2020年度HW平安夜 09/22 风平浪静

admin 2021年4月6日16:00:50评论143 views字数 3865阅读12分53秒阅读模式

“满当当的昨天,
富意义的今天~”

今日主题:01 HW日记、02 红队如何识别蜜罐


01 HW日记


2020年度HW平安夜 09/22 风平浪静


HW日记

2020922日  周二  大雨+雷电黄色预警(这个城市,每天都是一场雨~)

嗯,很适合养肤~

昨天时间写错了,HW过的已经忘了是周几了~只记得每天要按时上班。

今天写点啥呢?


HW进入倒计时阶段,还有两天!

甲方爸爸要求我们开始写HW总结了,提出当前问题,再展望下未来。又到了想破脑袋的时候了🧐夜班静悄悄,我要写总结🧐

每年HW结束后,总结性报告必不可少~


==========================================


今年HW的段子还是很多的:

以下内容来自:渗了个透:


大彻大悟

“为什么上次HW被打穿了”

“因为买不起安全设备”

“那为什么这次又被打穿了”

“因为这次买得起安全设备了”

2020年度HW平安夜 09/22 风平浪静

2020年度HW平安夜 09/22 风平浪静


某活动防守方的感受:不买安全设备就不会被黑


2020年度HW平安夜 09/22 风平浪静


是时候展现真正的技术了

某三个字厂商(我没说是哪家)进行未报备的物理黑客,被扣1500分

2020年度HW平安夜 09/22 风平浪静

一波操作猛如虎,一看战绩-1500。



钓鱼攻击

办公室恋情还可行,哈哈哈哈哈(好想看看是那个领导)。

2020年度HW平安夜 09/22 风平浪静


暗度陈仓    
红队做了一个假的管理后台放在公网 ,不知情的蓝队就在公司群问是谁的管理后台公然放在公网上。然后一堆管理员拿着自己的账号密码尝试登陆。然后真正的密码就被泄漏了。

2020年度HW平安夜 09/22 风平浪静

2020年度HW平安夜 09/22 风平浪静

2020年度HW平安夜 09/22 风平浪静


社工攻击

这不会这就是传说中的物理黑客吧! 

2020年度HW平安夜 09/22 风平浪静


无内鬼继续交易

说不多的都是内鬼全部抓起来!!溯源溯源。

2020年度HW平安夜 09/22 风平浪静


入侵,反制,反反制,反反反制,反反反反制..

”前几天传出的红队反向部署蜜罐,诱导蓝队溯源组进入其中,然后进行人物画像绘制一样。真是每天都有不一样的奇招啊!“


红队反向部署蜜罐这个操作也太骚了吧。


朴素的溯源 “你认识他吗”

2020年度HW平安夜 09/22 风平浪静



02 红队如何识别蜜罐



最后两天了,听说攻击队开始进入收尾阶段了,资产收集的差不多了,能打的也打了,剩下打不动的也基本放弃了。

2020年度HW平安夜 09/22 风平浪静


原创作者:Elina3000,转载于FreeBuf.COM

前言


最近在攻防演练中经常会遇到蜜罐,这次就来唠唠蜜罐。

蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。

蜜罐可以实现对攻击者的主动诱捕,能够详细地记录攻击者攻击过程中的许多痕迹,可以收集到大量有价值的数据,如病毒或蠕虫的源码、黑客的操作等,从而便于提供丰富的溯源数据。

但是蜜罐存在安全隐患,如果没有做好隔离,可能成为新的攻击源。

一、蜜罐分类

按用途分类,蜜罐可以分为研究型蜜罐和产品型蜜罐。研究型蜜罐一般是用于研究各类网络威胁,寻找应对的方式,不增加特定组织的安全性。产品型蜜罐主要是用于防护的商业产品。

按交互方式分类,蜜罐可以分为三类,低交互式蜜罐,中交互式蜜罐,高交互式蜜罐。

低交互式蜜罐 :通常是指与操作系统交互程度较低的蜜罐系统,仅开放一些简单的服务或端口,用来检测扫描和连接,这种容易被识别。

中交互式蜜罐 :介于低交互式和高交互式之间,能够模拟操作系统更多的服务,让攻击者看起来更像一个真实的业务,从而对它发动攻击,这样蜜罐就能获取到更多有价值的信息。

高交互式 :指的是与操作系统交互很高的蜜罐,它会提供一个更真实的环境,这样更容易吸引入侵者,有利于掌握新的攻击手法和类型,但同样也会存在隐患,会对真实网络造成攻击。

常见的比较优秀的蜜罐:

Honeyd:https://github.com/DataSoft/Honeyd

T-pot : https://github.com/dtag-dev-sec/tpotce

常见的WEB蜜罐:

HFISH: https://github.com/hacklcx/HFish

opencanary web : https://github.com/p1r06u3/opencanary_web

评分较高的蜜罐:

研究的过程中,发现了有人已经对市面上的大部分蜜罐进行了测试和评分,因为比较多,下面列举出排名前五名的蜜罐:

Shadow Daemon:https://shadowd.zecure.org/overview/introduction/

影子守护进程是一组工具的集合,用于检测、记录和阻止对web应用程序的攻击。从技术上讲,影子守护进程是一个web应用程序防火墙,它拦截请求并过滤恶意参数。它是一个模块化的系统,将web应用程序、分析和接口分离开来,以提高安全性、灵活性和可扩展性。

