《免费蜜罐软件DecoyMini介绍》派网公开课实录

    发布时间:2022-07-02

202271日,北京吉沃科技CEO张翔受邀在派网公开课上为大家带来了免费蜜罐软件DecoyMini使用分享。DecoyMini采用轻量化威胁诱捕技术,具备智能仿真、高效诱捕、灵活扩展、部署简便、安全有效等特点,支持本地高质量内生情报输出,可以无缝应用到网关设备对攻击进行及时封堵,是企业零成本构建主动感知网络攻击的得力工具,可以有效协助企业提升网络安全监测、响应及防御能力。

北京派网软件有限公司是业内领先的高性能解决方案供应商,致力于提高网络经营中必须的应用可视性、成本调优、服务优化、行为管理和审计能力,为用户提供高效、稳定、开放的应用层网络通信平台、产品和服务。

在派网近日发布的Panabit NTM(TANGr1p1)版本中,新增支持与免费蜜罐软件DecoyMini的对接,以下为《免费蜜罐软件DecoyMini介绍》公开课实录。



线上的各位朋友,大家下午好!

我是北京吉沃科技张翔,感谢派网的大力支持,很高兴能有这次机会在派网公开课上分享我们的一款免费蜜罐工具DecoyMini

Panabit NTM,想必大家都比较熟悉了,它是一个全流量分析溯源的系统。同时呢,NTM之中也集成了威胁情报的功能,作为一个汇集多种威胁情报源的平台,NTM可以为情报的匹配提供免费载体,对匹配威胁情报的流量进行发现与溯源。

图片

在最近发布的唐r1p1的版本中,NTM新增了与DecoyMini的对接,可以接收DecoyMini输出的内生情报来提升对本地攻击的监测与预警能力。那么,DecoyMini是什么,它有哪些特点和作用呢?这就是我今天要分享的主要内容。

首先我们从一个真实案例说起。

这是几个月前发生在咱们广西某高校的一起黑客攻击事件。当天晚上10点多,大家都已经下班了,学校安全运维老师手机微信突然收到蜜罐发来的攻击预警,提示有人踩了蜜罐,左边这图片就是当时的微信预警截图。

随后运维老师登录蜜罐管理系统,在系统里发现其中某个IP对内网多个IP发起了扫描操作,并爆破SSH服务,登录执行了敏感的命令,基本判定这个IP已被攻陷。

图片

运维老师随即在中心机房机柜找到了该服务器,第一时间断网进行排查和溯源。该服务器对外开放了WEB服务,通过对Apache日志进行排查,找到了攻击者就在刚不久前上传的webshell文件,基本断定本次事件攻击者通过该服务器WEB服务的漏洞进入内网。攻击者在上传webshell后就开始扫描,直到拔网线前还有扫描任务都还未完成,通过蜜罐的溯源信息结合对日志文件的分析,基本确定了攻击来源,攻击者使用了一个香港的代理IP进行攻击,除了代理IP外还发现了一个南宁市的攻击IP地址。

该高校内部也部署了态势感知平台,但是在本次事件中并没有告警甚至任何相关的日志记录也没有。好在内网部署了DecoyMini蜜罐工具,在攻击者刚进入内网进行环境探测阶段就及时被蜜罐监测发现,并第一时间进行了预警。在运维老师的快速处置下,及时阻断了攻击的进一步扩散,避免了整个内网被沦陷而造成更大的损失。

利用DecoyMini帮助客户发现内网失陷主机和协助客户进行攻击溯源这样的案例还有很多,后面找机会再跟大家分享。

经过近些年的网络安全实践,大家逐步发现传统的网络安全防御方法在面对攻击手段的多样化、复杂化时已经力不从心,被动防御技术已无法满足当前最新的网络安全对抗态势。一些新的安全技术不断涌现,欺骗防御就是其中主要技术之一,欺骗防御我们俗称蜜罐,它是主动防御的主要方法,是实战由被动向主动转变的最有效手段,Gartner评价欺骗防御是对现有安全防护体系产生深远影响的安全技术,IDC发布的2021十大安全技术里欺骗防御也是核心之一,在近几年的攻防演习中被大家称为护网神器。

它的原理是通过构造大量虚假的网络环境、主机、服务和诱饵,引诱攻击者去访问虚假环境来及时发现攻击并对攻击者进行溯源反制,以保护客户真实资产。欺骗防御技术可有效扭转攻防不对称的态势,化被动为主动!

