近幾年，攻防演練在各行業(yè)里常態(tài)化開(kāi)展，對(duì)于防守方如何能夠在攻防演練中取得好的成績(jī)，蜜罐類(lèi)產(chǎn)品的使用必不可少。

本文結(jié)合實(shí)際使用經(jīng)驗(yàn)分享DecoyMini（吉星?智能仿真與誘捕防御系統(tǒng)，以下簡(jiǎn)稱(chēng)吉星）在攻防演練場(chǎng)景下的使用方法和技巧。吉星采用輕量化仿真誘捕技術(shù)，具備豐富的攻擊誘捕和溯源分析能力；支持插件化的仿真模板，提供靈活的蜜罐自定義能力，具備多樣化的攻擊誘捕、分析和處置手段，支持本地高質(zhì)量?jī)?nèi)生情報(bào)輸出。

在攻防演練中，攻擊方的攻擊方法也是有套路可循的，通常來(lái)說(shuō)分為三個(gè)階段：分別是信息收集、攻擊嘗試，單點(diǎn)突破。

在信息收集階段，攻擊方會(huì)廣泛收集攻擊目標(biāo)的各種信息；進(jìn)入正式攻防演練后，攻擊方將會(huì)利用前期偵查到的信息，對(duì)收集到的系統(tǒng)進(jìn)行攻擊嘗試；當(dāng)發(fā)現(xiàn)感興趣的或可利用的目標(biāo)系統(tǒng)時(shí)，就會(huì)利用工具等進(jìn)行單點(diǎn)突破攻擊，嘗試獲取系統(tǒng)權(quán)限。

結(jié)合蜜罐的實(shí)戰(zhàn)應(yīng)用經(jīng)驗(yàn)，針對(duì)以上攻擊方各個(gè)攻擊階段，可以采取如下針對(duì)性的防守策略：

• 針對(duì)信息收集階段：提前部署好蜜罐，將蜜罐映射到外網(wǎng)，暴露給攻擊方；

• 針對(duì)攻擊嘗試階段：通過(guò)攻擊監(jiān)測(cè)第一時(shí)間發(fā)現(xiàn)攻擊方對(duì)蜜罐的攻擊行為，防守方可提前采取措施，對(duì)攻擊方進(jìn)行有效防御和牽制，贏得寶貴的防御時(shí)間；

• 針對(duì)單點(diǎn)突破階段：可以利用蜜罐溯源能力進(jìn)行攻擊溯源，或者利用蜜罐投遞定制的溯源反制載荷，引誘攻擊者去訪問(wèn)，來(lái)對(duì)攻擊主機(jī)進(jìn)行控制，實(shí)現(xiàn)對(duì)攻擊方的溯源反制，獲得溯源得分。

1.信息收集階段

在信息收集階段，需要提前部署好蜜罐，將蜜罐映射到外網(wǎng)。為了能更有效迷惑攻擊方，可以利用吉星的業(yè)務(wù)服務(wù)仿真、主機(jī)仿真、漏洞仿真等功能將日常使用的業(yè)務(wù)系統(tǒng)和環(huán)境制作成蜜罐來(lái)進(jìn)行部署。

1.1.業(yè)務(wù)服務(wù)仿真

吉星已經(jīng)內(nèi)置了常用的服務(wù)、中間件以及典型的安全設(shè)備仿真模板，在能夠連接互聯(lián)網(wǎng)的環(huán)境，使用論壇賬戶(hù)登錄后，點(diǎn)擊"下載全部"按鈕，就可以一鍵自動(dòng)下載技術(shù)論壇里常用仿真模板集合。

內(nèi)置的仿真模板下載后就可以直接部署。對(duì)于自有的業(yè)務(wù)系統(tǒng)，吉星提供了智能WEB仿真功能，配置要仿真的業(yè)務(wù)系統(tǒng)地址，系統(tǒng)可以自動(dòng)爬取業(yè)務(wù)系統(tǒng)的頁(yè)面數(shù)據(jù)來(lái)生成業(yè)務(wù)系統(tǒng)的仿真模板。

