【网络安全】蜜罐部署实战&DecoyMini攻击诱捕

蜜罐部署实战&DecoyMini攻击诱捕

  • 前言
  • 一、蜜罐
    • 1. 概念
    • 2. 蜜罐溯源常见方式
    • 3. 蜜罐分类
  • 二、蜜罐项目实战
    • 1. 配置DecoyMini
      • 1.1 命令行窗口运行
      • 1.2 修改配置信息
    • 2. 登录DecoyMini
    • 3. 克隆网站
      • 3.1 增加仿真网站
      • 3.2 增加诱捕器
      • 3.3 查看端口监听
      • 3.4 克隆成功(蜜罐)
      • 3.5 蜜罐诱捕
    • 4. 蜜罐流量分析
      • 4.1 弱口令攻击网站
        • 4.1.1 生成诱捕策略
        • 4.1.2 开启BurpSuite拦截
        • 4.1.3 Intruder开始攻击
        • 4.1.4 开始攻击
        • 4.1.5 查看诱捕日志
      • 4.2 SQL注入攻击网站
        • 4.2.1 sqlmap安装配置
          • (1)官网下载
          • (2)安装sqlmap
        • 4.2.2 抓取BurpSuite数据包
        • 4.2.3 sqlmap攻击
        • 4.2.4 查看诱捕日志
  • 三、DecoyMini介绍
    • 1. 背景
    • 2. 应用场景
      • 2.1 互联网攻击诱捕分析
      • 2.2 内网横向攻击监测预警
      • 2.3 网络攻防对抗演习监测
    • 3. 主要功能
      • 3.1 监控
        • (1)风险态势
        • (2)仪表盘
      • 3.2 攻击
        • (1)风险事件
        • (2)诱捕日志
      • 3.3 诱捕
        • (1)诱捕策略
        • (2)安全规则
        • (3)攻击特征
      • 3.4 仿真
        • (1)仿真模板
        • (2)增加仿真网站
        • (3)增加仿真主机
      • 3.5 处置
        • (1)预警通知
        • (2)内生情报
      • 3.6 节点
        • (1)节点管理
        • (2)节点分组


前言

文章到底在讲什么?
省流:实战演示,教你如何伪造一个钓鱼网站,获取对方信息

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第1张图片

一、蜜罐

1. 概念

蜜罐这个词,最早是被猎人使用的。猎人把罐子装上 蜂蜜,然后放个陷阱,专门用来捕捉喜欢甜食的熊

后来在网络安全领域里, 人们就把欺骗攻击者的诱饵称为“蜜罐”。

即模拟各种常见的应用服务,诱导攻击者攻击

从而记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第2张图片

2. 蜜罐溯源常见方式

常见两种方式:

1、网站上插入特定的js文件(大多数)

2、网站上显示需要下载某插件

3. 蜜罐分类

1、低交互蜜罐

2、中交互蜜罐

3、高交互蜜罐

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第3张图片

二、蜜罐项目实战

以下操作均在虚拟机

1. 配置DecoyMini

DecoyMini是一款智能仿真与攻击诱捕工具

链接: DecoyMini百度网盘链接
提取码:2ddy

1.1 命令行窗口运行

进入文件根目录,输入

DecoyMini_Windows_v2.0.6691.exe

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第4张图片

默认地址0000

1.2 修改配置信息

首先,我们要选择http,输入

h

回车

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第5张图片

接下来设置端口为

7890

设置成功

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第6张图片

查看端口,输入

netstat -ano | findstr "7890"

端口7890已经处于监听状态

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第7张图片

2. 登录DecoyMini

浏览器中打开

127.0.0.1:7890

输入默认账号密码

admin
Admin@123

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第8张图片

登录成功

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第9张图片

首先要仿真,模拟甲方的内网系统

3. 克隆网站

比如说我们找到一个这样的网站

它的网址

14.29.190.82:9005

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第10张图片
我们想要克隆一个和它一模一样的网站(蜜罐)出来

首先需要用DecoyMini先仿造一个系统

3.1 增加仿真网站

我们进入刚刚配置好的系统,点击仿真,增加仿真网站

输入模板ID和模板名称,在网站地址中,我们将刚刚找到的网站地址粘贴过去

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第11张图片

网站更新时间一般设置为7天

点击增加,出现了刚刚部署的九芒星仿真网站

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第12张图片

3.2 增加诱捕器

然后开始诱捕,打开诱捕-诱捕策略-增加诱捕器

模板使用刚刚的九芒星网站

外部访问IP设置为虚拟机的ip

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第13张图片

协议设置为http,端口设置为8081

点击确定

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第14张图片

启用成功后,选择应用

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第15张图片

等待一会,蜜罐会自动利用爬虫爬取原网站的样式

复刻一个一模一样的网站

3.3 查看端口监听

查看8081端口启用情况

netstat -ano | findstr "8081"

