HFISH部署及防护经验分享
一、背景
蜜罐是一种特殊的情报收集系统,能够在网络安全防护中起到诱捕的作用,从而是防守方掌握一定的主动权。
但对于蜜罐的选择和使用缺存在一定的难度,面临以下几个难点:
(一)当前市场上的付费蜜罐产品价格普遍较高,性价比不高;
(二)使用开源蜜罐可有效降低成本,但开源蜜罐选择范围广,不易甄别和选择;
(三)蜜罐部署和使用技术要求高,部署后很难有效发挥其价值。
**
二、解决思路**
(一)选择HFish开源蜜罐
HFish开源蜜罐是国人开发者在2019年的8月7日使用Python编写,上手简单,文档友好。2020年微步在线收购HFish,用Golang重构HFish蜜罐,使其成为一款跨平台多功能主动诱导型开源蜜罐框架系统,能够全程记录黑客攻击手段,实现防护自主化。
目前HFish蜜罐已在Github上获得2.6k个star,在Gitee上成为安全类目TOP5的GVP项目。
通过对市场上蜜罐产品与开源蜜罐在成本、交互程度、上手难度等方面的综合对比,HFish开源蜜罐应为首选。
(二)部署方式
在关键信息节点(如覆盖核心区域的C类网段、VLANs或虚拟机、专用硬件设备)部署探针节点,监测探针所部署网络中的扫描探测行为,并通过绑定蜜罐将蜜罐服务映射至所部署网络中。
(1)内部办公场景:设置为监听tcp/135、139、445和3389等常见服务。
(2)内部服务器场景:设置为模拟Web、MySQL、Redis、Elasticsearch、SSH、Telnet等服务。
(三)蜜罐使用
1.监测和分析攻击者行为,使防守方掌握一定的主动权;
2.主动诱捕攻击者,并与WAF联动进行分析研判;
3.采集攻击者信息,进行IP信息溯源和社交信息溯源
4.定位攻击者,通过反向扫描攻击IP和定向鱼叉攻击实现技术反制。
**
(四)注意事项**
1.防守方应早于演练启动前,尤其是外网蜜罐,其需提前通过互联网VPS蜜罐节点发布并向FOFA等测绘平台提交资产收录申请,让蜜罐与正常资产充分混淆。
2.外网仿真蜜罐应保证真实性和诱惑性,各资产标题需要精心定制包括中文简写、英文缩写、全称等。
3.外网蜜罐为提升真实性,应避免使用无差异的系统服务和缺陷伪装服务蜜罐,迁入业务程度需要不断在实践中提高。
4.外网蜜罐与内网蜜罐应分开部署。外网蜜罐信息多且杂。分开部署有利于及时处理内网告警信息,避免攻击者内网横移后线索丢失。
5.WAF联动时要注意性能问题和可用性问题。避免在访问量较大的系统加开端口、避免使用VPN反制蜜罐、使用WAF超时自动解封功能。
**
三、案例分析
**
(一)案例1 -- 蜜罐监测到生产网异常
6月27晚,钉钉群机器人告警存在生产网异常,从告警量猜测是一次肆无忌惮地横冲直撞。
登录蜜罐后台发现生产区域记录了大量资产探测行为。
在应急排查中,我们发现攻击源IP竟是一台硬件设备(深信服的AF防火墙),难道是0DAY吗?我们立刻加强了VLAN隔离并联系深信服驻场运维,要求尽快排查结果。
驻场运维响应很及时,发现系统在最近一次升级中,被开启了业务资产扫描策略,手动关闭该功能后问题解决。
(二)案例2 --蜜罐监测到办公网异常
7月12日上午10点,钉钉群机器人告警某办公室内网异常,随后攻击行为甚至跨网段访问到生产网蜜罐发出多条告警信息。
1.登录生产网蜜罐后台发现扫描来自办公室,猜测利用办公室电脑作跳板并使用VPN通向生产区域。
2.收到告警后立即展开排查:
3.定位到员工:
技术人员联系了该办公室的网管,网管在现场处理中发现这是一台老旧的公共电脑,当天因为工作值班需要,再次被开机,上面安装了许多恶意流氓软件,网管为其重装系统,问题解决。
考虑到社工钓鱼越来成为主流的攻击队得分手段,我们进一步加强了该办公室蜜罐的诱捕能力并设置即时机器人提醒。
**
四、小结**
通过以上分析,HFish开源蜜罐能够在专项工作及日常网络安全防护过程中有效支撑防守工作。利用这一特殊的情报收集系统,可获取内网高质量情报,掌握内网存在的安全隐患以及当前真实的网络安全状况。同时,结合完善部署方式和应用,能够将开源蜜罐的作用最大化。
实操附录:
外网蜜罐:
1.提前通过互联网VPS蜜罐节点发布并向FOFA等测绘平台提交资产收录申请,让蜜罐与正常资产充分混淆
2.各资产标题需要精心定制包括中文简写、英文缩写、全称等
3.注意避免在访问量较大的系统加开端口、避免使用VPN反制蜜罐、避免使用WAF自动联动
4.注意要提前报备外网节点资产,避免被兄弟单位误认为是三无七边资产
内网蜜罐:
1.内网蜜罐应分开部署,分开部署有利于及时处理内网告警信息,避免攻击者内网横移后线索丢失
2.业务仿真程度需要不断在实践中提高,避免使用无差异的系统服务和缺陷伪装服务蜜罐
3.内网蜜罐不必强求大一统的管控,使用钉钉WEBHooK通知技术,实现统一消息推送
