HFish 蜜罐技术深度解析：架构原理、Linux 环境一键部署与威胁情报生产

HFish 蜜罐技术深度解析：架构原理、Linux 环境一键部署与威胁情报生产

蜜罐基础知识

蜜罐的定义

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务 或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐的优势

误报少，告警准确 蜜罐作为正常业务的 “影子” 混淆在网络中，正常情况下不应被触碰，每次触碰都可以视为威胁行为。例如，在其它检测型产品中，将正常请求误判为攻击行为的误报很常见，而对于蜜罐来说，几乎不存在正常请求，即使有也是探测行为。 检测深入，信息丰富 不同于其它检测型安全产品，蜜罐可以模拟业务服务甚至对攻击的响应，完整获取整个交互的所有内容，最大深度的获得攻击者探测行为之后的N个步骤，可检测点更多，信息量更大。 例如，对于SSL加密或工控环境，蜜罐可以轻松伪装成业务，得到完整攻击数据。 主动防御，预见未来，生产情报 在每个企业，几乎每分钟都在发生这样的场景：潜伏在互联网角落中的攻击者发起一次攻击探测，防守方业务不存在安全漏洞，IDS告警后事情就不了了之了。 而应用蜜罐型产品后，转换为主动防御思路：蜜罐响应了攻击探测，诱骗攻击者认为存在漏洞，进而发送了更多指令，包括从远端地址下载木马程序，而这一切不仅被完整记录下来，还可以转化为威胁情报供给传统检测设备，用于在未来的某个时刻，准确检测主机失陷。 可以发现，转换为主动防护思路后，威胁检测由针对单次、多变的攻击上升到应用威胁情报甚至HTTPs检测。 环境依赖少，拓展视野 由于是融入型安全产品，蜜罐不需要改动现有网络结构，并且很多蜜罐是软件形态，对各种虚拟和云环境非常友好，部署成本低。 蜜罐可以广泛部署于云端和接入交换机下游末梢网络中，作为轻量级探针，将告警汇聚到态势感知或传统检测设备中分析和展示。 蜜罐与情报 显而易见蜜罐是非常准确、稳定和恰当的情报感知探针。 蜜罐最大的价值是诱使攻击者展示其能力和资产，再配合误报少，信息丰富等一系列优势，配合态势感知或本地情报平台可以稳定生产私有威胁情报。

蜜罐产品推荐及安装教程

HFish是一款社区型免费蜜罐，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。 HFish支持基本网络 服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、安全产品、无线AP、交换机/路由器、邮件系统、IoT设备等90多种蜜罐服务、支持用户制作自定义低交互Web蜜罐、支持将本地攻击流量牵引到免费的云端蜜网、支持全端口扫描感知能力、支持可自定义的蜜饵配置、一键部署、跨平台多架构，支持Linux x32/x64/ARM、Windows x32/x64平台和多种国产操作系统、支持龙芯、海光、飞腾、鲲鹏、腾云、兆芯等国产CPU、极低的性能要求、支持邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性，帮助用户降低运维成本，提升运营效率。

HFish架构

HFish采用B/S架构，HFish由三部分组成，分别是：管理端（server）、节点端（client）和蜜罐（pot）组成，管理端用来生成和管理节点端，并接收、分析和展示节点端回传的数据，节点端接受管理端的控制并负责构建蜜罐服务和回传数据，蜜罐负责承受攻击。HFish各模块关系图如下：

在这里插入图片描述

Linux联网环境，一键安装（强烈推荐）

CentOS 是HFish团队主力开发和测试系统，推荐选用CentOS系统部署管理端

如果部署的环境为Linux，且可以访问互联网，强烈建议使用一键部署脚本进行安装和配置，在使用一键脚本前，请先配置防火墙。 这里我选择的是Centos7的环境，推荐大家使用Centos7.x及以上

以root权限运行以下命令，确保配置防火墙开启TCP/4433、TCP/4434

firewall-cmd --add-port=4433/tcp --permanent   #（用于web界面启动）
firewall-cmd --add-port=4434/tcp --permanent   #（用于节点与管理端通信）
firewall-cmd --reload

在这里插入图片描述

以root权限运行以下一键部署命令

bash <(curl -sS -L https://hfish.net/webinstall.sh)

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

完成安装后，通过以下默认网址、账号密码登录

登陆链接：https://[ip]:4433/web/
账号：admin
密码：HFish2021

在这里插入图片描述

注意：访问管理端的URL中必须有/web/目录；生产环境中第一次登录后立刻修改密码，以防攻击者通过蜜罐跳跃至真实主机！

在这里插入图片描述

安装完成登录后，在「节点管理」页面中可看到管理端服务器上的默认节点，如下图：

在这里插入图片描述

蜜罐服务信息中防火墙状态为红色代表端口未放通，需要手动开启。

在这里插入图片描述

在这里插入图片描述

模拟攻击流至蜜罐检测

在上面我们开放了 ESXi系统蜜罐和海康摄像头蜜罐，因此通过浏览器访问使用弱口令测试

在这里插入图片描述

在攻击列表中，我们能看到蜜罐已经检测到被攻击的信息返回至系统中，并且在账号资源列表下 还能看到攻击者使用弱口令进行攻击

在这里插入图片描述

在这里插入图片描述

HFish蜜罐基本功能一览

在首页我们能够一眼很清晰的看到各种攻击趋势和攻击来源这对于我们蓝队人员非常的有利于后续溯源工作，并且还支持攻击源的可视化数据大屏

在这里插入图片描述

在这里插入图片描述

蜜罐的识别

这里我使用的是360 quake的检测工具

在这里插入图片描述

第一次使用需要配置quake官网的api key进行初始化

在这里插入图片描述

quake官网：https://quake.360.net/quake/#/index

工具命令使用语法：quake.exe honeypot IP

登录后右上角点击个人中心即可看到个人的api key 使用quake对存在蜜罐的IP进行探测，发现检测到存在蜜罐系统

在这里插入图片描述

使用quake对不存在蜜罐的IP进行探测，则回显是一个真实的系统

在这里插入图片描述

本文到这里就结束了哈哈！各位大佬如果还有其他精确的蜜罐识别工具 可以在评论区推荐一下！谢谢大佬们的观看 扩展链接

HFish官网链接：安全、简单、有效的蜜罐平台-永久免费 360quake官网：因为 看见 ，所以安全