對(duì)于私有協(xié)議和其他自定義仿真需求，吉星提供了一個(gè)可以靈活自定義仿真內(nèi)容的可視化仿真編排引擎，通過(guò)界面自定義攻擊請(qǐng)求的解析方法和動(dòng)態(tài)響應(yīng)數(shù)據(jù)，可以靈活擴(kuò)展仿真內(nèi)容，實(shí)現(xiàn)對(duì)新的網(wǎng)絡(luò)協(xié)議或服務(wù)進(jìn)行仿真。詳細(xì)配置方法請(qǐng)查看吉星幫助文檔。

當(dāng)準(zhǔn)備好仿真模板后，就可以部署蜜罐了，進(jìn)入“誘捕”-> “誘捕策略”界面，選擇需要使用的仿真模板，配置蜜罐訪問(wèn)參數(shù)，就可以快速部署蜜罐實(shí)例。吉星支持在多網(wǎng)口同時(shí)部署蜜罐，通過(guò)配置探針節(jié)點(diǎn)的誘捕網(wǎng)口，可以將蜜罐部署到不同的網(wǎng)絡(luò)接口上。

1.2.主機(jī)仿真

通常仿真操作系統(tǒng)、主機(jī)終端需要使用基于虛擬機(jī)或容器的高交互蜜罐來(lái)實(shí)現(xiàn)，一般在商用蜜罐產(chǎn)品里才支持。吉星作為免費(fèi)蜜罐軟件也提供了智能仿真主機(jī)的功能，在不使用虛擬機(jī)、僅需要極小資源的情況下支持對(duì)主機(jī)終端提供中高交互的仿真能力。其原理是通過(guò)SSH等協(xié)議連接目標(biāo)主機(jī)自動(dòng)獲取該主機(jī)的各種信息和常見(jiàn)命令執(zhí)行結(jié)果，從而快速構(gòu)建出一個(gè)克隆的高仿真的主機(jī)終端環(huán)境。利用此功能，可以將自有的業(yè)務(wù)系統(tǒng)主機(jī)制作成蜜罐部署出來(lái)，這樣在攻防演練實(shí)戰(zhàn)場(chǎng)景下對(duì)攻擊的誘捕效果更佳。

在“增加仿真主機(jī)”界面，配置待仿真的主機(jī)信息，包括目標(biāo)主機(jī)連接信息、仿真文件目錄范圍、仿真命令列表等，點(diǎn)擊“增加”按鈕后開(kāi)始自動(dòng)獲取仿真主機(jī)的數(shù)據(jù)，待獲取完成后，就可以生成對(duì)應(yīng)主機(jī)的仿真模板。

主機(jī)仿真模板生成好后，就可以在“誘捕”-> “誘捕策略”里進(jìn)行部署。

部署后通過(guò)SSH等方式連接蜜罐，終端的輸入輸出可以達(dá)到以假亂真的效果。

1.3.漏洞仿真

吉星還有一個(gè)很有特色的功能，就是支持漏洞仿真。Nuclei（https://github.com/projectdiscovery/nuclei）是一個(gè)開(kāi)源的漏洞掃描工具，里面包含了豐富的漏洞檢測(cè)模板，吉星支持直接利用Nuclei漏洞檢測(cè)模板實(shí)現(xiàn)對(duì)該漏洞進(jìn)行仿真的功能，同時(shí)也提供擴(kuò)展語(yǔ)法支持更靈活的自定義漏洞仿真能力。

吉星已經(jīng)內(nèi)置了大量的漏洞仿真模板，對(duì)于新的漏洞仿真需求，可以在“漏洞仿真模板”管理界面點(diǎn)擊"增加"按鈕，輸入Nuclei漏洞檢測(cè)規(guī)則及相關(guān)屬性后進(jìn)行增加。

吉星在標(biāo)準(zhǔn)Nuclei漏洞檢測(cè)模板語(yǔ)法基礎(chǔ)上，支持?jǐn)U展語(yǔ)法，可以提供更靈活的漏洞自定義仿真能力。具體配置方法，可以查看吉星幫助文檔。

增加好漏洞仿真模板后，在部署WEB類(lèi)蜜罐時(shí)，就可以配置該WEB蜜罐同時(shí)仿真的漏洞列表。

部署后，使用Nuclei等漏洞掃描工具對(duì)蜜罐進(jìn)行掃描，就可以?huà)呙璧脚渲玫姆抡媛┒戳斜怼?/span>

2.攻擊嘗試階段

在完成蜜罐部署，進(jìn)入正式攻防演練后，可以按需配置針對(duì)性的攻擊誘捕和檢測(cè)規(guī)則，提供對(duì)攻擊方的各種攻擊嘗試行為進(jìn)行監(jiān)測(cè)和分析。

