攻防演练中红队如何识别蜜罐保护自己

文章目录

  • 攻防演练中红队如何识别蜜罐保护自己
  • 前言
  • 一、蜜罐分类
    • RDPY
    • snare
  • 二、如何识别
  • 三、常见蜜罐展示
  • 1.无交互蜜罐: 只针对网络批量扫描器
    • 2.低交互蜜罐: HFISH (被动/主动收集信息)
    • 3.高交互蜜罐: 真实环境部署探针

前言

最近在攻防演练中经常会遇到蜜罐,这次就来唠唠蜜罐。

蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。

蜜罐可以实现对攻击者的主动诱捕,能够详细地记录攻击者攻击过程中的许多痕迹,可以收集到大量有价值的数据,如病毒或蠕虫的源码、黑客的操作等,从而便于提供丰富的溯源数据。

但是蜜罐存在安全隐患,如果没有做好隔离,可能成为新的攻击源。

一、蜜罐分类

按用途分类,蜜罐可以分为研究型蜜罐和产品型蜜罐。研究型蜜罐一般是用于研究各类网络威胁,寻找应对的方式,不增加特定组织的安全性。产品型蜜罐主要是用于防护的商业产品。

按交互方式分类,蜜罐可以分为三类,低交互式蜜罐,中交互式蜜罐,高交互式蜜罐。

低交互式蜜罐 :通常是指与操作系统交互程度较低的蜜罐系统,仅开放一些简单的服务或端口,用来检测扫描和连接,这种容易被识别。

中交互式蜜罐 :介于低交互式和高交互式之间,能够模拟操作系统更多的服务,让攻击者看起来更像一个真实的业务,从而对它发动攻击,这样蜜罐就能获取到更多有价值的信息。

高交互式 :指的是与操作系统交互很高的蜜罐,它会提供一个更真实的环境,这样更容易吸引入侵者,有利于掌握新的攻击手法和类型,但同样也会存在隐患,会对真实网络造成攻击。

常见的比较优秀的蜜罐:

oneyd:https://github.com/DataSoft/Honeyd
T-pot : https://github.com/dtag-dev-sec/tpotce

常见的WEB蜜罐:

HFISH: https://github.com/hacklcx/HFish
opencanary web : https://github.com/p1r06u3/opencanary_web

评分较高的蜜罐:

研究的过程中,发现了有人已经对市面上的大部分蜜罐进行了测试和评分,因为比较多,下面列举出排名前五名的蜜罐:

Shadow Daemon:https://shadowd.zecure.org/overview/introduction/

影子守护进程是一组工具的集合,用于检测、记录和阻止对web应用程序的攻击。从技术上讲,影子守护进程是一个web应用程序防火墙,它拦截请求并过滤恶意参数。它是一个模块化的系统,将web应用程序、分析和接口分离开来,以提高安全性、灵活性和可扩展性。

影子守护进程是免费软件。它是在GPLv2许可下发布的,所以它是开源的,每个人都可以检查、修改和分发代码。


难易性★★★★☆

可用性★★★★★

展示性★★★★★

交互性★★★★★

RDPY

RDPy:https://github.com/citronneur/rdpy

RDPY是Microsoft RDP远程桌面协议协议客户端和服务器端的纯Python实现。RDPY是在事件驱动的网络引擎Twisted上构建的。RDPY支持标准RDP安全层基于SSL的RDP和NLA身份验证通过ntlmv2身份验证协议。

难易性★☆☆☆☆

可用性★★★★★

展示性★★★★★

交互性★★★★★

snare

这个蜜罐是复制别人网站的源码程序原理跟钓鱼网站差不多
难易性★★☆☆☆

可用性★★★★★

展示性★★★★★

交互性★★★★☆

django-admin-honeypot

难易性★☆☆☆☆

可用性★★★★★

展示性★★★★★

交互性★★★★☆

Artillery :https://github.com/trustedsec/artillery/

开源蓝队工具,旨在通过多种办法保护 Linux 和 Windows 操作系统。
难易性★☆☆☆☆

可用性★★★★★

展示性★★★★★

交互性★★★★☆

二、如何识别

攻击者也会尝试对蜜罐进行识别。比较容易的识别的是低交互的蜜罐,尝试一些比较复杂且少见的操作能比较容易的识别低交互的蜜罐。相对困难的是高交互蜜罐的识别,因为高交互蜜罐通常以真实系统为基础来构建,和真实系统比较近似。对这种情况,通常会基于虚拟文件系统和注册表的信息、内存分配特征、硬件特征、特殊指令等来识别。

