网络安全蓝队之蜜罐篇

admin 2022年10月26日09:05:23评论94 views字数 5808阅读19分21秒阅读模式

蓝队攻击之蜜罐篇

什么是蜜罐?

简单来说,蜜罐是一种计算机系统或应用程序,旨在吸引恶意代理试图通过使用垃圾邮件、网络钓鱼、DDoS 或其他恶意方法攻击计算机网络。

一旦攻击者落入这个陷阱,蜜罐允许管理员获取有关攻击者类型、他正在尝试的活动的有价值数据,并且在许多情况下,甚至可以识别攻击者。

所有蜜罐的主要目标是识别针对不同类型软件的新兴攻击,并收集报告以分析和生成情报数据——这些数据随后将用于创建针对网络威胁的预防技术。

有两种不同类型的蜜罐:

  • • 研究蜜罐:这种类型的陷阱被在大学、学院、学校和其他相关协会等机构工作的开发人员、系统管理员和蓝队经理使用。

  • • 生产蜜罐:私人和公共机构、公司和公司使用它来调查寻求攻击 Internet 网络的黑客的行为和技术。

本质上,蜜罐可以让您获得有价值的数据,以便您可以使用不同的攻击面减少策略。

蜜罐是如何起作用的?

如前所述,蜜罐是一个陷阱系统。这些陷阱系统通常设置在连接到网络的虚拟机或云服务器中,但由系统和网络团队隔离并严格监控。为了帮助他们被坏人注意到,蜜罐被设计成故意易受攻击,攻击者将检测并尝试利用这些弱点。

这些弱点可能是应用程序内部安全漏洞的一部分,也可能是系统漏洞,例如不必要的开放端口、过时的软件版本、弱密码或未打补丁的旧内核。

一旦攻击者找到他的易受攻击的目标,他将尝试发起攻击并提升权限,直到他能够获得对盒子或应用程序的一定控制权。

他们中的大多数人不知道的是,蜜罐管理员正在仔细观察他们的每一步,从攻击者那里收集数据,这些数据实际上有助于强化当前的安全策略。管理员还可以立即将事件报告给法律机构,这在高端企业网络中经常发生。

大多数蜜罐充当陷阱,分散攻击者对实际网络上托管的关键数据的注意力。另一个共同点是,几乎所有与蜜罐的连接尝试都可以被视为恶意,因为几乎没有(如果有的话)可能促使合法用户连接这些类型的系统的原因。

在配置蜜罐时,您必须了解您希望暴露给攻击者的黑客难度级别。如果它太容易破解,他们可能会失去兴趣,甚至意识到他们不是在处理真正的生产系统。

另一方面,如果系统过于坚固,您实际上会阻止任何攻击并且将无法收集任何数据。因此,就难度而言,用介于简单和困难之间的东西来引诱攻击者是模拟真实系统的最佳选择。

攻击者能否检测到他是否在蜜罐内?当然。具有高水平技术知识的高级用户能够识别他们正在进入蜜罐空间的一些迹象。

即使是非技术用户也可以使用自动蜜罐检测器(例如 Shodan 的Honeyscore )检测蜜罐,它使您能够识别蜜罐 IP 地址。

蜜罐示例

一些系统工程师倾向于根据他们试图保护或暴露的目标软件对蜜罐进行分类。因此,虽然蜜罐列表可能很广泛,但我们在这里列出了一些最受欢迎的蜜罐:

  • • 垃圾邮件蜜罐:也称为垃圾邮件陷阱,此蜜罐专门用于在垃圾邮件发送者到达合法邮箱之前将其捕获。这些通常具有开放的中继以受到攻击,并与 RBL 列表密切合作以阻止恶意流量。

  • • 恶意软件蜜罐:创建这种类型的蜜罐是为了模拟易受攻击的应用程序、API 和系统,以获取恶意软件攻击。然后收集的数据稍后将用于恶意软件模式侦察,以帮助创建有效的恶意软件检测器。

