用DecoyMini部署业务系统的蜜罐

蜜罐在近几年的实际攻防演练中发挥了巨大的作用。蜜罐作为欺骗防御的重要技术，是主动防御的主要方法，也是实战变被动为主动的最有效手段。利用好蜜罐可以有效提高网络安全防御能力。蜜罐的核心是模拟能力，模拟能力和用户环境契合度越高，诱捕效果越好。因此，在部署蜜罐时，蜜罐仿真的各种对象和数据往往需要根据部署环境，以及一些自己的业务系统站点如办公系统、ERP系统、信息发布平台等进行定制。被制成蜜罐用于部署。这样的蜜罐更有吸引力，对攻击有更好的诱捕效果。互联网上已经有很多免费的蜜罐工具，但这些蜜罐工具大多功能单一，成熟度低，缺乏持续的更新和维护，难以支持对自身业务系统等个性化需求的模拟。本文介绍了一款免费的蜜罐软件——DecoyMini，这是北京吉沃科技有限公司基于商业蜜罐产品积累推出的一款完全免费的蜜罐工具。该工具支持主流操作系统，安装使用方便，安全稳定，支持外挂模拟模板，支持从论坛一键下载模板，快速部署蜜罐。同时提供蜜罐定制能力，可以通过界面的可视化布局，部署模拟自身业务系统、网络协议和服务的蜜罐。本文将介绍使用DecoyMini免费蜜罐工具来配置模拟自身业务系统的蜜罐，并演示部署后业务系统蜜罐在攻击诱捕方面的实战效果。1元。软件安装免费下载最新版本的DecoyMini。支持Windows 7元/Win 10元/Windows Server 32元/64元、CentOS/Ubuntu/Debian/Kali 32元/64元、树莓派等操作系统。读者可以根据自己的操作系统类型选择相应的安装包进行下载，普通办公电脑的硬件配置都可以正常安装使用。DecoyMini支持单节点部署模式和分布式部署模式，本文中的示例环境部署在单节点模式。在Windows下，以管理员身份运行cmd，输入以下命令安装：decoymini _ Windows _ ONG SEONG WU 1.0元。xxxx.exe把它安装在Kramp-Karrenbauer Linux下。以CentOS 64元为例，对安装文件授予可执行权限。使用管理员权限执行以下安装命令：/DecoyMini _ Linux _ x64 _ ONG SEONG WU 1.0元。xxxx.pkg Kramp-Karrenbauer安装根据需要选择decoymini管理终端监控的地址和端口后，即可完成DecoyMini的安装。安装DecoyMini软件后，可以使用安装时配置的IP和端口访问管理终端的登录页面，使用DecoyMini论坛账号或本地预置账号admin登录DecoyMini管理终端。
冠军联赛。创建仿真模板在用DecoyMini部署业务系统的蜜罐之前，需要先配置业务系统的仿真模板。DecoyMini支持以下两种方式创建业务系统模拟模板：自动创建：指定要模拟的目标业务系统的地址，软件自动抓取业务系统的网站页面创建模拟模板，推荐用于信息发布业务系统的自动模拟；手动创建：手动下载要模拟的目标业务系统的网站页面，上传，配置相关模拟参数和访问映射规则，完成模板的手动创建。适用于使用自动创建的页面抓取不完整或定制的模拟内容等其他场景。用户自定义的仿真模板可以导出共享，也可以与其他DecoyMini环境共享，实现仿真能力的快速迁移。也可以分享到DecoyMini技术论坛，有机会获得论坛礼品或现金奖励。2.1元。自动创建DecoyMini提供了自动模拟指定业务系统站点的能力，通过自动抓取
在模板配置中配置相关参数，填写要模拟的目标业务系统的网址(支持http和https)，配置网站数据同步周期(单位：天)。当值为0元时，每隔指定的天数，业务系统页面会自动爬取一次，以更新模板。值为0元时，不会自动抓取更新。
(密室逃脱：冠军联赛)参数配置完成后点击“添加”按钮，稍等片刻。DecoyMini后台爬取完网站内容后，会添加用户自定义的网站模拟模板。通过自动创建模式添加的仿真模板也可以手动编辑，自定义仿真内容。2.2元。手工创建“WEB模拟模板”子模板，将下载的业务系统站点网页打包上传，配置模拟网页数据和模板的访问映射规则，完成模板的手工创建。冠军联赛。冠军联赛。1元业务系统网页下载将待模拟的业务系统网页用网站下载工具或浏览器下载功能下载并保存。以浏览器下载保存为例。具体操作方法如下：(1元)用浏览器浏览要模拟的网页，用浏览器保存网页功能将网页保存到本地。