2.1.攻擊誘捕

部署好蜜罐后，在“誘捕策略”->“參數(shù)配置”標(biāo)簽頁(yè)可以配置更多攻擊誘捕參數(shù)。

誘捕參數(shù)主要包括針對(duì)PING監(jiān)測(cè)、TCP掃描監(jiān)測(cè)、TCP嘗試連接監(jiān)測(cè)、TCP連接監(jiān)測(cè)、網(wǎng)絡(luò)攻擊監(jiān)測(cè)等，根據(jù)監(jiān)測(cè)需求可以按需啟用這些誘捕功能。

對(duì)于攻擊方的攻擊行為，吉星基于攻擊特征匹配（使用Snort規(guī)則語(yǔ)法定義）提供對(duì)攻擊手法進(jìn)行檢測(cè)的能力，系統(tǒng)已經(jīng)內(nèi)置了典型的攻擊特征規(guī)則，可以參考Snort規(guī)則語(yǔ)法自定義新的規(guī)則，當(dāng)攻擊流量匹配到攻擊特征規(guī)則后，將生成誘捕日志和風(fēng)險(xiǎn)事件。

吉星還支持威脅情報(bào)檢測(cè)功能，通過(guò)定期和云端威脅情報(bào)平臺(tái)同步，及時(shí)更新最新的情報(bào)數(shù)據(jù)到本地。從實(shí)際使用情況看吉星對(duì)互聯(lián)網(wǎng)掃描器的掃描行為識(shí)別比較準(zhǔn)確，同時(shí)也支持對(duì)惡意IP和惡意文件的識(shí)別。

2.2.監(jiān)測(cè)分析

在完成蜜罐部署和誘捕策略配置后，日常的主要工作就是對(duì)攻擊進(jìn)行監(jiān)測(cè)了。在系統(tǒng)“攻擊”->“風(fēng)險(xiǎn)事件”界面，提供了對(duì)風(fēng)險(xiǎn)事件進(jìn)行集中監(jiān)控和綜合管理的功能。

風(fēng)險(xiǎn)事件為攻擊日志經(jīng)過(guò)歸并、去重后的攻擊記錄，按時(shí)間由近到遠(yuǎn)進(jìn)行排序，支持按不同類(lèi)別進(jìn)行分類(lèi)展示，點(diǎn)擊對(duì)應(yīng)的標(biāo)簽頁(yè)便可以展示對(duì)應(yīng)分類(lèi)的風(fēng)險(xiǎn)事件。系統(tǒng)默認(rèn)類(lèi)別包括：

• 風(fēng)險(xiǎn)事件：展示攻擊者執(zhí)行的攻擊事件；

• 掃描器事件：展示由掃描器、掃描工具等產(chǎn)生的掃描事件；

• 自定義查詢(xún)：展示所有事件，可以自定義查詢(xún)所關(guān)注的事件；

點(diǎn)擊事件列表或事件詳情中的“攻擊IP”，可以展示對(duì)應(yīng)攻擊IP的攻擊者畫(huà)像信息，通過(guò)畫(huà)像，可以查看到攻擊者的基本信息、攻擊主機(jī)特征、瀏覽器特征、賬戶(hù)信息、主機(jī)曾使用的服務(wù)、攻擊過(guò)的蜜罐列表等。

點(diǎn)擊事件列表或事件詳情中的“被攻擊IP”，可以查看該IP畫(huà)像信息，主要包括在該IP上部署的蜜罐被攻擊情況，以及攻擊的主要來(lái)源，圓點(diǎn)越大代表攻擊/被攻擊的次數(shù)越多。

在事件詳情中，點(diǎn)擊攻擊IP后的更多按鈕，支持一鍵跳轉(zhuǎn)第三方威脅情報(bào)平臺(tái)功能，系統(tǒng)已經(jīng)預(yù)置了奇安信威脅情報(bào)中心、守望者威脅情報(bào)平臺(tái)查詢(xún)接口，點(diǎn)擊后可以直接跳轉(zhuǎn)到對(duì)應(yīng)威脅情報(bào)平臺(tái)查詢(xún)?cè)揑P更多威脅信息。

