2022年7月1日���,北京吉沃科技CEO張翔受邀在派網公開課上為大家帶來了免費蜜罐軟件DecoyMini使用分享�。DecoyMini采用輕量化威脅誘捕技術����,具備智能仿真�、高效誘捕�、靈活擴展��、部署簡便�、安全有效等特點���,支持本地高質量內生情報輸出���,可以無縫應用到網關設備對攻擊進行及時封堵�����,是企業零成本構建主動感知網絡攻擊的得力工具��,可以有效協助企業提升網絡安全監測��、響應及防御能力��。
北京派網軟件有限公司是業內領先的高性能解決方案供應商����,致力于提高網絡經營中必須的應用可視性�、成本調優��、服務優化�����、行為管理和審計能力����,為用戶提供高效���、穩定����、開放的應用層網絡通信平臺�、產品和服務��。
在派網近日發布的Panabit NTM(TANGr1p1)版本中�����,新增支持與免費蜜罐軟件DecoyMini的對接�����,以下為《免費蜜罐軟件DecoyMini介紹》公開課實錄��。
線上的各位朋友���,大家下午好��!
我是北京吉沃科技張翔�����,感謝派網的大力支持�,很高興能有這次機會在派網公開課上分享我們的一款免費蜜罐工具DecoyMini����。
Panabit NTM�,想必大家都比較熟悉了����,它是一個全流量分析溯源的系統��。同時呢���,NTM之中也集成了威脅情報的功能���,作為一個匯集多種威脅情報源的平臺�,NTM可以為情報的匹配提供免費載體����,對匹配威脅情報的流量進行發現與溯源��。
在最近發布的唐r1p1的版本中���,NTM新增了與DecoyMini的對接��,可以接收DecoyMini輸出的內生情報來提升對本地攻擊的監測與預警能力��。那么�����,DecoyMini是什么�,它有哪些特點和作用呢����?這就是我今天要分享的主要內容���。
首先我們從一個真實案例說起��。
這是幾個月前發生在咱們廣西某高校的一起黑客攻擊事件���。當天晚上10點多���,大家都已經下班了����,學校安全運維老師手機微信突然收到蜜罐發來的攻擊預警�����,提示有人踩了蜜罐����,左邊這圖片就是當時的微信預警截圖����。
隨后運維老師登錄蜜罐管理系統���,在系統里發現其中某個IP對內網多個IP發起了掃描操作��,并爆破SSH服務�����,登錄執行了敏感的命令�,基本判定這個IP已被攻陷�。
運維老師隨即在中心機房機柜找到了該服務器����,第一時間斷網進行排查和溯源����。該服務器對外開放了WEB服務���,通過對Apache日志進行排查�����,找到了攻擊者就在剛不久前上傳的webshell文件�,基本斷定本次事件攻擊者通過該服務器WEB服務的漏洞進入內網���。攻擊者在上傳webshell后就開始掃描�,直到拔網線前還有掃描任務都還未完成�����,通過蜜罐的溯源信息結合對日志文件的分析�,基本確定了攻擊來源��,攻擊者使用了一個香港的代理IP進行攻擊�,除了代理IP外還發現了一個南寧市的攻擊IP地址���。
該高校內部也部署了態勢感知平臺���,但是在本次事件中并沒有告警甚至任何相關的日志記錄也沒有���。好在內網部署了DecoyMini蜜罐工具��,在攻擊者剛進入內網進行環境探測階段就及時被蜜罐監測發現�,并第一時間進行了預警�����。在運維老師的快速處置下���,及時阻斷了攻擊的進一步擴散���,避免了整個內網被淪陷而造成更大的損失���。
利用DecoyMini幫助客戶發現內網失陷主機和協助客戶進行攻擊溯源這樣的案例還有很多����,后面找機會再跟大家分享��。
經過近些年的網絡安全實踐����,大家逐步發現傳統的網絡安全防御方法在面對攻擊手段的多樣化�、復雜化時已經力不從心���,被動防御技術已無法滿足當前最新的網絡安全對抗態勢���。一些新的安全技術不斷涌現���,欺騙防御就是其中主要技術之一����,欺騙防御我們俗稱蜜罐���,它是主動防御的主要方法�,是實戰由被動向主動轉變的最有效手段��,Gartner評價欺騙防御是對現有安全防護體系產生深遠影響的安全技術��,IDC發布的2021十大安全技術里欺騙防御也是核心之一�����,在近幾年的攻防演習中被大家稱為護網神器����。
它的原理是通過構造大量虛假的網絡環境���、主機����、服務和誘餌���,引誘攻擊者去訪問虛假環境來及時發現攻擊并對攻擊者進行溯源反制����,以保護客戶真實資產�。欺騙防御技術可有效扭轉攻防不對稱的態勢�����,化被動為主動��!
