我们从【应用诱饵】可以清楚的知道，应用诱饵是通过下发应用资源信息给终端用户，攻击者可通过浏览器工具来查看到隐藏的诱饵地址，进入发起攻击；

但我们大家都知道，在多数情况下攻击者就算知道了内网业务地址非常多，想要诱导攻击者精准的去访问下发的诱饵地址，光靠这种形式还是会存在不足。

故零信任aTrust设备在具备应用诱饵之外，为提高诱饵的真实度，提高攻击者误踩的几率。还提供了终端诱饵来增加诱饵的多样性，终端诱饵支持两种模式，分别是：

文件诱饵

文件诱饵支持两种格式，分别是文本文件诱饵和表格文件诱饵：

• 文本文件诱饵：顾名思义是通过以文本文件的形式将诱饵信息下发至用户终端，支持txt和md两种格式；

• 表格文件诱饵：顾名思义就是通过以表格文件的形式将诱饵下发至用户终端，支持xlsx格式。

浏览器诱饵

浏览器诱饵是指在控制中心上设置好诱饵的地址、账号和密码信息，控制中心会将该地址下发至终端并在终端默认浏览器的密码管理器中，伪装成真实地址。

 

文件诱饵

文件诱饵演示场景说明

xx客户表示：【应用诱饵】已经发布了相关的应用地址和引流地址，但是应用诱饵的隐藏度和真实度觉得还差点火候。我希望能通过控制中心下发文件诱饵，文件里面写明【章节2.3.应用诱饵】的引流地址信息和账号&密码信息，以此来提高诱饵的真实度，希望能满足一下几个点：

1. 文件诱饵下发的时候需要考虑每个人储存账号密码的习惯是存在差异的，即不同的人可能会使用文本文件（如txt/md等格式）存储敏感信息，也有人会使用xlsx表格来存储敏感信息；这样操作后，即使攻击者同时控制了多台终端，在每台终端上看到的都是不同的文件，避免攻击者怀疑；
2. 文件诱饵（包括文本文件和表格文件）在下发的时候，需要能针对文件名、文件存放路径、内容要具备多样性，不能是统一的规格，以此提高真实性，避免攻击者怀疑；
3. 文件诱饵要支持有效期，即一般情况下诱饵的分发一般是在hvv的前一两周进行下发的，为了避免分发诱饵时被攻击者发现，一般都是开始前分发完毕，降低攻击者的警觉； 

 

下面我们就来详细的了解，文件诱饵的下发配置逻辑是怎样处理的：

文件诱饵视角展示说明

（一）管理员视角

本文准备了两个用户，分别是“chenxin”和“chenxin01”，我们将针对用户“chenxin”下发文本文件诱饵，针对用户“chenxin01”发布表格诱饵，文件的呈现方式存在差异的同时，路径也需要不一样，如下：

• 下发给用户“chenxin01”的表格文件，文件名设定为“公司账号”，文件放置在桌面的文件夹“2023年工作”里；

• 下发给用户“chenxin”的文本文件，文件名设定为“账号备忘录”，文件放置在电脑文档的文件夹“备忘录”里。

 

（二）用户视角

• 用户“chenxin01”登录零信任atrust后，客户端会将表格诱饵文件写入到控制中心下发的终端PC指定路径，可通过everthing工具查找到“公司账号”文件，打开即可看到下发的诱饵信息。请查看【章节2.4.2.1】

• 用户“chenxin”登录零信任aTrust后，客户端会将文本诱饵文件写入到控制中心下发的终端PC指定路径，可通过everthing工具查找到“账号备忘录”文件，打开即可看到下发的诱饵信息； 请查看【章节2.4.2.2】

表格文件诱饵

表格文件诱饵是以Excel表格的形式将模拟的内网地址、对应的系统名称、账号和密码等信息，下发至用户终端的指定路径，以便提高诱惑性。

 

配置指导

1）给用户“chenxin01”下发表格文件诱饵，具体操作如下：

步骤1.管理员登录atrust控制台，先在【蜜罐管理】开启蜜罐后，再进入[主动防御/威胁诱捕/终端诱饵]-选择[文件诱饵]，点击<新增>，选择表格文件诱饵，如下：

步骤2.进入表格文件诱饵配置页面，具体配置指导要求如下说明：

名称	内容
名称	设置该表格文件诱饵在控制台上的名称名字，根据特性选择填写即可
文件名字典	文件名字典：是指表格文件诱饵下发至终端的文件名，可以自己设定（如本文设置下发的文件诱饵名称为“公司账号”），也可以点击<引用典型文件名字典>随机生成文件诱饵的名称。

 

 

