CVE-2024-3094 一个带有XZ后门的SSH蜜罐

admin
admin
admin
138858
文章
114
评论
2024年4月2日08:17:32评论88 views字数 927阅读3分5秒阅读模式

CVE-2024-3094 一个带有XZ后门的SSH蜜罐

什么是「xz-vulnerable-honeypot」?
「xz-vulnerable-honeypot」是一个基于 SSH 的蜜罐,具有名为 XZ 的后门漏洞(CVE-2024-3094)。
CVE-2024-3094 一个带有XZ后门的SSH蜜罐

详细介绍

安装

注意:请在单独的隔离系统上运行此程序。Docker 不是用于隔离的,而是为了让库文件正常运行。
该程序的 BPF 钩子会打印出每次的 execve 调用,包括容器外的调用。
只需运行以下命令:
docker compose up
日志存储在 ./logs/ 目录下。当前的监控包括使用 BPFtrace 监控 execve 系统调用,其中父进程是 'sshd';使用 strace 监控父 SSHD 进程上的 execve 系统调用;使用 tcpdump 记录一个 pcap(待办事项:轮换记录)以及 SSHD 记录其常规输出(待办事项:修补某些内容以记录 RSA 密钥)。

配置

docker-compose.yml 中更改暴露的端口以更改 SSHD 监听的端口。

用途

「xz-vulnerable-honeypot」的主要用途是模拟一个易受攻击的 SSH 服务器,以便吸引黑客攻击。通过利用已知的 XZ 后门漏洞(CVE-2024-3094),它可以吸引潜在的攻击者尝试入侵系统。它可以帮助安全专业人员识别攻击行为、学习攻击技术并改进防御策略。

原因

实验和学习: 它提供了一个安全的环境,供安全专业人员、学生和研究人员学习和研究网络攻击技术和防御方法。
识别潜在威胁: 通过模拟易受攻击的系统,安全团队可以识别潜在的威胁并学习如何应对它们。
研究漏洞利用: 攻击者可能会利用已知漏洞对系统进行攻击。通过设置蜜罐来模拟这些漏洞,安全专家可以研究攻击者的行为和利用方式。

参考(分析和后门字符串):

https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504 

https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01

项目地址:

https://github.com/lockness-Ko/xz-vulnerable-honeypot

原文始发于微信公众号(Ots安全):CVE-2024-3094 一个带有XZ后门的SSH蜜罐

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月2日08:17:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-3094 一个带有XZ后门的SSH蜜罐http://cn-sec.com/archives/2621778.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息