大家可能知道互联网上已经有不少开源的蜜罐,但是这些蜜罐绝大多数功能单一,成熟度不高,没有持续的更新维护,很难应用到实战环境中去。我们吉沃科技推出的DecoyMini是基于商业化蜜罐产品积累而推出的完全免费的蜜罐工具。从去年81日正式上线以来,目前初步统计现网部署量已达数千台。为什么大家选择使用DecoyMini,它相较其他免费蜜罐有哪些特点呢:

首先那就是智能仿真能力:蜜罐的核心能力之一就是仿真,仿真的类型越多,跟用户环境贴合度越高,蜜罐的仿真能力就越强。DecoyMini支持插件化的仿真模板,云端已经提供了常用的数十种蜜罐模板,通过一键导入云端仿真模板库就可以在本地网络快速部署多样化的安全可控的仿真服务和应用,同时也支持对自有WEB站点进行自动学习和仿真;

有了仿真环境还不够,需要引诱攻击者来攻击它。DecoyMini使用虚拟IP,可以将网络内空闲的IP资源绑定到一到多个蜜罐上,这样就可以实现一个DecoyMini软件就可以模拟众多主机,实现蜜罐群的快速部署,同时,部署的蜜罐支持动态变换网络端口,这样可以进一步增加蜜罐迷惑性,大大提高攻击诱捕的能力

不同用户、不同行业,大家使用的应用、系统、设备千差万别,如果蜜罐只能提供固定的仿真环境,那就很容易被攻击者识破,因此好的蜜罐需要具备较强的仿真自定义能力,能够按需去部署与自身环境贴合度高的蜜罐。DecoyMini系统采用可视化仿真编排引擎,通过界面配置即可实现对自定义的网络协议、服务或应用的仿真,仿真能力非常方便灵活扩展,配置好的模板也可以很方便导出迁移到其他DecoyMini节点,或通过DecoyMini论坛进行分享;

DecoyMini软件包很小,30M,支持主流操作系统(Windows 32/64,CentOS/Ubuntu/Debian/Kali 32/64,树莓派等),普通办公电脑的硬件配置就可以部署。支持单节点运行、也支持多节点集中管理;部署灵活,一键安装、使用简单

我们同步开发有商业化蜜罐产品DecoyPro,目前已经批量应用于交通、运营商、教育、能源等多个行业,我们把商业蜜罐的能力积累应用到免费蜜罐上,以企业级技术来做免费蜜罐工具,产品安全性好,成熟度高、稳定性有保障,大家可以放心使用。

DecoyMini可以应用到不同的网络环境里,下面重点介绍常用的三个场景:

第一个,那就是用于互联网攻击诱捕分析。面对互联网攻击频繁,各种高级,隐蔽的攻击层出不穷;而用传统安全设备很难有效防御,安全运维人员应付起来也是疲于奔命。

通过部署DecoyMini,利用丰富多样的仿真模板,部署一些典型的蜜罐映射到外网,提供一个常态化的外网攻击感知能力;也可以利用自定义蜜罐能力,将个性化的蜜罐映射到外网,对互联网上尝试攻击我方的攻击源进行诱捕和监测;支持与网关设备联动来及时对攻击进行处置和阻断;同时支持输出内生情报应用到像NTM这样的分析平台上,提供对本地攻击进行分析和防御的能力。

第二个场景,那就是内网横向攻击监测预警。通常内网的访问控制都不严格,攻击横向移动比较容易;而内网系统往往漏洞未能及时修补、弱口令威胁也相当严峻,极易遭受恶意的攻击;

通过部署DecoyMini,在内网部署一些常用的应用服务蜜罐,并开启网络扫描、连接监听功能,就可以提供常态化的内网威胁感知能力,可以及时发现像中了勒索、挖矿、蠕虫等病毒木马的失陷主机、潜伏到内网的攻击者,以及内部人员发起的各种攻击行为,支持内生威胁情报输出,通过与NTM全流量分析工具配合,就能够对攻击进行完整溯源分析;前面讲的这个案例就是这种场景。

第三个典型场景,针对网络攻防对抗演习监测分析,近几年攻防演习常态化进行,在攻防演习中需要有手段能够对红队的攻击进行监测,对他们的进展进行跟踪,同时对红队的攻击行为进行溯源反制;

