mirror of
https://gitee.com/lauix/HFish
synced 2025-02-23 19:22:14 +08:00
41 lines
2.1 KiB
Markdown
41 lines
2.1 KiB
Markdown
|
|
|||
|
|
### 什么是蜜饵
|
|||
|
|
|
|||
|
|
蜜饵泛指任意伪造的高价值文件(例如运维手册、邮件、配置文件等),用于引诱和转移攻击者视线,最终达到牵引攻击者离开真实的高价值资产并进入陷阱的目的。
|
|||
|
|
|
|||
|
|
### 使用场景
|
|||
|
|
|
|||
|
|
HFish的蜜饵在 **牵引** 攻击者的功能上增加了 **精确定位失陷** 能力,即每个蜜饵都是 **唯一的**,攻击者入侵用户主机后,如果盗取蜜饵文件中的数据并从任意主机发起攻击,防守者仍能知道失陷源头在哪里。
|
|||
|
|
|
|||
|
|
举个例子:
|
|||
|
|
|
|||
|
|
```wiki
|
|||
|
|
攻击者侵入企业内部某台服务器,在其目录中找到一个payment_config.ini文件,文件中包含数据库主机IP地址和账号密码,
|
|||
|
|
攻击者为隐藏自己真实入侵路径,通过第三台主机访问数据库主机……
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
在以上场景中,payment_config.ini为蜜饵,所谓的数据库主机是另外一台位于安全区域的蜜罐,而攻击者得到的所谓账号密码也是虚假且唯一的,防守者可以根据其得到攻击者真实的横向移动路径。
|
|||
|
|
|
|||
|
|
由于蜜饵只是静态文件,所以蜜饵适合部署在任何主机和场景中,例如作为附件通过邮件发送(检测邮件是否被盗)、在攻防演练期间上传到百度网盘或github上混淆攻击者视线、压缩改名成backup.zip放置在Web目录下守株待兔等待攻击者扫描器上钩……
|
|||
|
|
|
|||
|
|
|
|||
|
|
### HFish的蜜饵
|
|||
|
|
|
|||
|
|
HFish的蜜饵模块由 **分发接口** 和 **蜜饵** 文件两部分组成,
|
|||
|
|
|
|||
|
|
其中 **分发接口** 实际位于节点端,启用或禁用开关位于控制端的节点管理页面任意一个节点的详情页面中,默认监听tcp/7878端口,
|
|||
|
|
|
|||
|
|
任何一台节点都可以作为节点分发服务器使用,如下图:
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
启用后,用户可以从需要部署蜜饵的主机上访问如下地址,得到一个唯一的蜜饵文件:
|
|||
|
|
|
|||
|
|
```shell
|
|||
|
|
wget http://[节点IP]:7878/download/bait -O node_account.conf
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
用户可以在【账号资产】-【蜜饵数据】页面查看到已经生成的蜜饵。
|
|||
|
|
|