影子守护进程是免费软件。它是在GPLv2许可下发布的,所以它是开源的,每个人都可以检查、修改和分发代码。

2020年度HW平安夜 09/22 风平浪静

 难易性★★★★☆

可用性★★★★★

展示性★★★★★

交互性★★★★★

RDPy:https://github.com/citronneur/rdpy

RDPY是Microsoft RDP远程桌面协议协议客户端和服务器端的纯Python实现。RDPY是在事件驱动的网络引擎Twisted上构建的。RDPY支持标准RDP安全层基于SSL的RDP和NLA身份验证通过ntlmv2身份验证协议。

2020年度HW平安夜 09/22 风平浪静

难易性★☆☆☆☆

可用性★★★★★

展示性★★★★★

交互性★★★★★

snare

这个蜜罐是复制别人网站的源码程序原理跟钓鱼网站差不多

2020年度HW平安夜 09/22 风平浪静

难易性★★☆☆☆

可用性★★★★★

展示性★★★★★

交互性★★★★☆

django-admin-honeypot

2020年度HW平安夜 09/22 风平浪静

难易性★☆☆☆☆

可用性★★★★★

展示性★★★★★

交互性★★★★☆

Artillery :https://github.com/trustedsec/artillery/

开源蓝队工具,旨在通过多种办法保护 Linux 和 Windows 操作系统。

2020年度HW平安夜 09/22 风平浪静

难易性★☆☆☆☆

可用性★★★★★

展示性★★★★★

交互性★★★★☆

二、如何识别

攻击者也会尝试对蜜罐进行识别。比较容易的识别的是低交互的蜜罐,尝试一些比较复杂且少见的操作能比较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别,因为高交互蜜罐通常以真实系统为基础来构建,和真实系统比较近似。对这种情况,通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别。

我们可以通过以下方式去做蜜罐识别:

1. BOF的识别;BOF(Back Officer Friendly)

2. 假代理技术,关注Honeypot Hunter软件;

3. Honeyd的识别;

4. 利用Sebek识别蜜网,第二、三代蜜网都有这个软件;

5. Tarpits的识别;

6. 外联数据控制识别,一般蜜罐会严格限制系统向外的流量;

7. 识别VMware虚拟机,重点关注MAC地址的范围

8. 用Nmap等Scan工具,同一个机器同时开放很多Port的。

9. 因为很多蜜罐都设置在相同或临近的网段。所以,同一个网段(e.g. /24),很多机器都开放相同的Port,回应相似的Response。

10. 去Shodan/Censys查

三、常见蜜罐展示

1.无交互蜜罐: 只针对网络批量扫描器

通过释放大量指纹诱导扫描器攻击

http://121.196.52.0:88/

http://47.110.66.64:5560/

2020年度HW平安夜 09/22 风平浪静

可以发现此web有许多组件 ,右键查看源代码,可以发现如下内容:

2020年度HW平安夜 09/22 风平浪静

2020年度HW平安夜 09/22 风平浪静

2020年度HW平安夜 09/22 风平浪静

 2.低交互蜜罐: HFISH (被动/主动收集信息)

https://github.com/hacklcx/HFish

页面展示如下, 一般开放在9001端口, 查询title "HFish - 扩展企业安全测试主动诱导型开源蜜罐框架系统", 可以检索到一部分开放在公网的

http://182.92.157.178:9001/login

2020年度HW平安夜 09/22 风平浪静

一般用户拿来使用的时候也不会进行修改, 所以很好识别

而且由于秘钥硬编码, 攻击者可以直接利用默认配置中的key访问日志信息,反日蜜罐。

比如:http://localhost:9001/api/v1/get/passwd_list?key=X85e2ba265d965b1929148d0f0e33133

另外其它的 API可以见官方 Document 说明 :https://hfish.io/docs/#/help/api        

还有其它的一些地址:

182.92.157.178:9001/api/v1/get/fish_info?key=X85e2ba265d965b1929148d0f0e33133

http://182.92.157.178:9001/api/v1/get/fish_info?key=X85e2ba265d965b1929148d0f0e33133

http://182.92.157.178:9001/api/v1/get/passwd_list?key=X85e2ba265d965b1929148d0f0e33133

http://182.92.157.178:9001/api/v1/get/ip?key=X85e2ba265d965b1929148d0f0e33133

3.高交互蜜罐: 真实环境部署探针

通过在真实环境安插探针, 保留原有业务功能的情况下, 也可以获取攻击者信息

http://61.50.134.234:8080/www

2020年度HW平安夜 09/22 风平浪静

2020年度HW平安夜 09/22 风平浪静

2020年度HW平安夜 09/22 风平浪静


2020年度HW平安夜 09/22 风平浪静


2020年度HW平安夜 09/22 风平浪静

HW平安夜: 09/12 漏洞PAYlOAD

HW平安夜: 09/14 漏洞PAYlOAD

HW平安夜: 09/15  红队渗透手册之弹药篇

HW平安夜: 09/17 红队手册之代理转发与隧道

HW平安夜 09/18 新一轮的踩点(一)

HW平安夜 09/19 攻击溯源

HW平安夜 09/20 前一阶段漏洞情报总结

HW平安夜 09/21 死磕到底



扫描关注LemonSec

2020年度HW平安夜 09/22 风平浪静


2020年度HW平安夜 09/22 风平浪静


本文始发于微信公众号(LemonSec):HW平安夜 09/22 风平浪静

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月6日16:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2020年度HW平安夜 09/22 风平浪静http://cn-sec.com/archives/304236.html

发表评论

匿名网友 填写信息