Honeypot Intelligence: How Panguard Trap Learns from Attackers

被動防禦的問題

傳統安全是被動的。你部署防火牆、裝偵測工具、等待。攻擊者探測你的基礎建設時,你希望防禦抓到他們。沒抓到時,你幾天幾週後才知道違規 — 如果有知道的話。

這做法有根本資訊不對稱問題。攻擊者每次探測都學到你的防禦。你直到他們成功之前對他們一無所知。

蜜罐翻轉這個方程式。

什麼是蜜罐

蜜罐是設計成看起來像真目標的誘餌系統。可能模擬 SSH server、web 應用、資料庫、API endpoint。對掃網際網路的攻擊者,看起來和真服務沒區別。但它不提供真實資料,而是用鑑識細節記錄每個互動。

蜜罐有兩個目的。第一,它們是早期警告系統。任何與蜜罐的互動本質上可疑 — 合法使用者沒有連接的理由。一個連線嘗試告訴你有人在探測你的網路。第二,它們是情報蒐集平台。研究攻擊者如何與誘餌互動,你了解他們的工具、技術、程序。

Panguard Trap:8 種蜜罐

Panguard Trap 部署 8 種蜜罐,每種模擬不同攻擊面:

SSH 蜜罐。在可設定 port 上模擬 OpenSSH server。記錄登入嘗試、憑證對、認證後命令。一直是我們最高量的收集者 — 自動 SSH 掃描器在部署後幾分鐘內擊中。

HTTP 蜜罐。模擬有常見漏洞 endpoint 的 web server。記錄 URL pattern、payload、user agent、請求序列。對抓自動漏洞掃描器和 web shell 部署嘗試特別有效。

DNS 蜜罐。回應 DNS 查詢並記錄解析嘗試。對偵測 DNS 隧道、domain 列舉、C2 通訊 pattern 有用。

SMTP 蜜罐。模擬郵件 server。捕獲垃圾郵件轉發嘗試、釣魚探測 pattern、憑證收割技術。

資料庫蜜罐。模擬 MySQL 或 PostgreSQL 服務。記錄認證嘗試和 SQL 注入 payload。

API 蜜罐。曝露模仿常見 SaaS API pattern 的假 REST endpoint。捕獲 token 竊取嘗試和 API 濫用 pattern。

FTP 蜜罐。經典檔案傳輸協定陷阱。捕獲憑證填充和自動上傳嘗試。

Telnet 蜜罐。模擬傳統 telnet 存取。對抓 Mirai 變體等 IoT 殭屍網路掃描器特別有效。

從資料到情報

原始蜜罐資料量大但雜訊多。Panguard Trap 透過三階段處理蒐集的資料。

首先,去重和正規化。從同一個殭屍網路來的數千個相同 port 掃描壓縮成單一含計數的事件。憑證對正規化。Payload 解碼並分類。

其次,關聯。來自同源 IP 跨多種蜜罐的攻擊被連結。Campaign pattern 浮現 — 擊中 SSH、然後 HTTP、然後資料庫 port 的協調掃描揭示多向量攻擊序列。

第三,歸因豐富化。源 IP 用威脅情資資料豐富化:已知殭屍網路成員資格、地理起源、託管供應商、歷史活動。這個 context 把原始事件轉成可採取行動的情報。

餵 Threat Cloud

Panguard Trap 實例偵測到新攻擊 pattern 時,該情報流到 Panguard Threat Cloud。Pattern 匿名化、正規化、分發給網路中每個 Panguard Guard agent。一個蜜罐發現的新 SSH exploit,幾分鐘內成為每個受保護 server 的偵測規則。

這創造飛輪效應。更多蜜罐代表更多情報。更多情報代表更好偵測。更好偵測代表更多使用者。更多使用者代表更多蜜罐。每個循環強化整個網路。

部署

部署 Panguard Trap 一個指令:

panguard trap --enable ssh,http,dns

每種蜜罐獨立可設定。你選擇模擬哪些服務、曝露哪些 port、多積極與探測互動。低互動模式只記錄連線 metadata。高互動模式模擬完整 session 行為以捕獲更深情報。

情報優勢

安全終究是資訊遊戲。資訊較好的那邊贏。蜜罐給防禦者罕有的東西:對攻擊者能力和意圖的事先知識。當你知道他們如何掃描、試什麼憑證、部署什麼 exploit,你可以在真系統成為目標前加固。

這就是 Panguard Trap 啟用的轉變。從被動防禦到主動情報蒐集。從希望防禦撐住,到知道它們需要承受什麼。