如果需要查詢(xún)其他第三方威脅情報(bào)平臺(tái)，吉星也提供了擴(kuò)展支持能力，在“系統(tǒng)”/ “參數(shù)配置”/“情報(bào)查詢(xún)”里可以按需增加。

3.單點(diǎn)突破階段

在攻擊方發(fā)現(xiàn)感興趣的目標(biāo)系統(tǒng)后，就會(huì)對(duì)系統(tǒng)展開(kāi)攻擊，嘗試獲取系統(tǒng)權(quán)限。在此階段，通過(guò)吉星可以實(shí)現(xiàn)基礎(chǔ)的攻擊溯源能力和聯(lián)動(dòng)處置能力。

3.1.攻擊溯源

吉星內(nèi)置了基礎(chǔ)的攻擊溯源能力，支持通過(guò)webjs來(lái)自動(dòng)獲取攻擊者主機(jī)、瀏覽器等特征信息。在“溯源信息”管理界面，可以查看到系統(tǒng)已經(jīng)抓取到的攻擊者信息列表。

雙擊列表項(xiàng)或點(diǎn)擊“分析”按鈕，可以查看攻擊者畫(huà)像信息，主要包括基本信息、瀏覽器特征、賬號(hào)信息和主機(jī)特征等信息。

吉星預(yù)留了WEB溯源擴(kuò)展接口，利用接口可以將其他方式采集到的設(shè)備指紋、社交賬號(hào)等溯源信息進(jìn)行統(tǒng)一上報(bào)管理。在需要增加自定義溯源功能的WEB蜜罐頁(yè)面里，加入如下腳本：

更詳細(xì)的操作介紹，請(qǐng)參考吉星幫助手冊(cè)。

除開(kāi)WEB溯源外，也可以利用FTP、WEB等蜜罐來(lái)投遞定制的溯源反制蜜餌文件，當(dāng)攻擊者訪問(wèn)蜜罐里的蜜餌文件后，攻擊主機(jī)將會(huì)被防守方控制，實(shí)現(xiàn)對(duì)攻擊方的溯源反制。

3.2.聯(lián)動(dòng)處置

在攻防演練中，對(duì)攻擊事件的實(shí)時(shí)通知和處置也是至關(guān)重要。吉星支持多種聯(lián)動(dòng)處置方式，當(dāng)產(chǎn)生了指定的風(fēng)險(xiǎn)事件或誘捕日志后，支持通過(guò)郵件、彈窗、企業(yè)微信，釘釘、飛信等方式及時(shí)發(fā)送告警通知監(jiān)控人員，通過(guò)Syslog將告警發(fā)送到目標(biāo)設(shè)備或系統(tǒng)進(jìn)行聯(lián)動(dòng)處置。

內(nèi)生情報(bào)是威脅情報(bào)體系重要組成部分，利用內(nèi)生情報(bào)可以有效提高對(duì)本地攻擊的監(jiān)測(cè)、預(yù)警和響應(yīng)能力。吉星支持輸出列表格式和STIX2標(biāo)準(zhǔn)格式內(nèi)生情報(bào)，可以應(yīng)用到網(wǎng)關(guān)等設(shè)備上對(duì)攻擊進(jìn)行及時(shí)封堵，應(yīng)用到分析平臺(tái)上協(xié)助對(duì)攻擊進(jìn)行發(fā)現(xiàn)和分析。

4.總結(jié)

吉星作為一款免費(fèi)的蜜罐軟件，具備功能完備、高可擴(kuò)展的攻擊仿真誘捕能力，采用軟件模擬的輕量化仿真誘捕技術(shù)，避免了傳統(tǒng)蜜罐可能會(huì)被逃逸成為攻擊跳板的風(fēng)險(xiǎn)，是一款安全穩(wěn)定、可以媲美商業(yè)蜜罐產(chǎn)品的免費(fèi)蜜罐軟件，是企業(yè)零成本構(gòu)建主動(dòng)防御能力的得力工具，可以放心的在各種攻防演練場(chǎng)景中使用，有效提升對(duì)攻擊的感知監(jiān)測(cè)和處置響應(yīng)能力。對(duì)于有攻防演練監(jiān)測(cè)需求的用戶(hù)，不妨一試。

下載地址：

• Github：https://github.com/decoymini/DecoyMini

• 備用鏈接：https://decoymini.decoyit.com/

幫助文檔：http://help.decoymini.com/