处于监听状态

在这里插入图片描述

因为DecoyMIni部署在虚拟机上,我们就假设物理机是攻击者,开始渗透刚刚制作好的蜜罐

在物理机中,对于两个一模一样的网站,很难分辨真假。

假设某环保局的审批业务在C段,那我们把蜜罐放到相应的C段,很容易迷惑对方,进行误操作。

3.4 克隆成功(蜜罐)

我们在物理机上的浏览器打开该网址,用的就是刚刚配置的8081端口

192.168.149.129:8081

克隆成功

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第16张图片

会发现和刚刚的网址不一样

3.5 蜜罐诱捕

假设有人无意中打开该虚假网址,并且输入账号密码提交后

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第17张图片

那么就会在蜜罐后台的诱捕日志中看到诱捕的信息

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第18张图片

可以看到攻击者(受害者)的用户信息

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第19张图片
以及被攻击者(蜜罐)的信息

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第20张图片

以及诱捕日志详情

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第21张图片
以上操作,只是用户无意中尝试登录,并无恶意,那接下来我们就用弱口令和SQL注入的方式来演示,黑客在攻击该蜜罐的时候,会发生什么事

4. 蜜罐流量分析

4.1 弱口令攻击网站

4.1.1 生成诱捕策略

我们先利用它自带的模板生成一个策略

外部访问IP同样是虚拟机IP地址

协议http,端口我们用8082

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第22张图片

现在后台就多了一个业务,名字为九芒星管理后台

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第23张图片

打开burpsuite,用内置浏览器打开该网址

http://192.168.149.129:8082/#/

这就是模板中自带的管理系统,我们拿它为例来测试黑客攻击

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第24张图片

4.1.2 开启BurpSuite拦截

先输入账号密码,然后开启BurpSuite拦截

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第25张图片

点击登录后,BurpSuite会拦截到刚刚输入的用户名和密码

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第26张图片

4.1.3 Intruder开始攻击

利用Intruder模块对密码进行获取

![在这里插入图片描述

4.1.4 开始攻击

在payloads设置中加载一个密码字典,开始攻击

密码字典的话网上任意找一个即可,由于该网站是蜜罐,不存在拿到一个虚假网站的密码一说,故只是辅助参考

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第27张图片

攻击中

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第28张图片

4.1.5 查看诱捕日志

然后在DecoyMini的诱捕日志中会看到刚刚的攻击记录

短短几秒钟发起了几百条攻击

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第29张图片

点击最右侧,可以看到日志详情

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第30张图片

同样可以看到攻击者画像

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第31张图片

攻击者特征

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第32张图片
以及风险日志

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第33张图片
还可以将攻击者IP加入黑名单或白名单中

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第34张图片

4.2 SQL注入攻击网站

4.2.1 sqlmap安装配置

(1)官网下载

打开官网

http://sqlmap.org/

点击右侧图标下载压缩包

把压缩包解压,重命名,放在安装的Python根目录下:

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第35张图片

(2)安装sqlmap

打开sqlmap文件夹,地址栏输入cmd命令行进入sqlmap

sqlmap.py -h

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第36张图片

出现帮助信息则安装成功

4.2.2 抓取BurpSuite数据包

同样先在克隆的系统(蜜罐)中输入账号密码,然后开启拦截,点击提交后,将生成的数据包复制

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第37张图片

然后在sqlmap根目录下新建test.txt文件,把密码11111换成*

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第38张图片

4.2.3 sqlmap攻击

在根目录下,cmd打开窗口输入

python .\sqlmap.py -r .\test.txt

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第39张图片

此时已经开始攻击

4.2.4 查看诱捕日志

我们在诱捕日志中可以看到攻击信息

出现了数十条攻击信息

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第40张图片

可以看到攻击者画像,首次攻击时间、最近攻击时间、浏览器指纹以及攻击的目标都显示在上面

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第41张图片

三、DecoyMini介绍

它的全称是智能仿真与攻击诱捕工具

1. 背景

它是市场上诸多蜜罐安全产品的一种,蜜罐产品还有很多,比如
默安的幻盾、幻阵;360的蜃景;腾讯的御阵等等

由于蜜罐也是欺骗防御的一种,传统的安全防御思路,是防守者需要充分全面的对网络和系统的安全漏洞和风险进行分析、评估和整改来确保整个网络安全,但网络攻击面太多,导致很难发现所有的风险,故欺骗防御技术应运而生。