  • • 数据库蜜罐:数据库是 Web 攻击者的常见目标,通过设置数据库蜜罐,您可以观察和学习不同的攻击技术,例如 SQL 注入、特权滥用、SQL 服务利用等。

  • • 蜘蛛蜜罐:这种蜜罐通过创建虚假网页和链接来工作,这些网页和链接只能由网络爬虫访问,而不能由人类访问。一旦爬虫访问蜜罐,就会检测到它及其标头以供以后分析,通常有助于阻止恶意机器人和广告网络爬虫。

蜜罐的数量与运行的软件类型一样多,因此创建一个明确的列表将非常困难。在此列表中,我们列出了一些最受欢迎的蜜罐工具,根据我们自己的经验,这些工具是所有蓝色和紫色团队的必备工具。

SSH 蜜罐

  • • Kippo:这个用 Python 编写的 SSH 蜜罐旨在检测和记录暴力攻击,最重要的是,记录攻击者执行的完整 shell 历史记录。它适用于大多数现代 Linux 发行版,并提供 cli 命令管理和配置,以及基于 Web 的界面。Kippo 提供了一个虚假文件系统和向攻击者提供虚假内容(例如用户密码文件等)的能力,以及一个名为 Kippo Graph 的强大统计系统。

  • • Cowrite:这种中等交互的 SSH 蜜罐通过模拟 shell 工作。它提供了一个基于 Debian 5.0 的假文件系统,让您可以随意添加和删除文件。此应用程序还将所有下载和上传的文件保存在一个安全和隔离的区域,以便您可以在需要时执行以后的分析。除了 SSH 模拟 shell,它还可以用作 SSH 和 Telnet 代理,并允许您将 SMTP 连接转发到另一个 SMTP 蜜罐。

HTTP 蜜罐

  • • Glastopf:这个基于 HTTP 的蜜罐可让您有效地检测 Web 应用程序攻击。Glastopf 用 Python 编写,可以模拟多种类型的漏洞,包括本地和远程文件插入以及 SQL 注入 (SQLi) 以及使用带有 HPFeeds 的集中式日志记录系统。

  • • Nodepot:这个 Web 应用蜜罐专注于 Node.js,甚至可以让您在 Raspberry Pi / Cubietruck 等有限的硬件中运行它。如果您正在运行 Node.js 应用程序并希望获取有关传入攻击的有价值信息并发现您的脆弱性,那么这是与您最相关的蜜罐之一。在大多数现代 Linux 发行版上可用,运行它仅取决于几个要求。

  • • Google Hack Honeypot:通常被称为 GHH,这个蜜罐模拟了一个易受攻击的网络应用程序,该应用程序可以被网络爬虫索引,但仍然隐藏在直接浏览器请求中。用于此目的的透明链接可减少误报并防止蜜罐被检测到。这使您可以针对广受欢迎的Google dorks测试您的应用程序。GHH 提供了一个简单的配置文件,以及一些不错的日志记录功能,用于获取关键的攻击者信息,例如 IP、用户代理和其他标头详细信息。

WordPress 蜜罐

  • • 强大的蜜罐:这是与 Wordpress 一起使用的最受欢迎的蜜罐之一。它对人类来说实际上是看不见的。只有机器人会落入它的陷阱,所以一旦自动攻击进入你的形式,它就会被有效地检测和避免。这是一种保护 Wordpress 免受垃圾邮件攻击的非侵入式方法。方便的是,它不需要任何配置。只需激活插件,它就会添加到您在 Wordpress 中使用的所有表单中,包括免费版和专业版。

  • • 坏机器人的黑洞:创建这个是为了避免自动机器人从您的站点基础架构中使用不必要的带宽和其他服务器资源。通过设置此插件,您可以检测和阻止恶意机器人,从自动恶意软件攻击到垃圾邮件和多种类型的广告软件攻击。这个 Wordpress 蜜罐通过在所有页面的页脚添加隐藏链接来工作。这样它就不会被人类检测到,并且只捕获不遵循 robots.txt 规则的坏机器人。一旦发现恶意机器人,它将被阻止访问您的网站。