名称	内容
文件路径字典	设置该表格文件下发至终端的存放路径，可自定义设置（如本文就放置在桌面的“2023年工作”文件夹内），也可以点击<引用典型文件路径字典>有atrust客户端随机选择存在的文件路径；   文件路径的填写有两种模式，如下： 客户写相对路径，如下图中将文件诱饵存放在桌面的“2023年工作”文件夹，通过相对路径编写就是：${desktop}\2023年工作； 如果不会写相对路径，也可以写绝对路径，比如：C:\Users\sangfor\Desktop\2023年工作，但绝对路径有个缺点就是如果客户的电脑用户不清楚，就可能会存在写错的问题。比如每个终端的命令可能会存在user/sangfor/cx此类的，该场景适合于公司统一派发的电脑，电脑用户名是确定的。

名称	内容
诱饵地址	诱饵地址是用于填充表格文件诱饵内的地址信息，需要填写对应的名称和地址，地址建议选择“从现有引流规则中自动生成诱饵地址”，从引流地址中选择更具真实性的同时，可让攻击者发起请求就能被蜜罐获取攻击者的信息，提高中奖概率。
名称	给不同的引流诱饵地址填写对应的名称，建议名称要具备诱惑性，即填写存在的真实名称。

 

步骤3.完成表格文件诱饵里面的账号字典和密码字典的配置，账号和密码要具备一定的真实性，

名称	内容
账号字典	账号字典填写的内容会写入表格文件诱饵内，支持两种模式，分别是使用atrust的用户和使用自定义用户名字典，推荐使用自定义用户名字典。通过手动配置根据真实性，比如配置root、admin、sysadmin等。
密码字典	密码字典填写的内容同样会写入表格文件诱饵内，支持自定义设置。填写时为更具真实性可自定义密码，如qazwsx#EDC、Qwer@123、12345678等等，或者选择随机密码下发也可。

 

步骤4.点击<保存>完成表格文件诱饵的配置，如下：

 

诱饵发布

步骤1.前面已经完成表格文件诱饵的配置，接下来就需要将表格文件诱饵进行发布，点击<发布>选择用户和时间，如下：

名称	内容
发布范围	文件诱饵发布可指定用户进行下发，默认选择全部用户，在测试的过程中可选择指定的测试用户即可。
任务开始结束时间	任务开始结束时间，顾名思义就是文件诱饵下发的开始时间和结束时间，在这个时间段内，选中的用户都会在终端接收来自服务端的下发任务，将表格文件诱饵下发给指定的用户和指定的终端路径；   时间模式是14天，可根据实际需求选择扩大或缩小生效时间。

 

步骤2. 点击<确定>即可完成表格文件诱饵的发布，此时发布任务次数会+1（数据为几就代表该表格文件诱饵任务发布了几次）；

步骤3. 点击[诱饵发布任务]即可查看到发布的诱饵下发终端的进度是怎样的，是否满足诱饵下发的目标：如下图显示有1个终端，已经下发了该文件诱饵至终端。

 

终端查看下发的文件诱饵

步骤1.用户“chenxin01”使用atrust客户端登录零信任设备；

 

步骤2.用户登录后等待20s~90s的时间，即可通过everthing工具查找到表格诱饵文件，即搜索文件名称“公司账号”即可查找到，如下：

步骤3.用户“chenxin01”在终端打开此文件，可查看到下发的诱饵信息，如下图：

 

文本文件诱饵

表格文件诱饵是以文本的形式将模拟的内网地址、对应的系统名称、账号和密码等信息，下发至用户终端的指定路径，以便提高诱惑性。

文本格式默认为.txt和.md，若同时勾选则随机选择下发。

 

配置指导

步骤1.管理员登录atrust控制台，先在【蜜罐管理】开启蜜罐后，再进入[主动防御/威胁诱捕/终端诱饵]-选择[文件诱饵]，点击<新增>，选择表格文件诱饵，如下：

步骤2. 进入表格文件诱饵配置页面，具体配置指导要求如下说明：

名称	内容
名称	设置该表格文件诱饵在控制台上的名称名字，根据特性选择填写即可
文件名字典	文件名字典：是指文本文件诱饵下发至终端的文件名，可以自己设定（如本文设置下发的文件诱饵名称为“公司账号”），也可以点击<引用典型文件名字典>随机生成文件诱饵的名称。

名称	内容
文件路径字典	设置该表格文件下发至终端的存放路径，可自定义设置（如本文就放置在桌面的“2023年工作”文件夹内），也可以点击<引用典型文件路径字典>有atrust客户端随机选择存在的文件路径；   文件路径的填写有两种模式，如下： 客户写相对路径，如下图中将文件诱饵存放在桌面的“2023年工作”文件夹，通过相对路径编写就是：${document}\备忘录； 如果不会写相对路径，也可以写绝对路径，比如：C:\Users\sangfor\document\备忘录，但绝对路径有个缺点就是如果客户的电脑用户不清楚，就可能会存在写错的问题。比如每个终端的命令可能会存在user/sangfor/cx此类的，该场景适合于公司统一派发的电脑，电脑用户名是确定的。