攻击者很容易触碰到安全人员设下的诱捕陷阱而导致暴露攻击行为,通过蜜罐等欺骗技术可以有效改变攻防不对称,变被动为主动,是对传统防御的有力增强。

2. 应用场景

DecoyMini 可以部署到不同的网络环境里,提供多样化的攻击诱捕能力。

典型的应用场景介绍如下:

2.1 互联网攻击诱捕分析

面对互联网攻击频繁,各种高级、隐蔽的攻击层出不穷;而用传统安全设备很难有效防御,安全运维人员应付起来也是疲于奔命。

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第42张图片

通过部署 DecoyMini,利用丰富多样的仿真模板,部署典型的蜜罐映射到外网,提供常态化的外网攻击感知能力;也可以利用自定义蜜罐能力,将个性化的蜜罐映射到外网,对互联网上尝试攻击我方的攻击源进行诱捕和监测;支持与网关设备联动来及时对外部攻击进行处置和阻断,提升对外部攻击的处置和响应能力。

2.2 内网横向攻击监测预警

通常内网的访问控制都不严格,攻击横向移动比较容易;而内网系统往往漏洞未能及时修补、弱口令威胁也相当严峻,极易遭受恶意的攻击。

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第43张图片

通过部署 DecoyMini,在内网部署一些常用的应用、服务蜜罐,并开启网络扫描、连接监听等功能,就可以提供常态化的内网横向攻击监测感知能力,可以及时发现感染勒索、挖矿、蠕虫等病毒木马的失陷主机,潜伏到内网的攻击者,以及内部人员发起的各种攻击行为。

2.3 网络攻防对抗演习监测

近几年来攻防演习常态化进行,在攻防演习中需要有手段能够对红队的攻击进行监测、对攻击的进展进行跟踪,同时对攻击行为进行溯源反制。

通过部署 DecoyMini,可以对红队的攻击行为进行监测,支撑对攻击套路进行分析,用以指导蓝队制定更为有效的防御措施;同时,用蜜罐为载体构造场景可以来投递溯源、反制工具,实现对红队的溯源。结合攻击的完整日志和攻击者画像,协助完整溯源攻击链,获得溯源得分。

3. 主要功能

3.1 监控

监控模块又两个,风险态势和仪表板

(1)风险态势

风险态势可查看“攻击类型”、“攻击次数”、“被攻击目标”、“攻击源分布”、“事件趋势”、“最新事件”等分布图

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第44张图片

(2)仪表盘

仪表盘则是主要用于展示系统的关键指标和数据,以图表等可视化的形式来进行展示

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第45张图片

3.2 攻击

其中又包含风险事件和诱捕日志

(1)风险事件

风险事件管理页面展示系统产生的所有风险事件信息,按时间由近到远进行展示,并提供对风险事件进行快速查询和分析的功能。

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第46张图片

(2)诱捕日志

诱捕日志管理功能提供对攻击者在诱捕器中所有操作行为:包括网络操作、命令执行、文件操作以及文件等数据进行综合浏览、查询的功能。

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第47张图片

3.3 诱捕

诱捕又分为诱捕策略、安全规则和攻击特征三大块

(1)诱捕策略

诱捕策略用于配置各诱捕探针需要执行的诱捕策略。

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第48张图片

(2)安全规则

安全规则用于配置系统安全监测规则,包括威胁情报配置和黑白名单配置等。
【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第49张图片

(3)攻击特征

攻击特征则是借助检测规则,对攻击的类型、级别、信息进行归纳总结

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第50张图片

3.4 仿真

仿真又分为仿真模板、增加仿真网站和增加仿真主机三块

(1)仿真模板

仿真模板提供对系统各仿真能力进行配置管理的功能,通过仿真模板可以快速、灵活自定义仿真内容。

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第51张图片

(2)增加仿真网站

仿真网站则是可以自定义的添加网站配置信息

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第52张图片

(3)增加仿真主机

仿真主机同样可以添加一台主机,模拟目标主机

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第53张图片

3.5 处置

处置分为预警通知和内生情报两块

(1)预警通知

预警通知可以自定义添加报警规则,满足条件则发出预警

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第54张图片

(2)内生情报

内生情报可以选择周期和数量限制,来对不同情报格式就行利用

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第55张图片

3.6 节点

节点分为节点管理和节点分组

(1)节点管理

节点管理主要包含节点信息查看、节点信息修改、节点策略运行情况查看等功能。

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第56张图片

(2)节点分组

节点分组可以针对不同类型进行分组,方便管理

【网络安全】蜜罐部署实战&DecoyMini攻击诱捕_第57张图片

你可能感兴趣的:(网安,web安全,安全,网络)