用DecoyMini部署業務系統蜜罐

蜜罐在近幾年的攻防實戰演習中大放光彩，它作為欺騙防禦的重要技術，是主動防禦的主要方法，也是實戰由被動向主動轉變最有效的手段，用好蜜罐可有效提升網路安全防禦能力。蜜罐的核心是模擬能力，所能提供的模擬能力和使用者環境貼合度越高誘捕效果越好。因此蜜罐在部署時，往往都需要根據部署環境對蜜罐模擬的各類物件和資料進行定製化，將自有的一些業務系統站點例如辦公系統、ERP系統、資訊釋出平臺等做成蜜罐部署出來，這樣的蜜罐誘惑性更高，對攻擊的誘捕效果也會更好。

網際網路上已經有不少免費的蜜罐工具，但這些蜜罐工具絕大多數功能單一、成熟度不高、缺乏持續更新維護，很難支援對自有業務系統等個性化需求的模擬。本文介紹一款免費的蜜罐軟體——DecoyMini，它是由北京吉沃科技有限公司基於商業化蜜罐產品積累而推出的完全免費的蜜罐工具，工具支援主流作業系統、安裝使用簡單、安全穩定，支援外掛化的模擬模板，支援從論壇一鍵下載模板來快捷部署蜜罐，同時提供蜜罐自定義能力，透過介面視覺化編排配置即可部署對自有業務系統、網路協議和服務進行模擬的蜜罐。

本文將介紹用DecoyMini免費蜜罐工具來配置模擬自有業務系統蜜罐，並演示業務系統蜜罐部署後對攻擊誘捕的實戰效果。

軟體安裝

前往“https://github.com/decoymini”或者“https://gitee.com/decoymini”免費下載最新版本的DecoyMini，支援Windows7/Win10/Windows Server 32/64位、CentOS/Ubuntu/Debian/Kali32/64位、樹莓派等作業系統，讀者根據自己的作業系統型別選擇對應的安裝包進行下載，普通辦公電腦的硬體配置就可以正常安裝使用。

DecoyMini支援單節點部署模式和分散式部署模式，本文示例環境以單節點模式來進行部署。

Windows下，以管理員身份執行cmd，輸入如下命令進行安裝：

DecoyMini_Windows_v1.0.xxxx.exe-install

Linux下安裝，以CentOS 64位為例，對安裝檔案賦予可執行許可權，用管理員許可權執行如下安裝命令：

./DecoyMini_Linux_x64_v1.0.xxxx.pkg-install

按需選擇DecoyMini管理端監聽的地址和埠後，即可完成DecoyMini的安裝。

安裝好DecoyMini軟體後，使用安裝時配置的IP和埠即可訪問管理端登入頁面，用DecoyMini論壇帳號或者本地預置帳戶admin可登入DecoyMini管理端。

建立模擬模板

使用DecoyMini部署業務系統蜜罐前，需要先配置業務系統的模擬模板。DecoyMini支援以下兩種方式來建立業務系統模擬模板：

自動建立：指定待模擬的目標業務系統地址，軟體自動爬取業務系統站點網頁來建立模擬模板，推薦用於資訊釋出類業務系統的自動模擬；

手動建立：手動下載待模擬的目標業務系統站點網頁進行上傳，配置相關模擬引數和訪問對映規則，完成模板的手動建立，適用於採用自動建立頁面爬取不完整或需定製化模擬內容等其它場景。

對於自定義的模擬模板支援匯出分享，可以分享到其它DecoyMini環境，實現模擬能力的快速遷移；也可以分享到DecoyMini技術論壇，將有機會獲得論壇禮品或現金獎勵。

自動建立

DecoyMini提供自動模擬指定業務系統站點的能力，透過系統內建的網頁爬蟲對指定目標網站進行自動爬取可以快速生成對應業務系統站點的本地映象。利用此功能，可以快速生成自有業務系統的模擬模板，並作為誘捕器（蜜罐）部署出來。主要操作步驟如下：