通过部署DecoyMini,可以对红队的攻击行为进行监测、对攻击套路进行分析,用以指导蓝队制定更为有效的防御措施;同时,用蜜罐为载体构造场景可以来投递溯源、反制工具,比如可以把CS的被控端与Office文档或者可执行文件等进行捆绑,做好免杀后通过蜜罐来进行投递,引诱红队去访问来对红队主机进行控制,实现对红队的溯源,结合攻击的完整日志和攻击者画像,协助完整溯源攻击链,获得溯源得分。

DecoyMini包括诱捕探针和管理中心两大组件:

诱捕探针内部集成了一个自研的基于软件仿真技术的仿真模板引擎,它接收管理中心的诱捕策略,调度对应的仿真模板来部署蜜罐,对各种针对蜜罐的攻击行为和攻击流量进行监测和记录,对攻击者的特征信息进行提取,将采集到的这些数据统一上报到管理中心进行集中分析。

管理中心负责下发诱捕策略,同时接收诱捕探针上报的各类数据,存储到本地Sqlite数据库,并通过规则匹配、威胁情报、关联分析等分析手段识别关键攻击行为,生成风险事件。管理中心提供WEB方式的管理入口,提供仿真模板配置,诱捕策略下发,诱捕日志查询,风险事件管理等管理功能;通过从云端自动下载仿真模板和威胁情报库来持续更新本地的攻击诱捕能力。

大家可以通过github或者DecoyMini官网链接,选择自己操作系统对应的最新DecoyMini安装包下载进行安装。

DecoyMini运行对资源需求很低(典型策略配置下,CPU占用率小于2%,内存使用也就几十M)。这里是一个推荐配置清单,一般的办公计算机和虚拟机都可以安装使用。现在各大公有云厂商像阿里云、华为云、腾讯云都在搞促销活动,一百多块钱就可以购买一个3年的云主机,用这类云主机就可以很好的运行DecoyMini软件,大家感兴趣的也可以去申请下。

单节点模式安装的时候,不管是windows还是Linux用管理员权限运行软件即可开始安装,选择监听的地址和管理端口,几秒钟就安装完成。

要部署多节点集中管理模式,找一台配置稍高的主机安装DecoyMini作为管理中心,在其他节点运行软件将管理地址指向这个管理中心,那么这个节点就将以诱捕探针模式运行。

当安装好DecoyMini后,用浏览器访问安装时配置的 IP 和端口即可打开管理端登录页面,推荐注册论坛账户来进行登录,支持一个账号管理多个DecoyMini系统,同时,DecoyMini与技术论坛无缝衔接、支持论坛自动登录、一键下载仿真模板。针对不能连接互联网的环境也支持使用本地账户进行登录。

DecoyMini已经预置了部分典型的仿真模板,比如FTPSSHTelnet等,安装后可以直接使用。在云端的DecoyMini技术论坛里有一个仿真模板专栏,里面维护着更多类型、更丰富的仿真模板集合,大家可以访问这个论坛来获取更多的仿真模板。

为了方便大家使用,在DecoyMini仿真模板配置界面提供模板一键下载功能,支持一键自动下载论坛常用仿真模板集合;同时,也可以按需手动下载模板导入到系统,比如我想部署一个VPN入口站点仿真蜜罐,到论坛的仿真模板里找到对应的VPN入口站点模板,下载到本地导入,这样本地的DecoyMini就具备部署VPN入口站点仿真蜜罐的能力。

对于自定义仿真需求和私有协议仿真,可以基于现有仿真模板创建子模板去定制化,也可以通过仿真模板配置界面来自定义新的仿真模板。DecoyMini内置了一个可视化仿真编排引擎,通过界面自定义对请求数据的解析规则,提取出关键属性,基于对关键属性的匹配,来响应对应的个性化数据,进而实现对协议或服务的仿真。基于我们仿真模板配置框架,可以配置出登录账户记录、用户请求跳转等具备中、高交互能力的蜜罐。

对于自定义的仿真模板支持导出分享,可以分享到其它DecoyMini环境,实现仿真能力的快速迁移;也可以分享到DecoyMini技术论坛,将有机会获得论坛礼品或现金奖励。

这里列了2个互联网可以直接访问的仿真模板配置示例,一个是《用免费蜜罐软件快速部署业务系统蜜罐》介绍,参考他就可以将自有的业务系统快速制作成为蜜罐进行部署;另一个是用DecoyMini来配置Modbus工控蜜罐的方法介绍,参考他就可以来配置对私有协议仿真的蜜罐,会后我会把今天讲的材料发给大家,大家下来可以访问上面的链接查阅详情。