大家可能知道互聯網上已經有不少開源的蜜罐����,但是這些蜜罐絕大多數功能單一���,成熟度不高���,沒有持續的更新維護��,很難應用到實戰環境中去��。我們吉沃科技推出的DecoyMini是基于商業化蜜罐產品積累而推出的完全免費的蜜罐工具����。從去年8月1日正式上線以來�����,目前初步統計現網部署量已達數千臺��。為什么大家選擇使用DecoyMini����,它相較其他免費蜜罐有哪些特點呢:
首先那就是智能仿真能力:蜜罐的核心能力之一就是仿真�,仿真的類型越多�����,跟用戶環境貼合度越高����,蜜罐的仿真能力就越強���。DecoyMini支持插件化的仿真模板�,云端已經提供了常用的數十種蜜罐模板�����,通過一鍵導入云端仿真模板庫就可以在本地網絡快速部署多樣化的安全可控的仿真服務和應用��,同時也支持對自有WEB站點進行自動學習和仿真���;
有了仿真環境還不夠��,需要引誘攻擊者來攻擊它�����。DecoyMini使用虛擬IP�����,可以將網絡內空閑的IP資源綁定到一到多個蜜罐上����,這樣就可以實現一個DecoyMini軟件就可以模擬眾多主機����,實現蜜罐群的快速部署���,同時����,部署的蜜罐支持動態變換網絡端口���,這樣可以進一步增加蜜罐迷惑性����,大大提高攻擊誘捕的能力�����;
不同用戶�����、不同行業��,大家使用的應用�����、系統���、設備千差萬別�����,如果蜜罐只能提供固定的仿真環境�,那就很容易被攻擊者識破�,因此好的蜜罐需要具備較強的仿真自定義能力�,能夠按需去部署與自身環境貼合度高的蜜罐��。DecoyMini系統采用可視化仿真編排引擎�����,通過界面配置即可實現對自定義的網絡協議���、服務或應用的仿真���,仿真能力非常方便靈活擴展�����,配置好的模板也可以很方便導出遷移到其他DecoyMini節點���,或通過DecoyMini論壇進行分享�����;
DecoyMini軟件包很小�����,30來M��,支持主流操作系統(Windows 32/64位,CentOS/Ubuntu/Debian/Kali 32/64位,樹莓派等)��,普通辦公電腦的硬件配置就可以部署����。支持單節點運行��、也支持多節點集中管理���;部署靈活�����,一鍵安裝�、使用簡單���;
我們同步開發有商業化蜜罐產品DecoyPro��,目前已經批量應用于交通��、運營商��、教育���、能源等多個行業�����,我們把商業蜜罐的能力積累應用到免費蜜罐上����,以企業級技術來做免費蜜罐工具����,產品安全性好����,成熟度高����、穩定性有保障��,大家可以放心使用����。
DecoyMini可以應用到不同的網絡環境里��,下面重點介紹常用的三個場景:
第一個�,那就是用于互聯網攻擊誘捕分析��。面對互聯網攻擊頻繁�����,各種高級���,隱蔽的攻擊層出不窮���;而用傳統安全設備很難有效防御��,安全運維人員應付起來也是疲于奔命��。
通過部署DecoyMini��,利用豐富多樣的仿真模板��,部署一些典型的蜜罐映射到外網����,提供一個常態化的外網攻擊感知能力���;也可以利用自定義蜜罐能力�����,將個性化的蜜罐映射到外網����,對互聯網上嘗試攻擊我方的攻擊源進行誘捕和監測��;支持與網關設備聯動來及時對攻擊進行處置和阻斷�;同時支持輸出內生情報應用到像NTM這樣的分析平臺上�,提供對本地攻擊進行分析和防御的能力���。
第二個場景��,那就是內網橫向攻擊監測預警����。通常內網的訪問控制都不嚴格�����,攻擊橫向移動比較容易�����;而內網系統往往漏洞未能及時修補����、弱口令威脅也相當嚴峻����,極易遭受惡意的攻擊��;