（1）進入DecoyMini模擬模板管理介面，在左側模擬模板樹形列表中點選“增加模擬網站”來增加一個模擬的站點：

在“模板配置”中配置相關引數，填入要模擬的目標業務系統網站地址（支援http和https），配置網站資料同步週期（單位：天），值>0時每間隔指定天數自動重新爬取業務系統頁面來更新模板，值為0不自動爬取更新。

（2）當完成引數配置後點選“增加”按鈕，稍等片刻待DecoyMini後臺完成網站內容爬取彈出提示訊息後，就完成對自定義網站模擬模板的增加操作。

採用自動建立模式增加的模擬模板，還可以繼續手動編輯模板模擬頁面資料和引數，來定製化模擬內容。

手動建立

手動建立“WEB模擬模板”的子模板，將下載的業務系統站點網頁打包上傳，配置模板的模擬網頁資料和訪問對映規則，完成模板的手動建立。

業務系統網頁下載

用網站下載工具或者瀏覽器下載功能將需要模擬的業務系統網站頁面下載儲存，以瀏覽器下載儲存為例，具體操作方法如下：

（1）用瀏覽器瀏覽需要模擬的網頁，用瀏覽器儲存網頁功能將網頁儲存到本地。

儲存時候注意檔名用英文，儲存型別選擇儲存全部內容。

（2）對儲存下來的網頁檔案，根據需要可以對網頁內容進行定製化處理，處理完畢後，將網頁以及依賴的圖片等資原始檔用zip格式進行打包。

（3）將打包好的zip檔名更改為res_package.zip待用（res_package.zip為DecoyMini模擬模板資原始檔壓縮包保留名稱，當上傳的壓縮包檔名為此名稱時，則會自動解壓包裡的檔案到“資料檔案”目錄下）。

建立模擬子模板

（1）登入DecoyMini管理中心，切換到“模擬模板”介面，點選WEB模擬模板“建立子模板”來建立一個新的WEB模擬子模板。

輸入子模板資訊後，完成子模板建立操作。

（2）在左側模板列表中選擇新建立的子模板，切換到“資原始檔”標籤，在資原始檔左側目錄樹中選擇“資料檔案”，將剛製作好的資原始檔包res_package.zip檔案進行上傳。

上傳完成後，則可以在檔案列表裡看到res_package.zip壓縮包解壓後的全部檔案清單。

（3）資原始檔上傳完畢後，點選“應用”按鈕應用資原始檔，應用後的資原始檔資料才會被蜜罐所使用。

（4）點選“引數設定”標籤，可以檢視當前模板已經配置的引數，其中型別為“動態解析”的引數軟體會根據攻擊者訪問請求來動態解析，在響應資料配置裡可以用“{{引數標識}}”格式來引用對應引數的值。

（5）切換到“響應資料”標籤，來配置將攻擊者的訪問請求和資原始檔做關聯，根據不同的請求可以配置響應對應的模擬資料。

在本例中將攻擊者訪問根路徑與資原始檔裡index.html檔案關聯，配置方法為：在“響應資料”列表裡編輯名稱為“首頁”的響應資料項，請求路徑配置為“/”，響應資料選擇“資料檔案”輸入“index.html”後儲存。則蜜罐在收到攻擊者訪問“/”路徑的請求時將響應資料檔案裡index.html檔案的內容。

其他訪問路徑對應的響應資料可參考上述方法依次進行配置，多條響應資料將從第一條開始往後匹配，直到匹配到為止；若未能匹配上則會響應標識為notexists裡的響應資料。

配置記錄登入賬戶

部署業務系統蜜罐除關注哪些IP來訪問外，記錄攻擊者嘗試登入業務系統的賬號也有助於對攻擊者進行溯源分析。DecoyMini支援透過介面編排配置，實現記錄攻擊者嘗試登入業務系統的賬戶的功能。