  • • Wordpot:这是可以用来增强Wordpress 安全性的最有效的 Wordpress 蜜罐之一。它可以帮助您检测用于对 wordpress 安装进行指纹识别的插件、主题和其他常见文件的恶意标志。用 Python 编写,易于安装,可以从命令行流畅地处理,并包含一个 wordpot.conf 文件,用于轻松配置蜜罐。它还允许您安装自定义 Wordpot 插件,以便模拟流行的 Wordpress 漏洞。

数据库蜜罐

  • • ElasticHoney:随着 Elasticsearch 在野外被频繁利用,投资专门为此类数据库创建的蜜罐绝不是一个坏主意。这是一个简单而有效的蜜罐,可让您捕获试图利用 RCE 漏洞的恶意请求。它的工作原理是在/, /_search和 /_nodes 等几个流行端点上接收攻击请求,然后响应提供与易受攻击的 Elasticsearch 实例相同的 JSON 响应。所有日志都保存在一个名为 elastichoney.log 的文件中。关于它的最好的事情之一是这个蜜罐工具可用于 Windows 和 Linux 操作系统。

  • • HoneyMy sql:创建这个简单的 MySQL 蜜罐是为了保护基于 SQL 的数据库。它是用 Python 编写的,适用于大多数平台,并且可以通过克隆其 GitHub 存储库轻松安装。

  • • MongoDB- HoneyProxy:最受欢迎的 MongoDB 蜜罐之一,这是一个专门的蜜罐代理,可以运行并将所有恶意流量记录到第 3 方 MongoDB 服务器中。需要 Node.js、npm、GCC、g++ 和 MongoDB 服务器才能让这个 MongoDB 蜜罐正常工作。它可以在 Docker 容器或任何其他 VM 环境中运行。

电子邮件蜜罐

  • • Honeymail:如果您正在寻找阻止基于 SMTP 的攻击的方法,这是完美的解决方案。这个用 Golang 编写的电子邮件蜜罐可以让您设置许多功能来检测和防止对您的 SMTP 服务器的攻击。其主要功能包括:配置自定义响应消息、启用 StartSSL/TLS 加密、将电子邮件存储在 BoltDB 文件中以及提取攻击者信息,例如源域、国家、附件和电子邮件部分(HTML 或 TXT)。它还提供简单而强大的 DDoS 保护,防止大量连接。

  • • Mailoney:这是一个用 Python 编写的很棒的电子邮件蜜罐。它可以在不同的模式下运行,例如 open_relay(记录所有尝试发送的电子邮件)、postfix_creds(用于记录登录尝试的凭据)和 schizo_open_relay(允许您记录所有内容)。

  • • SpamHAT:此陷阱旨在捕获和防止垃圾邮件攻击您的任何邮箱。要使其正常工作,请确保您安装了 Perl 5.10 或更高版本,以及一些 CPAN 模块,例如 IO::Socket、Mail::MboxParser、LWP::Simple、LWP::UserAgent、DBD::mysql、Digest::MD5::File,以及一个正在运行的 MySQL 服务器和一个名为“spampot”的数据库。

物联网蜜罐

  • • HoneyThing:为启用 TR-069 的服务互联网而创建,此蜜罐通过充当运行 RomPager Web 服务器并支持 TR-069 (CWMP) 协议的完整调制解调器/路由器来工作。这个物联网蜜罐能够模拟 Rom-0、Misfortune Cookie、RomPager 等的流行漏洞。它提供对 TR-069 协议的支持,包括其大多数流行的 CPE 命令,例如 GetRPCMethods、Get/Set parameter values、Download 等。与其他蜜罐不同,该蜜罐提供了一个简单而精致的基于 Web 的界面。最后,所有关键数据都记录在一个名为 honeything.log 的文件中

  • • Kako:默认配置将运行许多服务模拟,以便从所有传入请求中捕获攻击信息,包括整个请求。它包括 Telnet、HTTP 和 HTTPS 服务器。Kako 需要以下 Python 包才能正常工作:Click、Boto3、Requests 和 Cerberus。一旦你掌握了所需的包,你就可以使用一个名为 kako.yaml 的简单 YAML 文件来配置这个 IOT 蜜罐。所有数据都被记录并导出为 AWS SNS 和平面文件 JSON 格式。

