终端欺骗
最近更新时间:2025年07月04日 10:15:15
支持向终端下发勒索诱饵、Web 业务诱饵及 RDP 应用诱饵,并在指定目录下自动生成诱饵文件以引诱攻击者进行攻击进而保护真实网络资产,并触发告警。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全防护中心 > 规则运营。
2. 在规则运营页面,选择终端欺骗,单击新建策略。
![]()
3. 在新建终端欺骗策略页面,配置相关参数。
3.1 输入策略名称,并输入策略描述等参数。
![]()
3.2 单击添加适用范围 ,勾选需管控/排除的用户/终端名称,单击确定。
4. 根据实际需求,选择如下终端欺骗策略,单击保存。
针对勒索病毒的诱饵
1. 系统会自动生成勒索诱饵文件到指定目录下,用户对文件有删除修改等行为会自动触发告警.
2. 勾选针对勒索病毒的诱饵,单击![]()
开启勒索欺骗。
![]()
3. 系统自动在盘符根目录下随机生成诱饵文件。
![]()
4. 攻击者对诱饵文件进行删除修改等操作。
5. iOA 系统管理员进入终端安全防护中心 > 威胁告警,在告警统计页面单击终端欺骗,查看告警信息。
![]()
Web 业务诱饵
场景1:系统随机在某盘符下生成密码文件引诱攻击者访问
1. 系统会随机在某个盘符下生成文件夹,其中包含「密码备忘.txt」文件,文件内容包含 URL 以及系统随机生成的账密欺骗信息。
2. 勾选 Web 业务诱饵,单击![]()
开启业务欺骗。
3. 系统自动生成密码文件,攻击者查看密码文件获取系统随机生成的欺骗业务地址密码等信息。
![]()
4. 攻击者使用浏览器访问获取的业务地址。
5. iOA 系统管理员进入终端安全防护中心 >威胁狩猎,条件查询筛选业务欺骗事件,查看攻击者远程 IP 等信息。
6. iOA 系统管理员进入终端安全防护中心 > 威胁告警,在告警统计页面单击终端欺骗,查看告警信息。
场景2:系统自动在 Chrome/Edge 内核浏览器的密码数据库中插入 URL 账号密码引诱攻击
1. 勾选 Web 业务诱饵,单击![]()
开启业务欺骗。
2. 开启业务欺骗后,系统随机在某个盘符下生成密码文件。
3. 在 Chrome 浏览器中,单击密码和自动填充。
说明:
Edge浏览器查看已保存密码的路径请以浏览器官方指定的路径为准。
4. 系统自动在 Chrome/Edge 内核浏览器的密码数据库中插入 URL 链接,账号密码。
5. 攻击者使用浏览器访问获取的业务地址。
6. iOA 系统管理员进入终端安全防护中心 >威胁狩猎,条件查询筛选业务欺骗事件,查看攻击者远程 IP 等信息。
7. iOA 系统管理员进入终端安全防护中心 > 威胁告警,在告警统计页面单击终端欺骗,查看告警信息。
RDP 应用诱饵
场景1:系统随机在某盘符下生成密码文件引诱攻击者访问
1. 系统会随机在某个盘符下生成文件夹,其中包含「密码备忘.txt」文件,文件内容包含 IP 地址(随机生成两个)以及系统随机生成的账密欺骗信息。
2. 勾选 RDP 应用诱饵,单击![]()
开启 RDP 欺骗,单击添加。
3. 系统自动生成 IP 地址,您无需填写 IP 地址信息,输入备注后单击确定。
4. 终端验证。
4.1 系统随机在某个盘符下自动生成密码文件,文件内容包含 IP 地址(随机生成两个)、以及系统随机生成的账户,密码信息。
![]()
4.2 攻击者远程连接服务器,连接失败。
4.3 iOA 系统管理员进入终端安全防护中心 > 威胁狩猎,条件查询筛选 RDP 欺骗事件,查看攻击者远程 IP 等信息。
4.4 iOA 系统管理员进入终端安全防护中心 > 威胁告警,在告警统计页面单击终端欺骗,查看告警信息。
场景2:在 Windows 系统登录凭据中插入 RDP 的 IP、账号、密码引诱攻击
1. 勾选 RDP 应用诱饵,单击![]()
开启 RDP 欺骗,单击添加。
2. 系统自动生成 IP 地址,您无需填写 IP 地址信息,输入备注后单击确定。
3. 系统随机在某个盘符下自动生成密码文件,文件内容包含 IP 地址(随机生成两个)、以及系统随机生成的账户,密码信息。
4. 进入Windows 电脑控制面板 > 用户帐户 > 凭据管理器 > Windows 凭据。
5. 在系统登录凭据中自动插入 RDP 的 IP、账号、密码信息,该IP地址账户密码信息为系统随机生成的欺骗信息。
6. 攻击者远程连接服务器,触发告警。
7. iOA 系统管理员进入终端安全防护中心 >威胁狩猎,条件查询筛选 RDP 欺骗事件,查看攻击者远程 IP 等信息。
8. iOA 系统管理员进入终端安全防护中心 > 威胁告警,在告警统计页面单击终端欺骗,查看告警信息。