通過部署DecoyMini�,在內網部署一些常用的應用服務蜜罐���,并開啟網絡掃描���、連接監聽功能�����,就可以提供常態化的內網威脅感知能力�����,可以及時發現像中了勒索����、挖礦���、蠕蟲等病毒木馬的失陷主機���、潛伏到內網的攻擊者�����,以及內部人員發起的各種攻擊行為����,支持內生威脅情報輸出�,通過與NTM等全流量分析工具配合��,就能夠對攻擊進行完整溯源分析�����;前面講的這個案例就是這種場景�。
第三個典型場景�����,針對網絡攻防對抗演習監測分析���,近幾年攻防演習常態化進行�,在攻防演習中需要有手段能夠對紅隊的攻擊進行監測����,對他們的進展進行跟蹤���,同時對紅隊的攻擊行為進行溯源反制��;
通過部署DecoyMini�����,可以對紅隊的攻擊行為進行監測����、對攻擊套路進行分析�����,用以指導藍隊制定更為有效的防御措施�;同時����,用蜜罐為載體構造場景可以來投遞溯源�����、反制工具����,比如可以把CS的被控端與Office文檔或者可執行文件等進行捆綁���,做好免殺后通過蜜罐來進行投遞����,引誘紅隊去訪問來對紅隊主機進行控制�,實現對紅隊的溯源�����,結合攻擊的完整日志和攻擊者畫像�����,協助完整溯源攻擊鏈�,獲得溯源得分�。
DecoyMini包括誘捕探針和管理中心兩大組件:
誘捕探針內部集成了一個自研的基于軟件仿真技術的仿真模板引擎����,它接收管理中心的誘捕策略�����,調度對應的仿真模板來部署蜜罐��,對各種針對蜜罐的攻擊行為和攻擊流量進行監測和記錄����,對攻擊者的特征信息進行提取��,將采集到的這些數據統一上報到管理中心進行集中分析����。
管理中心負責下發誘捕策略��,同時接收誘捕探針上報的各類數據��,存儲到本地Sqlite數據庫��,并通過規則匹配�、威脅情報���、關聯分析等分析手段識別關鍵攻擊行為����,生成風險事件����。管理中心提供WEB方式的管理入口���,提供仿真模板配置���,誘捕策略下發���,誘捕日志查詢���,風險事件管理等管理功能�;通過從云端自動下載仿真模板和威脅情報庫來持續更新本地的攻擊誘捕能力��。
大家可以通過github或者DecoyMini官網鏈接����,選擇自己操作系統對應的最新DecoyMini安裝包下載進行安裝�����。
DecoyMini運行對資源需求很低(典型策略配置下����,CPU占用率小于2%���,內存使用也就幾十M)��。這里是一個推薦配置清單��,一般的辦公計算機和虛擬機都可以安裝使用?�,F在各大公有云廠商像阿里云���、華為云�����、騰訊云都在搞促銷活動��,一百多塊錢就可以購買一個3年的云主機�,用這類云主機就可以很好的運行DecoyMini軟件�����,大家感興趣的也可以去申請下���。
單節點模式安裝的時候��,不管是windows還是Linux用管理員權限運行軟件即可開始安裝���,選擇監聽的地址和管理端口����,幾秒鐘就安裝完成����。
要部署多節點集中管理模式���,找一臺配置稍高的主機安裝DecoyMini作為管理中心�,在其他節點運行軟件將管理地址指向這個管理中心���,那么這個節點就將以誘捕探針模式運行����。
當安裝好DecoyMini后�,用瀏覽器訪問安裝時配置的 IP 和端口即可打開管理端登錄頁面�,推薦注冊論壇賬戶來進行登錄�,支持一個賬號管理多個DecoyMini系統����,同時�����,DecoyMini與技術論壇無縫銜接��、支持論壇自動登錄���、一鍵下載仿真模板���。針對不能連接互聯網的環境也支持使用本地賬戶進行登錄�����。
DecoyMini已經預置了部分典型的仿真模板���,比如FTP���,SSH�,Telnet等����,安裝后可以直接使用�。在云端的DecoyMini技術論壇里有一個仿真模板專欄��,里面維護著更多類型����、更豐富的仿真模板集合�,大家可以訪問這個論壇來獲取更多的仿真模板���。
