前言
Kippo是一个中等交互的SSH蜜罐,提供了一个可供攻击者操作的shell,攻击者可以通过SSH登录蜜罐,并做一些常见的命令操作。
当攻击者拿下一台服务器的权限后,很可能会进行小范围的端口探测或者批量的端口扫描,以便横向扩展,获取更多服务器的控制权,因此部署内网SSH蜜罐,把攻击者引诱到蜜罐里来,触发实时告警,即可让安全人员及时知道已经有攻击者渗透内网、知道哪台服务器已被控制、以及攻击者在蜜罐上做了哪些操作。
安装以及使用
公有云上的 CentOS 7 x86_64(非 OpenVZ),双核,2 GB 内存,SELinux 不开启
$ sudo yum install libffi libffi-devel gcc git -y
$ sudo yum install python-devel openssl openssl-devel -y
$ sudo yum install python-twisted-core python-setuptools python-virtualenv -y
$ sudo easy_install pycrypto pyasn1
$ sudo easy_install pip
$ pip install cryptography
$ sudo pip install twisted==15.2.0
$ sudo pip install service_identity
修改真实 ssh 端口后设置 Firewalld
$ sudo vim /etc/ssh/sshd_config # 修改 Port 为 22
$ sudo firewall-cmd --add-port=22/tcp --permanent
$ sudo firewall-cmd --add-port=2222/tcp --permanent
$ sudo firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toport=2222:addr={你的服务器ip}
$ sudo firewall-cmd --reload
创建用户 & 克隆项目
$ sudo useradd kippo
$ sudo su kippo
$ cd ~
$ git clone
$ cd kippo
启动 Kippo
$ cp kippo.cfg.dist kippo.cfg
$ ./start.sh
data:存放ssh key,lastlog.txt和userdb.txt lastlog.txt:last命令的输出,即存储了登陆蜜罐的信息,也可以伪造 userdb.txt:可以登陆的用户,可以给一个用户设置多个密码,一个用户一行 格式为username:uid:passwor
kippo: 核心文件,模拟一些交互式的命令等。
dl: wget等等下载的文件存放的地方
utils: convert32.py:把tty的日志转换为标准32位的小数格式,其实直接strings查看就可以了 createfs.py:可以用来模拟真实系统的一些文件目录之类的。
在运行一段时间之后,kippo 软件包的log 目录下就存储了大量的log 文件,记录了kippo蜜罐所捕获的每次SSH 口令猜测和进一步控制命令记录,在log/tty 路径下,则记录了攻击者成功猜测kippo 配置的用户名和口令后,登录进伪装的SSH 服务之后所进行的攻击命令会话过程。利用utils 目录下的playlog.py 工具,就可以按照捕获攻击命令的时间点逼真地恢复出当时的攻击会话场景。而在dl 目录下,则记录了攻击者在kippo 中通过wget 或curl 等命令所下载的攻击工具文件,可供分析人员进一步对这些工具进行分析。
Kippo蜜罐的定制与日志汇总
在Kippo 的data 目录下的userdb.txt 中可以定制Kippo 蜜罐模拟SSH 服务的用户名和口令,攻击者如果使用passwd 修改了口令之后,也会被自动地添加于此,他之后的连接尝试也会立即进入蜜罐之中。
Kippo 蜜罐所模拟的文件系统也可以利用utils 目录下的createfs.py 脚本工具,在一台你所希望模拟文件系统列表的主机上进行运行,生成一个定制的文件系统目录列表,保存于fs.pickle文件中。而文件系统中的文件内容,则可以拷贝至honeyfs 目录中,在攻击者通过Kippo 请求这些文件时,就会读取到这些文件内容。
Kippo 蜜罐的捕获日志除了保存在本地log 目录之外,还可以通过Kippo 源码目录下的dblog/mysql.py 导入到MySQL 数据库中,以供分析人员进一步分析。
原文始发于微信公众号(白帽子):在CentOS 7上搭建Kippo蜜罐
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论