在上節配置的模擬模板基礎上，配置攻擊者登入的使用者名稱、密碼獲取引數，以及有效的使用者名稱和密碼等資訊。引數標識配置為post.userId，將從POST資料裡提取名稱為userId的值，post.password將從POST資料裡提取名稱為password的值，配置有效的登入賬號為admin /123456。

在響應資料部分增加對登入請求相關的響應配置。

關鍵的幾個響應資料配置方法說明如下：

（1）修改業務系統登入頁面程式碼，攻擊者執行登入操作時呼叫login.js裡的login函式，將登入使用者名稱和密碼POST到“/api/user/login”這個地址，如果服務端響應狀態碼為200則跳轉到業務系統主頁面，否則顯示登入失敗的提示。

（2）對登入請求進行響應：判斷請求的路徑是否為“/api/user/login”，且登入使用者名稱和密碼為預設的使用者名稱和密碼時，響應登入成功的狀態資料。

配置接收到登入請求後，記錄登入日誌，同時記錄登入的使用者名稱和密碼。

（3）當傳送的登入請求使用者名稱和密碼與預設的使用者名稱密碼不匹配時，登入失敗，響應登入失敗狀態和錯誤訊息，並配置記錄日誌。

（4）配置當輸入了預設的使用者名稱和密碼後，顯示指定的業務系統主介面。

記錄登入賬戶的完整配置內容請參見DecoyMini內建“WEB業務系統示例”模擬模板。

釋出模板

編輯確認模擬模板的基礎資訊，如模板名稱、事件日誌型別、類別、描述等，完成編輯後便可“釋出”模擬模板，釋出後的模擬模板就可以在誘捕策略裡部署使用。

部署蜜罐

配置完成業務系統模擬模板後，切換到“誘捕策略”介面來部署蜜罐。DecoyMini支援虛擬IP技術，支援在一臺蜜罐上虛擬多IP來模擬多臺主機，快速組建蜜罐群，有效提高蜜罐的覆蓋率，用較小的部署資源實現最大化的攻擊誘捕效果。

（1）增加誘捕器（蜜罐），選擇剛釋出的業務系統模擬模板，配置蜜罐外部訪問IP、監聽埠、協議等環境引數。

蜜罐的“外部訪問IP”可以填寫網路可達範圍內的空閒IP，將蜜罐直接部署在這個空閒IP上，例如網路裡10.1.18.84這個IP未使用，則可將外部訪問IP配置為10.1.18.84，蜜罐部署好後，攻擊者透過10.1.18.84就能夠訪問到此業務系統蜜罐。

DecoyMini支援動態埠功能，配置埠時支援特定埠、埠列表或埠範圍，當配置為埠列表或埠範圍，蜜罐在執行時將會自動從中隨機選取一個埠來部署此蜜罐。

訪問業務系統蜜罐協議支援HTTP或HTTPS，DecoyMini已經內建了預設的SSL證書，如果需要自定義，可以將新的證書檔案和金鑰檔案分別命名為server.crt和server.key替換模擬模板資原始檔“配置檔案”目錄裡同名檔案。

（2）配置完部署蜜罐的必要引數後，點選“確定”儲存蜜罐配置。

（3）點選“應用”按鈕將誘捕策略下發到誘捕探針來生成對應的蜜罐。

部署效果

在DecoyMini上部署好蜜罐之後，用瀏覽器訪問誘捕策略裡配置的地址就可以訪問到模擬的業務系統站點。

以下為筆者模擬攻擊者發起請求，展示業務系統蜜罐對攻擊的誘捕效果。

攻擊事件日誌

當攻擊者訪問到業務系統蜜罐後，在系統的風險事件裡可以檢視到相關風險事件告警資訊。DecoyMini支援關聯分析，支援對同類事件進行自動合併，這可以有效降低告警數量、提高告警準確度，從而大大降低安全運維投入。