為了方便大家使用��,在DecoyMini仿真模板配置界面提供模板一鍵下載功能���,支持一鍵自動下載論壇常用仿真模板集合���;同時��,也可以按需手動下載模板導入到系統���,比如我想部署一個VPN入口站點仿真蜜罐���,到論壇的仿真模板里找到對應的VPN入口站點模板�����,下載到本地導入����,這樣本地的DecoyMini就具備部署VPN入口站點仿真蜜罐的能力����。
對于自定義仿真需求和私有協議仿真�,可以基于現有仿真模板創建子模板去定制化��,也可以通過仿真模板配置界面來自定義新的仿真模板���。DecoyMini內置了一個可視化仿真編排引擎�����,通過界面自定義對請求數據的解析規則�,提取出關鍵屬性��,基于對關鍵屬性的匹配����,來響應對應的個性化數據��,進而實現對協議或服務的仿真����?����;谖覀兎抡婺0迮渲每蚣?����,可以配置出登錄賬戶記錄�����、用戶請求跳轉等具備中��、高交互能力的蜜罐����。
對于自定義的仿真模板支持導出分享���,可以分享到其它DecoyMini環境���,實現仿真能力的快速遷移�����;也可以分享到DecoyMini技術論壇�����,將有機會獲得論壇禮品或現金獎勵����。
這里列了2個互聯網可以直接訪問的仿真模板配置示例��,一個是《用免費蜜罐軟件快速部署業務系統蜜罐》介紹�����,參考他就可以將自有的業務系統快速制作成為蜜罐進行部署�����;另一個是用DecoyMini來配置Modbus工控蜜罐的方法介紹��,參考他就可以來配置對私有協議仿真的蜜罐�,會后我會把今天講的材料發給大家�,大家下來可以訪問上面的鏈接查閱詳情����。
下載好需要使用的仿真模板后�����,就可以開始部署蜜罐了����,可以直接選擇策略模板里預置的蜜罐策略�,目前有“內網橫向滲透監測”�����、“互聯網攻擊誘捕”等模板�����,點擊“應用”就可以快速部署好蜜罐�。
同時�����,也可以增加新的蜜罐��,選擇蜜罐使用的仿真模板�����,配置蜜罐運行的IP�����,端口��,協議等環境參數����。DecoyMini支持虛擬IP�,在增加新蜜罐時��,蜜罐的外部訪問IP支持填寫網絡可達范圍內的空閑IP�,來將蜜罐直接部署在這個空閑IP上�,比如咱們的網絡里192.168.1.8這個IP目前沒使用�����,用這個IP部署SSH蜜罐�����,部署好后�����,攻擊者通過網絡掃描時就會掃描出192.168.1.8這個主機�,掃描這個主機開放的端口就能看到SSH的22端口��,通過這個22端口就能夠連接到SSH蜜罐����。通過虛擬IP技術可以實現一個DecoyMini節點虛擬多IP來模擬多臺主機���,快速組建蜜罐群��,有效提高蜜罐的覆蓋率��,用較小的部署資源實現最大化的攻擊誘捕效果���。
同時�,DecoyMini支持對PING�、TCP掃描等行為進行監測��,提供對TCP指定端口范圍的網絡連接進行監測����,支持記錄連接行為����、攻擊首包和攻擊載荷��,大家可以在節點的“參數配置”里進行配置����。
至于部署時如何選擇蜜罐類型���,這里有一個基本的建議:最簡單的話部署一些典型的服務蜜罐(比如SSH���,FTP���,Telnet���,SMB�,MySQL等)再開啟掃描監測即可實現對內網失陷主機的監測和感知�,因為失陷主機通常也是通過掃描這些典型的服務來嘗試橫向移動����。
進一步的�����,可以將自己的一些業務系統站點做成仿真模板�,作為蜜罐部署出來�����,比如辦公系統��、ERP平臺�����、業務平臺等�����,應用到互聯網攻擊誘捕��、HW等攻防演習實戰場景下誘捕效果更佳��!