 

名称	内容
文件内容	文件内容是用于填充文本文件诱饵内的地址、账号、密码登信息，需要填写对应的名称和地址； 文本内容建议选择“从现有引流规则中自动生成文件内容”，从引流地址中选择更具真实性的同时，可让攻击者发起请求就能被蜜罐获取攻击者的信息，提高中奖概率。
设置自定义账号字典	账号字典填写的内容会写入表格文件诱饵内，支持两种模式，分别是使用atrust的用户和使用自定义用户名字典，推荐使用自定义用户名字典。通过手动配置根据真实性，比如配置root、admin、sysadmin等。
设置自定义密码字典	密码字典填写的内容同样会写入表格文件诱饵内，支持自定义设置。填写时为更具真实性可自定义密码，如qazwsx#EDC、Qwer@123、12345678等等，或者选择随机密码下发也可。

文件内容选择<从现有引流规则中自动生成文件内容>，并按照指引完成配置，如下：

点击<生成>即可生成指定的文本内容，如下：

步骤3.点击<保存>完成文本文件诱饵的配置，如下：

 

诱饵发布

步骤1.前面已经完成文本文件诱饵的配置，接下来就需要将文本文件诱饵进行发布，点击<发布>选择用户和时间，如下：

名称	内容
发布范围	文件诱饵发布可指定用户进行下发，默认选择全部用户，在测试的过程中可选择指定的测试用户即可。
任务开始结束时间	任务开始结束时间，顾名思义就是文件诱饵下发的开始时间和结束时间，在这个时间段内，选中的用户都会在终端接收来自服务端的下发任务，将文本文件诱饵下发给指定的用户和指定的终端路径；   时间模式是14天，可根据实际需求选择扩大或缩小生效时间。

步骤2.点击<确定>即可完成文本文件诱饵的发布，此时发布任务次数会+1（数据为几就代表该文本文件诱饵任务发布了几次）；

步骤3.点击[诱饵发布任务]即可查看到发布的诱饵下发终端的进度是怎样的，是否满足诱饵下发的目标：如下图显示有1个终端，已经下发了该文件诱饵至终端。

 

终端查看下发的文件诱饵

步骤1.用户“chenxin”使用atrust客户端登录零信任设备；

步骤2.用户登录后等待20s~90s的时间，即可通过everthing工具查找到表格诱饵文件，即搜索文件名称“账号备忘录”即可查找到，如下：

步骤3.用户“chenxin01”在终端打开此文件，可查看到下发的诱饵信息，如下图：

 

浏览器诱饵

浏览器诱饵演示场景说明

xx客户表示：【应用诱饵】和【文件诱饵】已经发布了相关的应用地址和引流地址、文件诱饵等。

但是应用诱饵的隐藏度和真实度觉得还差点火候，同时文件诱饵有的时候攻击者无法找到，且文件诱饵有些时候造假比较明显。

客户希望能通过控制中心下发浏览器诱饵，浏览器诱饵配合着前面的应用诱饵和文件诱饵更具有真实性。攻击者获取到用户终端的权限后，往往会从浏览器上直接拿内网的应用地址，因为浏览器上的历史痕迹最能说明用户的访问习惯；

故通过浏览器诱饵，同时配合【应用诱饵】的引流地址信息和账号&密码信息下发给默认浏览器，以此来提高诱饵的真实度。

 

浏览器诱饵视角展示说明

（一）管理员视角

在控制中心控制台，进入浏览器诱饵配置页面，根据客户分配的地址段，将https://172.31.2.215作为引流地址，同时将该地址以浏览器诱饵的形式下发给用户的默认浏览器。

 

（二）用户视角

用户“chenxin”登录零信任atrust后，atrust客户端会通过控制中心下发的任务将浏览器诱饵写入默认浏览器内，此时用户“chenxin”进入默认浏览器的密码管理器即可查看到下发的浏览器诱饵。

 

浏览器诱饵

发布浏览器诱饵：作为管理员希望能在用户终端的默认浏览器保存写入应用诱饵引流地址的账号密码，提高诱饵的真实性。

 

