蜜罐用户(Honeyuser)
蜜罐用户(Honeyuser) 是什么?
蜜罐用户(Honeyuser)在目录服务和人力资源系统中预先配置的虚假身份,任何登录尝试或枚举行为都会立即暴露攻击者。
蜜罐用户(honeyuser)是一个伪造的人物,通常具备在 Active Directory 或 Entra ID 中的账户、HR 系统记录,有时还包括邮箱,用于检测攻击者的侦察行为和凭据滥用。由于这个身份并不真实存在,任何合法进程或真人都不应以该账户进行登录、枚举其组成员或向其发邮件。蜜罐用户在对抗凭据转储、Kerberoasting、AS-REP roasting 和密码喷洒等攻击时尤其有效。它们常见于 Microsoft Defender for Identity、CrowdStrike Falcon Identity 等 ITDR 产品以及独立欺骗防御平台中。
● 示例
- 01
AD 中的 svc-backup-2 账户使用弱口令,一旦有人登录即触发告警。
- 02
在 HR 系统中标记的蜜罐用户,可发现枚举员工目录的内部人员。
● 常见问题
蜜罐用户(Honeyuser) 是什么?
在目录服务和人力资源系统中预先配置的虚假身份,任何登录尝试或枚举行为都会立即暴露攻击者。 它属于网络安全的 防御与运营 分类。
蜜罐用户(Honeyuser) 是什么意思?
在目录服务和人力资源系统中预先配置的虚假身份,任何登录尝试或枚举行为都会立即暴露攻击者。
蜜罐用户(Honeyuser) 是如何工作的?
蜜罐用户(honeyuser)是一个伪造的人物,通常具备在 Active Directory 或 Entra ID 中的账户、HR 系统记录,有时还包括邮箱,用于检测攻击者的侦察行为和凭据滥用。由于这个身份并不真实存在,任何合法进程或真人都不应以该账户进行登录、枚举其组成员或向其发邮件。蜜罐用户在对抗凭据转储、Kerberoasting、AS-REP roasting 和密码喷洒等攻击时尤其有效。它们常见于 Microsoft Defender for Identity、CrowdStrike Falcon Identity 等 ITDR 产品以及独立欺骗防御平台中。
如何防御 蜜罐用户(Honeyuser)?
针对 蜜罐用户(Honeyuser) 的防御通常结合技术控制与运营实践,详见上方完整定义。
蜜罐用户(Honeyuser) 还有哪些其他名称?
常见的别称包括: 诱饵账户, 蜜罐身份。
● 相关术语
- defense-ops№ 482
蜜罐账号(Honey Account)
以凭据为核心的诱饵账号(通常不构建完整的人物身份),一旦被攻击者尝试使用就触发告警。
- defense-ops№ 293
欺骗防御技术
一种防御方法,在网络、终端、AD 和云中部署诱饵、面包屑和伪造资产,以高保真方式检测、误导并研究攻击者。
- network-security№ 485
蜜罐
故意暴露的诱饵系统或服务,用于吸引攻击者、观察其技战术并将其引离生产资产。
- network-security№ 486
蜜标
嵌入真实系统中的虚假数据(凭据、文件、记录或 API 密钥),没有合法用途,一旦被访问即触发告警。
- attacks№ 583
Kerberoasting
一种针对服务账户的离线口令破解攻击:申请 Kerberos 服务票据并对其加密部分进行离线破解,以还原明文密码。
● 参见
- № 483蜜罐文件