保存时注意文件名用英文，选择保存类型保存所有内容。
(密室逃脱：冠军联赛)对于保存的网页，可以根据需要定制网页内容。处理完成后，将网页和相关图片等资源文件打包成zip格式。
(侏罗纪世界3)将打包后的zip的文件名改为res_package.zip备用(res_package.zip是DecoyMini仿真模板资源文件压缩包的保留名称，当上传的压缩包文件名为该名称时，压缩包中的文件会自动解压到“数据文件”目录)。密室逃脱：冠军联赛密室逃脱：冠军联赛密室逃脱：冠军联赛创建模拟子模板(1元)。登录DecoyMini管理中心，切换到“仿真模板”界面，点击网页仿真模板的“创建子模板”，创建一个新的网页仿真子模板。
输入子模板信息后，完成子模板创建操作。
(密室逃脱：冠军联赛)在左侧模板列表中选择新创建的子模板，切换到“资源文件”选项卡，在资源文件左侧目录树中选择“数据文件”，上传新制作的资源文件包res_package.zip文件。上传完成后，可以在文件列表中看到res_package.zip压缩包解压的所有文件列表。
(侏罗纪世界3)资源文件上传后，点击“应用”按钮应用资源文件，应用的资源文件数据将被蜜罐使用。
(4)单击“参数设置”选项卡查看当前模板的配置参数。“动态分析”类型的参数软件会根据攻击者的访问请求进行动态分析。在响应数据配置中，可以使用“{{Parameter ID}}”的格式来引用相应参数的值。
(5)切换到“响应数据”选项卡，配置攻击者的访问请求与资源文件的关联，响应对应的仿真数据可以根据不同的请求进行配置。
在本例中，攻击者的访问根路径与资源文件中的index.html文件相关联。配置方法如下：在响应数据列表中编辑名为“主页”的响应数据项，将请求路径配置为“/”，选择响应数据的数据文件，输入“index.html”并保存。蜜罐在收到攻击者访问“/”路径的请求时，会响应数据文件中index.html文件的内容。
其他接入路径对应的响应数据可以参照上述方法依次配置，从第一个开始匹配多个响应数据，直到匹配完毕；如果不匹配，它将响应标识为不存在的响应数据。密室逃脱：冠军联赛密室逃脱：冠军联赛侏罗纪世界3配置并记录登录账号，部署业务系统蜜罐。除了注意访问哪个IP之外，记录试图登录业务系统的攻击者的帐户也有助于追踪攻击者的来源。DecoyMini支持界面排列和配置，实现了记录攻击者试图登录业务系统的账号的功能。在前面部分配置的模拟模板的基础上，配置攻击者的登录用户名、密码获取参数以及有效的用户名和密码。标识符被配置为POST.userId，名为userId的值将从POST数据中提取，名为post.password的值将从POST数据中提取。有效的登录帐户是admin/123456。在响应数据部分添加与登录请求相关的响应配置。几个关键响应数据配置方法描述如下：(1元)修改业务系统登录页面代码。当攻击者执行登录操作时，他调用login.js中的登录函数，并将登录用户名和密码发布到地址“/api/user/login”。如果服务器的响应状态码是200元，他会跳转到业务系统的主页面，否则会显示登录失败提示。
(密室逃脱：冠军联赛)响应登录请求：判断请求的路径是否为“/api/user/login”，当登录用户名和密码为预设时，响应成功登录的状态数据。
收到登录请求后，记录登录日志，记录登录用户名和密码。
(侏罗纪世界3)当发送的登录请求用户名和密码与预设的用户名和密码不匹配时，登录失败，响应登录失败状态和错误消息，配置登录日志。
(4)配置输入预设的用户名和密码后，显示指定业务系统的主界面。
登录账号的完整配置请参考DecoyMini内置的“WEB业务系统实例”模拟模板。密室逃脱：冠军联赛密室逃脱：冠军联赛4发布模板编辑确认模拟模板的基本信息，如模板名称、事件日志类型、类别、描述等。编辑完成后，可以“发布”模拟模板，发布的模拟模板可以在陷印策略中部署和使用。
侏罗纪世界3。部署蜜罐配置好业务系统模拟模板后，切换到“诱捕策略”界面部署蜜罐。DecoyMini支持虚拟IP技术，支持在一个蜜罐上虚拟多IP模拟多台主机，快速组建蜜罐群，有效提高蜜罐覆盖范围，用更小的部署资源实现攻击诱捕效果最大化。(1元)添加陷阱(蜜罐)，选择新发布的业务系统仿真模板，配置蜜罐的外部访问IP、监控端口、协议等环境参数。