在部署好蜜罐后�����,如果有攻擊者對他進行訪問或攻擊����,蜜罐都能把攻擊者的攻擊行為詳細記錄下來���,包括攻擊者源IP��、攻擊的蜜罐���、使用的賬戶���、攻擊描述����、攻擊結果����、影響程度��、攻擊時間等信息���,同時支持對攻擊者發起攻擊對應的攻擊首包以及攻擊載荷進行記錄����,這些數據對分析攻擊者使用的工具和攻擊手法將有很大的幫助�����。
對攻擊者通過FTP��,SFTP等方式上傳的可疑文件���,DecoyMini支持記錄上傳��,通過界面可以直接下載下來進行分析����;同時����,支持以“時間線”方式來展示攻擊者攻擊的詳細過程�����。
DecoyMini也內置了威脅檢測分析能力��,包括威脅情報��、黑白名單和關聯分析等手段�,吉沃科技是“網絡安全威脅情報生態聯盟”的會員�����,派網也是聯盟會員���,威脅情報庫的部分數據就來源于情報生態聯盟��,同時部分開源情報和我們蜜罐誘捕到的攻擊情報也會加入情報庫中�����,DecoyMini開啟了自動升級的��,會定期自動和云端威脅情報平臺同步�,及時更新最新的情報數據到本地���,利用威脅情報能夠快速識別�����、標記各類已知的攻擊行為���。
同時DecoyMini也支持自定義黑白名單�����,針對一些授權的掃描或滲透測試行為���,支持一鍵白名單來自動忽略對應的告警���。
基于對攻擊日志的特征匹配�、威脅情報檢測���,再使用內置關聯分析規則對蜜罐產生的誘捕日志進行多維度關聯分析���、去重合并���,最終提煉出關鍵攻擊行為生成風險事件�����,通過風險事件能夠了解到攻擊的詳細信息��、攻擊影響和危害等�。正是由于DecoyMini支持威脅情報和關聯分析��,使得DecoyMini相比其他蜜罐工具產生的告警準確性更高���,告警數量更少��,可以有效的提高安全監測的能力和效率���。
同時��,工具也支持預警通知功能�����,支持通過彈窗���、郵件����、釘釘��、企業微信���、飛書等方式及時將重要的攻擊事件通知到運維管理人員�,也支持通過syslog協議將告警發送到其他產品和平臺進行集中分析和對攻擊進行聯動防御�。
我們前面講的這個案例就是配置了企業微信預警�,在發生失陷事件后第一時間進行了預警通知���。
對收集的各類數據��,可以通過DecoyMini的儀表盤功能來直觀查看各項關鍵指標情況�����,方便大家日常運維監測�。同時也可以使用風險大屏功能����,通過風險大屏能夠實時展示當前網絡的攻擊情況��,直觀掌握全網風險態勢�����。
DecoyMini不僅能夠對攻擊進行監測����,對失陷進行感知����,同時它也具備基本的攻擊溯源分析能力���。
當攻擊者用瀏覽器訪問WEB類蜜罐后����,通過我們內置在WEB蜜罐內的溯源腳本�,就能夠自動獲取到攻擊者主機的多種特征信息���,包括主機特征���、瀏覽器特征等信息����。同時DecoyMini已經與盛邦安全的網絡空間資產探測平臺聯動�,能夠自動查詢攻擊IP所在主機最近一段時間開啟的端口和服務�,也支持攻擊IP外部威脅情報平臺一鍵查詢�����;
綜合這些信息生成攻擊IP畫像����,為定位溯源攻擊者的身份提供了有益的數據參考����。
針對被攻擊IP�,可以生成被攻擊IP畫像���,能夠直觀查看到被攻擊的蜜罐����,以及攻擊來源情況��;
可以生成誘捕器攻擊畫像��,能夠直觀掌握攻擊此蜜罐的源IP以及攻擊頻率等信息���。
基于對攻擊源的分析和過濾���,DecoyMini可以生成內生情報����,支持精簡����、STIX2等格式輸出���,內生情報它是威脅情報體系重要組成部分����,是外部情報重要的情報能力補充�����,可以應用到網關等設備上對攻擊進行及時封堵�����,應用到NTM等分析平臺協助對攻擊進行發現和分析�����,可以有效提高對本地攻擊的監測�����、預警和響應能力�。
