VMware虛擬機，重點關注MAC地址的范圍

8. 用Nmap等Scan工具，同一個機器同時開放很多Port的。

9. 因為很多蜜罐都設置在相同或臨近的網段。所以，同一個網段（e.g. ／24），很多機器都開放相同的Port，回應相似的Response。

10. 去Shodan／Censys查

三、常見蜜罐展示

1.無交互蜜罐: 只針對網絡批量掃描器

通過釋放大量指紋誘導掃描器攻擊

http://121.196.52.0:88/

http://47.110.66.64:5560/

可以發現此web有許多組件 ，右鍵查看源代碼，可以發現如下內容：

 2.低交互蜜罐: HFISH (被動/主動收集信息)

https://github.com/hacklcx/HFish

頁面展示如下, 一般開放在9001端口, 查詢title "HFish - 擴展企業安全測試主動誘導型開源蜜罐框架系統", 可以檢索到一部分開放在公網的

http://182.92.157.178:9001/login

一般用戶拿來使用的時候也不會進行修改, 所以很好識別

而且由于秘鑰硬編碼, 攻擊者可以直接利用默認配置中的key訪問日志信息，反日蜜罐。

比如：http://localhost:9001/api/v1/get/passwd_list?key=X85e2ba265d965b1929148d0f0e33133

另外其它的 API可以見官方 Document 說明 ：https://hfish.io/docs/#/help/api        

還有其它的一些地址：

182.92.157.178:9001/api/v1/get/fish_info?key=X85e2ba265d965b1929148d0f0e33133

http://182.92.157.178:9001/api/v1/get/fish_info?key=X85e2ba265d965b1929148d0f0e33133

http://182.92.157.178:9001/api/v1/get/passwd_list?key=X85e2ba265d965b1929148d0f0e33133

http://182.92.157.178:9001/api/v1/get/ip?key=X85e2ba265d965b1929148d0f0e33133

3.高交互蜜罐: 真實環境部署探針

通過在真實環境安插探針, 保留原有業務功能的情況下, 也可以獲取攻擊者信息

http://61.50.134.234:8080/www