#HW #反制 #蜜罐

这两年的hvv，防守方已经不单单是每天坐那看监控、封ip了，越来越多的大佬投身防守工作中，让防守从被动变成了一个主动的活了。

目前最常见的主动防守有2种，1、长时间的蜜罐运营。2、蜜罐反制。

一、蜜罐运营

蜜罐这个词干安全的都应该熟悉，2-3年前引入hvv中，随后迅速火爆起来，让防守方从原来的被动防守，变成了主动防守。

随着这两年卷蜜罐，慢慢一些厂商推出了蜜罐运营，什么是蜜罐运营呢？就是长时间的运营这个蜜罐的服务，运营过程中会做哪些动作呢？

1.1 提前投放

举个例子，我是吉祥车企，要参加24年hvv，hvv一般会在年中举行，蜜罐运营者会在23年底就开始在github、csdn、百度网盘等上面开始放一下关于吉祥车企的相关的源码、一些网站、或者一些弱口令，准确的说给你放的信息都是蜜罐相关的信息，让攻击者收集到这些年信息，误认为是我的供应链泄露，拿到这些信息来攻击我（的蜜罐）

当你拿着我给你预留的口令，来攻击我的蜜罐，我就会给你来个瓮中作弊。

1.2 拟态防护

拟态防护由检测模块与伪装模块组成：检测模块负责检测请求的安全性，根据检测结果引流。当你是攻击流量，就会把攻击流量直接转到伪装模块，伪装模块一般就是蜜罐或者蜜网组成，达到接受攻击流量，动态实时模拟业务的作用

你拿到我这些专门给你送上门的信息我自然不能让你一眼就能认出来我是蜜罐啊，高防高交互蜜罐必须上啊。啥是高防，仿照我的OA系统，皮和我的OA是一模一样的。啥是高交互，你提交的数据我给你反馈，反馈的信息让你觉得是真的。

二、反制蜜罐

这两年很多大厂，出了反制蜜罐，反制蜜罐除了具有高隐蔽性外，最重要的就是具有反制功能。

1、当你把这个蜜罐打下后你必然会上传webshell。

2、这时蜜罐会自动在你的webshell上进行修改，添加上一些js远控脚本（或者浏览器漏洞的exp）。

3、当你回链shell的时候，你的电脑就被上线了。

三、保护好自己不被溯源反制

1.使用虚拟机进行攻击，并且攻击主机除攻击外不做他用，包括但不限于微信等敏感账号登录等；将用于信息收集的主机和攻击虚拟机做好隔离；虚拟机不使用与本人相关的用户名/密码。（虽然使用虚拟机有很多不方便之处，但是使用虚拟机还是安全许多；信息收集时难免会用到各个平台的账号，登录之后也可能通过浏览器的历史记录捕捉到个人信息，因此建议做好隔离），最好也用一下发现蜜罐的插件：哐哐一顿打，蜜罐干穿，赶紧去邀功打进内网了

2.进行系统测试时不要使用与个人相关的敏感信息。（被确认有攻击行为后将直接被溯源）

3.攻击服务器使用云函数、CDN、域前置等手段防止溯源，相关备案域名避免直接使用与攻击者相关的个人信息，同时清除服务器中与个人相关的敏感信息。（避免被C2等工具的rce漏洞获取敏感信息溯源）

4.测试过程中注意识别蜜罐，发现蜜罐后及时重启虚拟机或恢复快照。

5.社工时使用与自身关联性较小的小号。

原创 吉祥快学网络安全吧