开源蜜罐HFish在威胁情报中的使用

前言

hfish.png

蜜罐是一种安全威胁的主动防御技术，它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者，捕获攻击流量与样本，发现网络威胁、提取威胁特征，蜜罐的价值在于被探测、攻陷。攻击者遇到蜜罐以后不但进攻得不到什么进展，而且还会暴露很多敏感信息，安全人员可以收集到攻击者的手法，样本，产出相应IOC，甚至执行一些反制措施。

需求与选择

根据蜜罐与攻击者交互程度的高低，蜜罐可以分为低交互蜜罐和高交互蜜罐，两者并无优劣之分，需要使用者根据自己的需求去选择合适的蜜罐执行特定的任务。

在威胁情报生产方面，可以利用蜜罐收集开源情报，产出IOC；并尝试使用蜜罐收集的数据来对一些开源IOC打上相应的tag。网络上有很多与蜜罐/蜜网有关的实践。蜜罐分为开源的和闭源的；模拟单一服务的蜜罐和可以模拟多种服务的蜜罐。针对这个需求，我罗列了一下自己的选择标准：

• 低交互蜜罐即可，只需要产出一些恶意IOC即可，没有什么高交互需求，而且这是自己的vps也存在服务器性能和安全性上的考量。

• 最好开源，商业蜜罐我没钱，闭源蜜罐不方便针对自己的需求做二次开发。

• 可以模拟多种服务，可以针对某一个IOC打上不同的Tag。

• 更新迭代迅速，社区氛围好，文档完善。

根据以上需求，我选择了一个开源蜜罐HFISH，这是国内安全团队开发，中文文档完善。

安装

本人安装的版本为0.6.2，按照官网步骤下载源码，安装即可。

Github

官网

登陆页面

01.png

仪表盘

02.png

上钩列表

03.png

可以看到捕获了很多的IOC，并且可以给这些IOC打上不同的Tag，例如这个“192.241.210.167”就可以打上类似es_bruteforce，automatic_scan的标签，为了验证结果，我们可以在一些威胁情报平台查询结果。

• 360威胁情报平台

  • 04.png

```
可以看到360威胁情报平台对这个IP也打上也相应标签，并在开源情报部分展示了出来，   
automatic-collection，ssh_bruteforce等标签也和我们收集到的攻击信息吻合，这样我们就可以利用开源蜜罐完成我们预定的目标。而且360这边给这个IP打标签的时间是2021-07-20，咱们捕获到攻击的时间是2021-07-21，说明360也在利用类似的手段进行开源情报Tag的标注工作。
```

• 奇安信威胁情报平台

  • 05.png

其他乙方安全公司的威胁情报平台都大同小异，不再赘述

Tips

2021年11月更新

我在使用Hfish的时候是在2020年，github上还提供最新的源代码，我安装的版本是0.6.2。最近（2021年11月）发现Hfish只提供V2版本，方式改为闭源共享。新版本有一些改动，新增了几个蜜罐，具体更新项目查看最新文档即可，但不提供源代码又少了很多修改的可能性。

后记

1、后台进程被杀

使用HFISH的时候，发现后台进程会被杀掉，写脚本检测进程是否存在，使用crontab定时执行

参考 https://zhuanlan.zhihu.com/p/154585289

2、web特征过于明显

在fofa或者shodan等全网资产测绘平台查询hfish相关信息，例如我在fofa平台使用title="hfish"进行查询，结果如下，所以我们可以反向给这些IP打上标签"honeypot"，"安全人员/组织VPS"

06.png

下面的几个特征建议自己在使用hfish时进行修改，有兴趣的师傅可以去爆破一下管理页面的账户，有好几个弱密码账户哦。

• title="hfish"
• 默认管理IP 9001或4433
• 图片/图标资源
  • 4433/assets/cb2b971bf7d987543560ef44026d0c3c.png
  • :4433/assets/static/media/hfish-icon.473db7ce.svg
  • :9001/static/images/hfish.png
  • 9001/static/favicon.ico
• 默认的路由
• 默认的数据获取接口，添加认证