對DecoyMini使用就簡單介紹到這里�����, DecoyMini雖然是免費的蜜罐工具��,但是他的能力也是很強的�,使用后能夠帶來實實在在的價值:
首先���,支持插件化的仿真模板�����,簡單配置就可實現對各種服務應用的仿真�����,支持一鍵分享�,一鍵部署�����,這樣大家就可以快速在自己網絡里部署與環境貼合度高的蜜罐誘捕環境��;
支持分布式部署����,支持在一臺蜜罐上虛擬出多IP��,快速組建蜜罐群�,用較小的部署資源就可以實現最大化的攻擊誘捕效果���;
DecoyMini是免費蜜罐軟件�����,蜜罐本身就具有誤報低的特點��,再加上DecoyMini支持威脅情報和關聯分析�,生成的告警數量少�����、準確度高���,同時支持內生情報輸出���,可以大大降低安全運維投入���,降低成本����;
支持對接釘釘��、企業微信����、飛書或自有業務系統���,用極少的資源和人力投入���,就可以實現7x24小時不間斷遠程值守�,這樣大家即使在家里也能輕松掌握企業網絡的風險態勢����。
DecoyMini部署的時候支持多種模式��,默認的為單節點部署模式����,管理中心和誘捕探針在同一臺主機上運行����,通過虛擬IP技術將蜜罐部署到網絡可達的其他IP上運行�����;這種模式推薦小規模網絡使用�;
多節點部署時�����,在運管區部署DecoyMini管理中心�����,在各個子網部署誘捕探針���,誘捕探針將誘捕到的攻擊數據匯總到管理中心來實現統一管理����。分布式部署模式就推薦網絡規模大一點�����,有多個子網的網絡里使用���。
下面回到重點���,當DecoyMini部署好之后����,如何和NTM對接呢�,其實很簡單����,兩步就可以搞定:
第一步:在DecoyMini系統配置內生情報輸出規則�����,可以配置有效數據周期�����,IP過濾規則(支持按IP段過濾�、按地域過濾)��,情報格式注意選擇“精簡”����,開啟情報服務����,就可以獲得情報下載地址���;
第二步:在NTM系統DecoyMini情報配置標簽��,選擇“本地蜜罐”�����,填入DecoyMini生成的情報下載地址��,就完成對接����。
如果希望能夠誘捕外網攻擊����,部署在內網的蜜罐需要做下端口映射�����,將蜜罐端口映射到外網��,DecoyMini端口分三類:
管理端口:在咱們安裝時配置的端口
業務端口:默認是1226
蜜罐端口:誘捕策略里配置的端口
如果大家用的Panabit防火墻�,則可以在“應用路由”��、“端口映射”里按提示配置映射規則����,按需映射指定端口或者端口段后���,就可以將蜜罐映射到外網來誘捕外網的攻擊�。
最后�����,感謝大家支持DecoyMini��,DecoyMini作為一款免費蜜罐軟件����,提供了靈活的蜜罐自定義能力�����,具備豐富的攻擊誘捕和溯源分析功能����。再結合NTM全流量溯源分析�,將是咱們日常安全監測的能力助手�,尤其是最近馬上開始HW�,更是推薦大家部署使用����。
說太多了有打廣告的嫌疑�,咱們不看廣告看療效哈���!
這是我們DecoyMini微信交流群的二維碼�,歡迎大家掃碼加入���。在使用中���,大家有什么問題或者意見建議�,歡迎大家進微信群或在技術論壇里交流討論��。
今天我的分享就到這里��,感謝大家的耐心聆聽�����,謝謝大家����!
此次公開課的完整回放及課件下載�����,請見 https://bbs.panabit.com/forum.php?mod=viewthread&tid=23414&fromuid=264015