其他类型的蜜罐

  • • Dionaea:这个用 C 和 Python 编写的低交互蜜罐使用 Libemu 库来模拟 Intel x86 指令的执行并检测 shellcode。此外,我们可以说它是一个多协议蜜罐,提供对 FTP、HTTP、Memcache、MSSQL、MySQL、SMB、TFTP 等协议的支持。它的日志功能提供与 Fail2Ban、hpfeeds、log_json 和 log_sqlite 的兼容性。

  • • Miniprint:打印机是计算机网络中最容易被忽视的设备之一,当您需要检测和收集基于打印机的攻击时,Miniprint 是您的完美盟友。它的工作原理是使用虚拟文件系统将打印机暴露在互联网上,攻击者可以在其中读取和写入模拟数据。Miniprint 提供了一种非常深入的日志记录机制,并将任何 postscript 或纯文本打印作业保存在上传目录中以供以后分析。

  • • Honeypot-ftp:这个 FTP 蜜罐用 Python 编写,完全支持普通 FTP 和 FTPS,因此您可以深入跟踪非法登录尝试中使用的用户和密码凭据,以及每个 FTP/FTPS 会话的上传文件。

  • • HoneyNTP:NTP 是 Internet 上最容易被忽视的协议之一,这就是为什么运行 NTP Honeypot 是个好主意。这是一个 Python 模拟的 NTP 服务器,可以在 Windows 和 Linux 操作系统上顺利运行。它通过将所有 NTP 包和端口号记录到 Redis 数据库中来工作,以便您可以执行以后的分析。

  • • Thug:Thug 本身不是蜜罐,而是蜜糖客户端。正如蜜罐技术可以研究服务器端攻击一样,honeyclients 也承担客户端攻击。作为蜜罐的补充,Thug 是一种低交互蜜客户端工具,旨在模仿 Web 浏览器的行为来分析可疑链接并确定它们是否包含恶意组件。

  • • Canarytokens:Canarytokens 是一种用于模拟网络错误的蜜币工具,透明图像通过在网页的图像标签中嵌入唯一的 URL 并监控 GET 请求来跟踪某人何时打开电子邮件。Canarytokens 做同样的事情,但用于文件读取、数据库查询、流程执行、日志文件中的模式等等。它允许您在系统中设置陷阱,而不是设置单独的蜜罐。换句话说,攻击者通过“绊倒”令牌来宣布自己已经破坏了您的系统。

额外提示:不要忘记测试MHN,它实际上不是蜜罐,而是用于管理和蜜罐数据收集的集中式服务器。它包括我们这里提到的很多蜜罐,例如 Glastopf、Dionaea、Cowrie 等。

同样重要的是:请记住,如果您在实时基础设施中设置蜜罐,您将面临高水平的传入攻击——这就是蜜罐的本质。你会玩火的。这不是我们第一次听说有人在他们的生产服务器上安装了蜜罐然后被黑客入侵,因为聪明的坏人能够欺骗并隐藏在合法的网络流量后面。

总结

今天,我们已经了解了蜜罐是什么,各种蜜罐的工作原理,以及您可以在网络安全措施中使用的前 20 个蜜罐来对抗恶意攻击者。

对于新玩家来说,安装和配置任何这些蜜罐工具都是一件容易的事,只要记住在与生产系统分开的测试网络中进行,至少在您的第一次测试中,直到您知道自己在做什么。

您准备好防止更多的网络威胁了吗?立即探索您的攻击面,并在坏人之前发现您暴露了多少信息。

码字不易喜欢给个关注~~~~

网络安全蓝队之蜜罐篇

原文始发于微信公众号(威胁情报捕获与分析):网络安全蓝队之蜜罐篇

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月26日09:05:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全蓝队之蜜罐篇http://cn-sec.com/archives/1372192.html

发表评论

匿名网友 填写信息