企业安全建设之蜜罐搭建与使用
企业安全建设之蜜罐搭建与使用
基本介绍
HFish是一款基于Golang开发的跨平台多功能主动诱导型开源国产蜜罐框架系统,它从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力,目前HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业/钉钉/飞书告警等多项特性,帮助用户降低运维成本,提升运营效率
架构设计
HFish采用B/S架构,系统由管理端和节点端组成,管理端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受管理端的控制并负责构建蜜罐服务,其中管理端只用于数据的分析和展示,节点端进行虚拟蜜罐,最后由蜜罐来承受攻击
主要特点
HFish当前具备如下几个特点:
- 安全可靠:主打低中交互蜜罐,简单有效
- 功能丰富:支持基本网络 服务、OA系统、CRM系统、AS存储系统、Web服务器、运维平台、无线AP、交换机/路由器、邮件系统、IoT设备等40多种蜜罐服务,支持用户制作自定义Web蜜罐,支持用户进行流量牵引到云蜜网、可开关的扫描感知能力、支持可自定义的蜜饵配置
- 开放透明:支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业、飞书、自定义WebHook告警输出
- 快捷管理:支持单个安装包批量部署,支持批量修改端口和服务
- 跨平台:支持Linux x2/x64/ARM、Windows x2/x64平台、国产操作系统、龙芯、海光、飞腾、鲲鹏、腾云、兆芯硬件
应用场景
内网失陷报警
外网情报生成
攻击溯源反制
内部人员风险
快速部署
Linux平台
此处我们使用Docker来快速搭建部署一个HFish:
Step 1:防火墙开启44、444,确认返回success
代码语言:javascript代码运行次数:0运行复制firewall-cmd --add-port=44/tcp --permanent #(用于web界面启动)
firewall-cmd --add-port=444/tcp --permanent #(用于节点与管理端通信)
firewall-cmd --reloadStep 2:使用root用户运行下面的脚本(需要联网)
代码语言:javascript代码运行次数:0运行复制bash <(curl -sS -L .sh)Step :服务查看
Step 4:Web端访问
代码语言:javascript代码运行次数:0运行复制登陆链接:https://[ip]:44/web/
账号:admin
密码:HFish2021Docker部署
此处我们还可以使用Docker来快速搭建部署一个HFish:
Step 1:确认已安装并启动Docker
代码语言:javascript代码运行次数:0运行复制docker versionStep 2:运行版本HFish
代码语言:javascript代码运行次数:0运行复制docker run -itd --name hfish \
-v /usr/share/hfish:/usr/share/hfish \
--network host \
--privileged=true \
threatbook/hfish-server:latestStep :配置后续自动升级
代码语言:javascript代码运行次数:0运行复制docker run -d \
--name watchtower \
--restart unless-stopped \
-v /var/run/docker.sock:/var/run/docker.sock \
--label==false \
--privileged=true \
containrrr/watchtower \
--cleanup \
hfish \
--interval 600Step 4:登陆HFish
代码语言:javascript代码运行次数:0运行复制登陆地址:https://ip:44/web/
初始用户名:admin
初始密码:HFish2021控制面板如下所示:
Windows平台
Step 1:下载安装包
Step 2:解压
Step :关闭防火墙
Step 4:进入HFish-Windows-amd64文件夹内,运行文件目录下的install.bat
Step 5:进行登录
代码语言:javascript代码运行次数:0运行复制登陆地址:https://192.168.17.12:44/web/login
初始用户名:admin
初始密码:HFish2021Step 6:之后进行数据库配置,这里我们直接选择SQLite
之后返回控制面板
之后进行密码修改
蜜罐使用
攻击大屏
https://192.168.17.12:44/web/index
蜜罐列表
节点默认开启部分服务,包括FTP、SSH、Telnet、Zabbix监控系统、ginx蜜罐、MySQL蜜罐、Redis蜜罐、HTTP代理蜜罐、ElasticSearch蜜罐和通用TCP端口监听
https://192.168.17.12:44/web/nodeList
可支持的蜜罐列表如下:
https://192.168.17.12:44/web/service
添加蜜罐
展开节点信息并点击"添加蜜罐服务"
https://192.168.17.12:44/web/nodeList
勾选想要添加的蜜罐即可:
微步API
当我们获取到了攻击者的攻击信息后,下一步要做的就是溯源,此时我们可以在情报对接中可以配置我们的微步API密钥,来自动获取攻击者的威胁情报,这里就不做演示了,又兴趣的用户可以自行配置
攻击蜜罐
服务扫描
使用map扫描蜜罐查看对应的服务信息:
代码语言:javascript代码运行次数:0运行复制nmap 192.168.17.12SSH蜜罐
使用Kali虚拟机尝试SSH远程登录Hfish蜜罐系统的主机
代码语言:javascript代码运行次数:0运行复制 root@192.168.17.12 (passwd:12456)此时可以在Hfish后台管理系统的"上钓列表"中成功看到攻击信息
攻击来源:
执行的命令也会被记录:
HC蜜罐
https://192.168.17.12:9092/
相关记录捕捉:
Gitlab蜜罐
https://192.168.17.12:909/
攻击记录:
MySQL蜜罐
代码语言:javascript代码运行次数:0运行复制mysql -h 192.168.17.12 -u root -p之后会在控制台记录用户的操作信息:
OA系统蜜罐
https://192.168.17.12:9096/
相关记录捕获:
Elasticsearch
代码语言:javascript代码运行次数:0运行复制http://192.168.17.12:9200/攻击记录:
文末小结
Hfish蜜罐部署简单,使用方便且功能强大,算是蜜罐界的一个标杆项目,更多的使用说明可以参考一下官方文档:/
本文参与 腾讯云自媒体同步曝光计划,分享自。原始发表:2025-01-06,如有侵权请联系 cloudcommunity@tencent 删除系统企业安全服务管理#感谢您对电脑配置推荐网 - 最新i3 i5 i7组装电脑配置单推荐报价格的认可,转载请说明来源于"电脑配置推荐网 - 最新i3 i5 i7组装电脑配置单推荐报价格
上一篇:内网渗透之ADCS权限维持
推荐阅读
| 留言与评论(共有 12 条评论) |
| 本站网友 五山租房 | 11分钟前 发表 |
| 邮件/syslog/webhook/企业/钉钉/飞书告警等多项特性 | |
| 本站网友 pdf加密破解 | 5分钟前 发表 |
| 极低的性能要求 | |
| 本站网友 有谁共鸣 | 4分钟前 发表 |
| 飞书 | |
| 本站网友 慈溪租房信息 | 6分钟前 发表 |
| 企业 | |
| 本站网友 鲤鱼王 | 25分钟前 发表 |
| 支持邮件 | |
| 本站网友 陈淑萍 | 1分钟前 发表 |
| 简单有效功能丰富:支持基本网络 服务 | |
| 本站网友 点点梦想城 | 6分钟前 发表 |
| 44/web/index蜜罐列表节点默认开启部分服务 | |
| 本站网友 南宁出租房 | 12分钟前 发表 |
| HTTP代理蜜罐 | |
| 本站网友 杭州二手房 | 7分钟前 发表 |
| IoT设备等40多种蜜罐服务 | |
| 本站网友 鬼门十三针 | 16分钟前 发表 |
| 目前HFish具有超过40种蜜罐环境 | |
| 本站网友 甲醇燃料 | 29分钟前 发表 |
| 444 | |