風險事件的詳細資訊中包含兩部分：事件詳情和關聯誘捕日誌列表。

事件詳情展示了風險事件的名稱、描述、型別、合併數量、攻擊源IP、攻擊目的IP、匹配到的關聯分析規則名稱、威脅影響和解決方案、風險事件合併開始時間和結束時間等屬性。

關聯誘捕日誌展示的為此風險事件關聯的誘捕日誌列表：

在系統的“誘捕日誌”裡可以檢視到完整的攻擊日誌資訊；模擬模板配置了記錄攻擊賬戶功能，當攻擊者嘗試登入業務系統時，在對應的誘捕日誌裡可以檢視到嘗試登入的賬戶資訊，包括登入使用的使用者名稱和密碼等。

攻擊預警

當攻擊者訪問到業務系統蜜罐時，DecoyMini支援配置多種預警方式及時將告警通知到安全管理人員手裡，包括郵件告警、彈窗告警、企業微信、釘釘等方式，也支援透過Syslog格式將告警資訊輸出到其它系統來實現對攻擊進行聯動處置。

採用自動預警通知，可實現用極少的資源和人力投入，就可以實現7x24小時不間斷遠端值守，安全管理人員隨時隨地都能輕鬆掌握網路的風險態勢。

攻擊過程分析

在風險事件詳情或者誘捕日誌裡檢視日誌詳情時，除可以看到該誘捕日誌詳細資訊外，還支援以“時間線”方式以時間先後順序展示該攻擊者的詳細操作，還原攻擊的完整過程。

在風險事件或誘捕日誌介面中，點選誘捕器（蜜罐）連結，可以檢視到攻擊此誘捕器的IP畫像，畫像直觀展示了攻擊此蜜罐的源IP分佈以及攻擊頻率等資訊。

點選事件列表或事件詳情中的“被攻擊IP”，可以展示對應被攻擊IP的畫像，畫像展示了攻擊該IP的攻擊來源情況以及攻擊的蜜罐範圍。

攻擊溯源

DecoyMini不僅能夠對攻擊進行監測、對失陷進行感知，同時它也具備攻擊溯源能力。當攻擊者訪問部署的業務系統蜜罐後，透過內建在業務系統蜜罐內的反制指令碼，就能夠自動獲取到攻擊者主機的多種特徵資訊，包括真實IP、主機特徵、瀏覽器特徵等等。同時DecoyMini已經與盛邦安全的網路空間資產探測平臺聯動，能夠自動查詢攻擊IP所在主機最近一段時間開啟的埠和服務，為溯源攻擊者的真實身份提供了多維度的資料支撐。

點選事件列表或事件詳情中的“攻擊IP”，可以展示對應攻擊IP的畫像，包括攻擊者地域資訊、攻擊影響範圍、主機特徵、瀏覽器特徵、主機曾開啟的服務等資訊。

點選畫像上的基本資訊、主機特徵、瀏覽器特徵、曾使用服務，可以鑽取到對應攻擊IP的攻擊者特徵詳情；點選攻擊目標的IP或誘捕器，可以鑽取到此IP對該攻擊目標實施攻擊產生的風險事件和詳細誘捕日誌列表。

總結

面對當前嚴峻的網路安全態勢、及時發現更具隱蔽性和多樣性的攻擊行為，對網路安全防禦手法上需要有所創新。透過在網路部署蜜罐，以攻防對抗思路為基礎，以攻擊者視角去發現威脅，可有效彌補傳統網路安全防禦方案的弱點，構建主動感知網路威脅的能力，協助提升網路安全監測、響應及防禦能力。

本文介紹了使用DecoyMini來部署業務系統蜜罐的基本方法，讀者可以參考去配置滿足自己需求的業務系統蜜罐。DecoyMini作為一款優秀的國產免費蜜罐軟體，具備豐富的攻擊誘捕和溯源分析功能，提供靈活的蜜罐自定義能力，支援快速組建蜜罐群，是企業零成本構建欺騙防禦能力的得力工具，值得企業部署嘗試。