蜜罐的“外部接入IP”可以填充网络可及范围内的空闲IP，蜜罐可以直接部署在这个空闲IP上。比如10元、1元、18元、84元的IP在网络中未使用，可以将外接IP配置为10元、1元、18元、84元。蜜罐部署后，攻击者可以通过10.1.18.84访问该业务系统的蜜罐。DecoyMini支持动态端口功能。在配置端口时，它支持特定的端口、端口列表或端口范围。当配置为端口列表或端口范围时，蜜罐将在运行时自动随机选择一个端口来部署这个蜜罐。访问业务系统的蜜罐协议支持HTTP或HTTPS。DecoyMini有内置的默认SSL证书。如果需要自定义，可以将新的证书文件和密钥文件分别命名为server.crt和server.key，以替换仿真模板资源文件的“配置文件”目录中的同名文件。(密室逃脱：冠军联赛)配置好蜜罐部署的必要参数后，点击确定保存蜜罐配置。(侏罗纪世界3)点击“应用”按钮，将诱捕策略发送给诱捕探头，生成相应的蜜罐。
复仇者联盟4：终局之战。部署E
下面是作者模拟攻击者的请求来展示业务系统的蜜罐对攻击的诱捕效果。4.1元。攻击事件日志当攻击者访问业务系统的蜜罐时，可以在系统的风险事件中查看到相关的风险事件报警信息。DecoyMini支持关联分析和相似事件自动合并，可以有效减少告警数量，提高告警准确率，从而大大降低安全运维的投入。风险的详细信息包括两部分：事件的详细信息和相关陷阱日志的列表。事件详情显示名称、描述、类型、合并数量、攻击源IP、攻击目的IP、匹配的关联分析规则名称、威胁影响和解决方案、风险事件合并的开始时间和结束时间等。诱捕日志显示与该风险事件相关的诱捕日志列表：可以在系统的“诱捕日志”中查看完整的攻击日志信息；模拟模板配置了记录攻击账号的功能。当攻击者试图登录业务系统时，可以在相应的陷阱日志中查看到被尝试的账户的信息，包括登录用户名和密码。4.2元。攻击警告。当攻击者访问业务系统的蜜罐时，DecoyMini支持配置多种预警方式及时通知安全管理人员，包括邮件预警、弹窗预警、企业微信、钉钉等。还支持将告警信息以Syslog格式输出到其他系统，实现攻击的联动处理。自动预警通知可以实现7×24不间断远程值班，资源和人力投入很少，安全管理人员可以随时随地轻松掌握网络的风险情况。4.3元。攻击过程分析。在风险事件详情或陷阱日志中查看日志详情时，不仅可以看到陷阱日志的详细内容，还可以以“时间轴”的方式按时间顺序展示攻击者的详细操作，还原整个攻击过程。在风险事件或陷阱日志界面点击陷阱(蜜罐)链接，可以查看攻击该陷阱的IP画像。画像直观的展示了攻击这个蜜罐的来源IP分布和攻击频率。在事件列表或事件详情中点击“被攻击的IP”会显示对应被攻击IP的画像，画像中显示了该IP的攻击来源和攻击的蜜罐范围。4.4元。攻击可追溯性DecoyMini不仅可以监控攻击和感知跌倒，还具有追踪攻击的能力。当攻击者访问业务系统部署的蜜罐时，可以通过业务系统蜜罐内置的计数器脚本，自动获取攻击者主机的多种特征信息，包括真实IP、主机特征、浏览器特征等。同时，DecoyMini已与盛邦安全网络空间资产检测平台联动，可自动查询攻击IP所在主机最近开放的端口和服务，为追查攻击者真实身份提供多维数据支持。在事件列表或事件详情中点击“攻击IP”，显示对应攻击IP的画像，包括攻击者所在区域、攻击影响区域、主机特征、浏览器特征、主机已经开通的服务等信息。点击画像上的基本信息、主机特征、浏览器特征、使用的服务，可以深入查看攻击IP对应的攻击者特征详情；点击攻击目标的IP或陷阱，可以钻取该IP攻击攻击目标导致的风险事件列表和详细的陷阱日志。5。综上所述，面对当前严峻的网络安全形势，需要创新网络安全防御手段，以便及时发现更加隐蔽和多样化的攻击。在网络中部署蜜罐，基于攻防对抗的思想，从攻击者的角度发现威胁，可以有效弥补传统网络安全防御方案的弱点，构建主动感知网络威胁的能力，有助于提高网络安全监控、响应和防御能力。介绍了使用DecoyMini部署业务系统蜜罐的基本方法，读者可以参考来配置业务系统蜜罐，以满足自己的需求。
DecoyMini作为一款优秀的国产免费蜜罐软件，具有丰富的攻击诱捕和溯源分析功能，提供灵活的蜜罐定制能力，支持蜜罐群的快速建立。是企业零成本构建欺骗防御能力的有效工具，值得企业部署。