HoneyBee – レッドチーム検証のための誤設定アプリ生成ツール

HoneyBeeは、大規模言語モデルを活用して意図的に誤設定されたアプリケーションのデプロイメントを生成することで、レッドチーム用ラボの構築を加速します。このツールはDockerfile、Docker Composeマニフェスト、Nuclei検出テンプレート、READMEガイダンスを出力し、オペレーターがJenkins、Jupyter Notebook、Grafanaなどの現実的な脆弱インスタンスを迅速に立ち上げることを可能にします。これにより、各環境を一から手作業で作成することなく、エクスプロイトチェーンのリハーサル、検出ロジックの検証、再現可能なプレイブックの作成が実用的になります。

なぜHoneyBeeがレッドチームに重要なのか

実際の誤設定を再現するには時間がかかります。HoneyBeeはセットアップフェーズを数分に短縮し、攻撃チームがエクスプロイトプレイブックを繰り返し試したり、ジュニアオペレーターを訓練したり、モニタリングのカバレッジを検証したりできるようにします。パープルチームのワークフロー向けには、HoneyBeeはディフェンダーがルールやシグネチャをテストできるNucleiテンプレートも生成します。このツールを使って、複数の小さな設定ミスが連鎖して攻撃経路となるような誤設定チェーン攻撃をモデル化できます。

主な機能

• 誤設定ジェネレーターは、選択したアプリケーションと誤設定シナリオに合わせたDockerfileおよびDocker Composeマニフェストを生成します。
• 検出テンプレートジェネレーターは、誤設定を再現するNucleiテンプレートを出力し、検出検証や自動スキャンに利用できます。
• ワンクリックデプロイ対応のStreamlit UI。ブラウザ上のインターフェースでオプションを選択し、生成されたComposeをローカルにデプロイして即座にテストできます。
• LLM駆動のREADMEとテンプレートは、設定可能なプロンプトを用いて生成成果物内に人間が読める手順やコメントを作成します。
• 拡張性 テンプレートや誤設定定義を追加・修正して、組織固有の演習に対応可能です。

インストール

HoneyBeeはオペレーター向けのクイックインストールと、編集可能な開発者インストールを提供します。これらのコマンドはプロジェクトREADMEからの抜粋です。

要件: Python 3.10以上、およびLLM生成用のOpenAI APIキー。Docker ComposeやJinaなどのオプション統合には、それぞれのインストールとトークンが必要です。詳細はプロジェクトREADMEを参照してください。

使い方

HoneyBeeのStreamlitサーバーを起動し、表示されたローカルホストURLを開きます。UIでは厳選されたアプリケーションと誤設定のリスト、生成コントロール、デプロイボタンが利用できます。

注意: プロジェクトREADMEにはCLIヘルプの全出力は含まれていません。インストールしたバージョンで利用可能なCLIオプションを確認するには、インストール後にhoneybee --helpをローカルで実行してください。

HoneyBeeの仕組み

アプリケーションと誤設定プロファイルを選択するか、カスタムプロンプトを作成します。HoneyBeeは選択内容を構造化プロンプトに整形し、設定された大規模言語モデルに送信します。モデルはテンプレート化された成果物（Dockerfile、Docker-Compose YAML、Nucleiテンプレート）を返します。Streamlitフロントエンドはこれらの成果物を表示し、Docker Composeを使ってローカル環境をテストホスト上に展開するデプロイアクションを提供します。生成されたREADMEや検出テンプレートは、報告やディフェンダー検証用の再現可能な成果物として意図されています。

攻撃シナリオ（認可されたレッドチーム演習のみ）

コンテキスト = 匿名アクセスと弱い管理者パスワードが設定された公開Jenkinsインスタンスを再現する。

• 生成 HoneyBeeを使って、匿名APIエンドポイントとデフォルトの弱いパスワードを持つJenkins Docker Composeを作成します。
• デプロイ 環境をローカルで起動し、管理コンソールが公開ポートで到達可能であることを確認します。
• 列挙 自動スキャンおよび生成されたNucleiテンプレートを使って、検出ルールが発動するか、認証不要なAPIエンドポイントが存在するかを検証します。
• エクスプロイト 匿名エンドポイントでジョブ作成やスクリプト実行が可能な場合、影響を示すためにファイルを書き込む、または安全な外部リクエストを行う無害なジョブを実行し、元に戻せるようにします。
• ドキュメント 生成された成果物と対応策をクライアントレポート用に記録します。

パープルチームの価値と追加ターゲット

HoneyBeeは、事前構築された脆弱環境やトレーニングターゲットと組み合わせることで、マルチホスト・マルチサービスのシナリオを作成する際に最も効果を発揮します。より高度なターゲットには、Vulhubなどの事前構築された脆弱Dockerコレクションを利用すると、HoneyBeeの単一アプリ誤設定を補完する複雑なマルチコンテナラボが多数提供されています。

よりシンプルなWebアプリ練習には、Darknetが長年維持している意図的に脆弱なWebアプリケーションとガイドのコレクションがあり、HoneyBee展開後のターゲットとして最適です。Darknetの脆弱Webアプリカテゴリを活用してラボのカバレッジを拡張し、HoneyBee展開後に手動エクスプロイト手順を再現してください：Darknetの脆弱Webアプリ。

安全性と運用ガイダンス

• HoneyBeeは必ず隔離されたテストネットワーク、仮想マシン、またはラボホスト上で実行し、本番システムには絶対に使用しないでください。
• 生成された成果物を共有する前に必ずサニタイズしてください。大規模言語モデルはもっともらしいが安全でないデフォルトを提案する場合があります。生成テキスト内に実際のキーや認証情報が含まれていないか必ず削除してください。
• コンテナネットワークの分離、スナップショット、エフェメラル環境を活用し、テストが可逆的かつ閉じた環境で行われるようにしてください。

例

READMEには、空のパスワードフィールドを持つPostgreSQL Docker Composeや、複数の誤設定を示すGrafanaのComposeスニペットなどの出力例が含まれています。これらのサンプルを参考にして、制御された演習を構築してください。デプロイ前には必ず生成されたYAMLを手動で確認しましょう。

まとめ

HoneyBeeは、再現可能な誤設定ラボターゲットを必要とするレッドチームやパープルチームのための実用的な加速ツールです。セットアップ時間を短縮し、報告用のドキュメント化された成果物を作成し、ディフェンダーとの連携を強化する検出テンプレートも生成します。認可されたテストベッドでHoneyBeeを活用し、エクスプロイトプレイブックの検証や、モニタリング・アラートが現実的な誤設定悪用パターンを検知できるか確認しましょう。

詳細やダウンロードはこちら：https://github.com/yaaras/honeybee