下载好需要使用的仿真模板后,就可以开始部署蜜罐了,可以直接选择策略模板里预置的蜜罐策略,目前有“内网横向渗透监测”、“互联网攻击诱捕”等模板,点击“应用”就可以快速部署好蜜罐。

同时,也可以增加新的蜜罐,选择蜜罐使用的仿真模板,配置蜜罐运行的IP,端口,协议等环境参数。DecoyMini支持虚拟IP,在增加新蜜罐时,蜜罐的外部访问IP支持填写网络可达范围内的空闲IP,来将蜜罐直接部署在这个空闲IP上,比如咱们的网络里192.168.1.8这个IP目前没使用,用这个IP部署SSH蜜罐,部署好后,攻击者通过网络扫描时就会扫描出192.168.1.8这个主机,扫描这个主机开放的端口就能看到SSH22端口,通过这个22端口就能够连接到SSH蜜罐。通过虚拟IP技术可以实现一个DecoyMini节点虚拟多IP来模拟多台主机,快速组建蜜罐群,有效提高蜜罐的覆盖率,用较小的部署资源实现最大化的攻击诱捕效果。

同时,DecoyMini支持对PINGTCP扫描等行为进行监测,提供对TCP指定端口范围的网络连接进行监测,支持记录连接行为、攻击首包和攻击载荷,大家可以在节点的“参数配置”里进行配置。

至于部署时如何选择蜜罐类型,这里有一个基本的建议:最简单的话部署一些典型的服务蜜罐(比如SSHFTPTelnetSMBMySQL等)再开启扫描监测即可实现对内网失陷主机的监测和感知,因为失陷主机通常也是通过扫描这些典型的服务来尝试横向移动。

进一步的,可以将自己的一些业务系统站点做成仿真模板,作为蜜罐部署出来,比如办公系统、ERP平台、业务平台等,应用到互联网攻击诱捕、HW等攻防演习实战场景下诱捕效果更佳!

在部署好蜜罐后,如果有攻击者对他进行访问或攻击,蜜罐都能把攻击者的攻击行为详细记录下来,包括攻击者源IP、攻击的蜜罐、使用的账户、攻击描述、攻击结果、影响程度、攻击时间等信息,同时支持对攻击者发起攻击对应的攻击首包以及攻击载荷进行记录,这些数据对分析攻击者使用的工具和攻击手法将有很大的帮助。

对攻击者通过FTPSFTP等方式上传的可疑文件,DecoyMini支持记录上传,通过界面可以直接下载下来进行分析;同时,支持以“时间线”方式来展示攻击者攻击的详细过程。

DecoyMini也内置了威胁检测分析能力,包括威胁情报、黑白名单和关联分析等手段,吉沃科技是“网络安全威胁情报生态联盟”的会员,派网也是联盟会员,威胁情报库的部分数据就来源于情报生态联盟,同时部分开源情报和我们蜜罐诱捕到的攻击情报也会加入情报库中,DecoyMini开启了自动升级的,会定期自动和云端威胁情报平台同步,及时更新最新的情报数据到本地,利用威胁情报能够快速识别、标记各类已知的攻击行为。

同时DecoyMini也支持自定义黑白名单,针对一些授权的扫描或渗透测试行为,支持一键白名单来自动忽略对应的告警。

基于对攻击日志的特征匹配、威胁情报检测,再使用内置关联分析规则对蜜罐产生的诱捕日志进行多维度关联分析、去重合并,最终提炼出关键攻击行为生成风险事件,通过风险事件能够了解到攻击的详细信息、攻击影响和危害等。正是由于DecoyMini支持威胁情报和关联分析,使得DecoyMini相比其他蜜罐工具产生的告警准确性更高,告警数量更少,可以有效的提高安全监测的能力和效率。

同时,工具也支持预警通知功能,支持通过弹窗、邮件、钉钉、企业微信、飞书等方式及时将重要的攻击事件通知到运维管理人员,也支持通过syslog协议将告警发送到其他产品和平台进行集中分析和对攻击进行联动防御。

我们前面讲的这个案例就是配置了企业微信预警,在发生失陷事件后第一时间进行了预警通知。

对收集的各类数据,可以通过DecoyMini的仪表盘功能来直观查看各项关键指标情况,方便大家日常运维监测。同时也可以使用风险大屏功能,通过风险大屏能够实时展示当前网络的攻击情况,直观掌握全网风险态势。