配置指导

浏览器诱饵配置前，需要先在蜜罐管理开启http、https蜜罐，并在应用诱饵里面配置引流地址，如下步骤1~步骤2。

步骤1.管理员登录atrust控制台，进入[主动防御/威胁诱捕/蜜罐管理]启用HTTPS蜜罐，如下：

步骤2.进入[主动防御/威胁诱捕/应用诱饵]-新建应用诱饵，服务器和引流地址，填写172.31.2.215和443端口，如下：

点击<保存>后即可查看到如下配置信息：

步骤3.进入[主动防御/威胁诱捕/终端诱饵]-选择[浏览器诱饵]，点击<新增>，新建浏览器诱饵：

步骤4.进入浏览器诱饵配置页面，按照配置页面的指引完成配置：

名称	内容
诱饵地址	诱饵地址是下发至默认浏览器密码管理器上的地址信息： 建议使用引流规则内的地址自动生成诱饵地址； 若管理员清楚知道引流规则内的地址，也可以管理员自定义地址和路径。

 

点击<生成>按钮，接口查看到诱饵地址已经生成，即https://172.31.2.215/login

步骤5.完成账号和密码的配置，为步骤4生成的诱饵地址配置账号密码信息，共同下发给客户端写入默认浏览器的密码管理器；

名称	内容
账号字典	账号字典填写的内容会写入表格文件诱饵内，支持两种模式： 使用atrust的用户：atrust用户登录后，回见atrust的用户名写入浏览器的密码管理器内，做为浏览器诱饵的账号信息； //如atrust用户“chenxin”登录后，客户端会将“chenxin”作为账号写入浏览器诱饵https://172.31.2.215/login的账号信息。   使用自定义用户名字典：推荐使用自定义用户名字典。通过手动配置根据真实性，比如配置root、admin、sysadmin等。
密码字典	密码字典填写的内容同样会写入表格文件诱饵内，支持自定义设置。填写时为更具真实性可自定义密码，如qazwsx#EDC、Qwer@123、12345678等等，或者选择随机密码下发也可。

步骤6.点击<保存>完成配置，如下：

 

 

诱饵发布

步骤1.前面已经完成浏览器诱饵的配置，接下来就需要将浏览器诱饵进行发布，点击<发布>选择用户和时间，如下：

名称	内容
发布范围	文件诱饵发布可指定用户进行下发，默认选择全部用户，在测试的过程中可选择指定的测试用户即可。
任务开始结束时间	任务开始结束时间，顾名思义就是文件诱饵下发的开始时间和结束时间，在这个时间段内，选中的用户都会在终端接收来自服务端的下发任务，将文本文件诱饵下发给指定的用户和指定的终端路径；   时间模式是14天，可根据实际需求选择扩大或缩小生效时间。

步骤2. 点击<确定>即可完成文本文件诱饵的发布，此时发布任务次数会+1（数据为几就代表该文本文件诱饵任务发布了几次）；

步骤3. 点击[诱饵发布任务]即可查看到发布的诱饵下发终端的进度是怎样的，是否满足诱饵下发的目标：如下图显示有1个终端，已经下发了该文件诱饵至终端。

 

***浏览器诱饵注意事项

1. 若用户已经登录了atrust客户端，那么要想确保浏览器诱饵下发成功，则需要先将atrust客户端完全退出，或重启电脑后才能写入成功；
2. 浏览器诱饵的下发，要求atrust客户端先启动，等待20s~90s后再打开默认浏览器后启动（即浏览器诱饵下发的过程中，atrust客户端要先启动或登录后，再打开浏览器才能写入诱饵成功）； --->最好的方式就是重启电脑
3. 当前浏览器诱饵只支持windows端，其他操作系统端暂不支持；
4. 浏览器诱饵强依赖于atrust客户端，需要安装atrust客户端才可支持将浏览器诱饵写入浏览器，不支持纯WEB下发；
5. 浏览器诱饵的信息，只会下发给默认浏览器（只是将配置信息插入至默认浏览器的“密码管理工具”页面，但其他浏览器访问浏览器诱饵，也会触发蜜獾流程 -->丢弃或记录）
6. 浏览器开启使用的场景下，就算使用atrust客户端完全退出后在登录，也无法将诱饵写入浏览器。这是因为浏览器开启时，浏览器数据库是独占无法写入；
7. 浏览器诱饵当前仅支持 Chrome、Edge（Chrome内核）、360、QQ浏览器 

 

 

终端浏览器查看下的诱饵

在进行该章节的操作前，请先阅读浏览器诱饵注意事项再进行操作。

步骤1.前置条件：先在终端PC电脑将电脑上的浏览器和atrust客户端完全退出；

步骤2.先打开atrust客户端，登录用户“chenxin”上线零信任设备；

步骤3.用户登录零信任后等待20s~90s的时间，再打开默认浏览器（如：chrome浏览器），进入浏览器的密码管理器，查看是否下发成功，如下图：

步骤4.点击上图的地址即可打开下发诱饵地址的详细信息，包括账号密码登，都可以看到。