DecoyMini不仅能够对攻击进行监测,对失陷进行感知,同时它也具备基本的攻击溯源分析能力。

当攻击者用浏览器访问WEB类蜜罐后,通过我们内置在WEB蜜罐内的溯源脚本,就能够自动获取到攻击者主机的多种特征信息,包括主机特征、浏览器特征等信息。同时DecoyMini已经与盛邦安全的网络空间资产探测平台联动,能够自动查询攻击IP所在主机最近一段时间开启的端口和服务,也支持攻击IP外部威胁情报平台一键查询;

综合这些信息生成攻击IP画像,为定位溯源攻击者的身份提供了有益的数据参考。

针对被攻击IP,可以生成被攻击IP画像,能够直观查看到被攻击的蜜罐,以及攻击来源情况;

可以生成诱捕器攻击画像,能够直观掌握攻击此蜜罐的源IP以及攻击频率等信息。

基于对攻击源的分析和过滤,DecoyMini可以生成内生情报,支持精简、STIX2等格式输出,内生情报它是威胁情报体系重要组成部分,是外部情报重要的情报能力补充,可以应用到网关等设备上对攻击进行及时封堵,应用到NTM等分析平台协助对攻击进行发现和分析,可以有效提高对本地攻击的监测、预警和响应能力。

DecoyMini使用就简单介绍到这里, DecoyMini虽然是免费的蜜罐工具,但是他的能力也是很强的,使用后能够带来实实在在的价值:

首先,支持插件化的仿真模板,简单配置就可实现对各种服务应用的仿真,支持一键分享,一键部署,这样大家就可以快速在自己网络里部署与环境贴合度高的蜜罐诱捕环境;

支持分布式部署,支持在一台蜜罐上虚拟出多IP,快速组建蜜罐群,用较小的部署资源就可以实现最大化的攻击诱捕效果;

DecoyMini是免费蜜罐软件,蜜罐本身就具有误报低的特点,再加上DecoyMini支持威胁情报和关联分析,生成的告警数量少、准确度高,同时支持内生情报输出,可以大大降低安全运维投入,降低成本;

支持对接钉钉、企业微信、飞书或自有业务系统,用极少的资源和人力投入,就可以实现7x24小时不间断远程值守,这样大家即使在家里也能轻松掌握企业网络的风险态势。

DecoyMini部署的时候支持多种模式,默认的为单节点部署模式,管理中心和诱捕探针在同一台主机上运行,通过虚拟IP技术将蜜罐部署到网络可达的其他IP上运行;这种模式推荐小规模网络使用;

多节点部署时,在运管区部署DecoyMini管理中心,在各个子网部署诱捕探针,诱捕探针将诱捕到的攻击数据汇总到管理中心来实现统一管理。分布式部署模式就推荐网络规模大一点,有多个子网的网络里使用。

下面回到重点,当DecoyMini部署好之后,如何和NTM对接呢,其实很简单,两步就可以搞定:

第一步:在DecoyMini系统配置内生情报输出规则,可以配置有效数据周期,IP过滤规则(支持按IP段过滤、按地域过滤),情报格式注意选择精简,开启情报服务,就可以获得情报下载地址;

第二步:在NTM系统DecoyMini情报配置标签,选择本地蜜罐,填入DecoyMini生成的情报下载地址,就完成对接。

如果希望能够诱捕外网攻击,部署在内网的蜜罐需要做下端口映射,将蜜罐端口映射到外网,DecoyMini端口分三类:

管理端口:在咱们安装时配置的端口

业务端口:默认是1226

蜜罐端口:诱捕策略里配置的端口

如果大家用的Panabit防火墙,则可以在“应用路由”、“端口映射”里按提示配置映射规则,按需映射指定端口或者端口段后,就可以将蜜罐映射到外网来诱捕外网的攻击。

最后,感谢大家支持DecoyMiniDecoyMini作为一款免费蜜罐软件,提供了灵活的蜜罐自定义能力,具备丰富的攻击诱捕和溯源分析功能。再结合NTM全流量溯源分析,将是咱们日常安全监测的能力助手,尤其是最近马上开始HW,更是推荐大家部署使用。

说太多了有打广告的嫌疑,咱们不看广告看疗效哈!

这是我们DecoyMini微信交流群的二维码,欢迎大家扫码加入。在使用中,大家有什么问题或者意见建议,欢迎大家进微信群或在技术论坛里交流讨论。

今天我的分享就到这里,感谢大家的耐心聆听,谢谢大家!


此次公开课的完整回放及课件下载,请见 https://bbs.panabit.com/forum.php?mod=viewthread&tid=23414&fromuid=264015