我们可以通过以下方式去做蜜罐识别:

  1. BOF的识别;BOF(Back Officer Friendly)

  2. 假代理技术,关注Honeypot Hunter软件;

  3. Honeyd的识别;

  4. 利用Sebek识别蜜网,第二、三代蜜网都有这个软件;

  5. Tarpits的识别;

  6. 外联数据控制识别,一般蜜罐会严格限制系统向外的流量;

  7. 识别VMware虚拟机,重点关注MAC地址的范围

  8. 用Nmap等Scan工具,同一个机器同时开放很多Port的。

  9. 因为很多蜜罐都设置在相同或临近的网段。所以,同一个网段(e.g. /24),很多机器都开放相同的Port,回应相似的Response。

  10. 去Shodan/Censys查

三、常见蜜罐展示

1.无交互蜜罐: 只针对网络批量扫描器

通过释放大量指纹诱导扫描器攻击

http://121.196.52.0:88/

http://47.110.66.64:5560/



2.低交互蜜罐: HFISH (被动/主动收集信息)

https://github.com/hacklcx/HFish

页面展示如下, 一般开放在9001端口, 查询title “HFish - 扩展企业安全测试主动诱导型开源蜜罐框架系统”, 可以检索到一部分开放在公网的

http://182.92.157.178:9001/login


一般用户拿来使用的时候也不会进行修改, 所以很好识别

而且由于秘钥硬编码, 攻击者可以直接利用默认配置中的key访问日志信息,反日蜜罐。

比如:http://localhost:9001/api/v1/get/passwd_list?key=X85e2ba265d965b1929148d0f0e33133
另外其它的 API可以见官方 Document 说明 :https://hfish.io/docs/#/help/api

还有其它的一些地址:

182.92.157.178:9001/api/v1/get/fish_info?key=X85e2ba265d965b1929148d0f0e33133
http://182.92.157.178:9001/api/v1/get/fish_info?key=X85e2ba265d965b1929148d0f0e33133
http://182.92.157.178:9001/api/v1/get/passwd_list?key=X85e2ba265d965b1929148d0f0e33133
http://182.92.157.178:9001/api/v1/get/ip?key=X85e2ba265d965b1929148d0f0e33133

3.高交互蜜罐: 真实环境部署探针

通过在真实环境安插探针, 保留原有业务功能的情况下, 也可以获取攻击者信息

http://61.50.134.234:8080/www

红蓝对抗-攻防演练中红队如何识别蜜罐保护自己相关推荐

  1. 红蓝对抗模拟演练系统软件解决方案

    红蓝对抗模拟演练系统软件解决方案 ​红蓝对抗系统针对目前视景仿真零碎使用范围狭隘.使用形式单一.使用目的老套等成绩,我公司应用优秀视景仿真零碎开发平台,结合VC++多线程技术,提出了一种红蓝对立零碎原 ...

  2. 不能从远程创建com+对象_红蓝对抗攻防实战:寻找COM对象

    概述 渗透测试人员.红蓝对抗的蓝军(攻击方).恶意行动者经常会选择COM对象来实现横向移动.此前,一些安全研究人员陆续针对COM对象开展研究,包括Matt Nelson(enigma0x3)在2017 ...

  3. 红蓝对抗之蓝队防守:ATTCK框架的应用

    企业大规模数字化转型的浪潮下,各类网络入侵事件频发.APT和黑客团伙活动猖獗,合规性驱动的传统安全防护建设已无法满足需求.近年来随着各级红蓝对抗行动的开展,企业安全建设正逐步向实战化转型,而MITRE ...

  4. 红蓝对抗中的近源渗透

    前言 近源渗透是这两年常被安全业内人员谈起的热门话题.不同于其他虚无缥缈的安全概念,近源渗透涉及到的无线安全.物理安全.社会工程学都十分容易落地实践,许多企业内部的攻防对抗演练也都出现了看上去&quo ...

  5. 红蓝对抗-红队打点的那些事

    红蓝对抗-红队打点的那些事 攻防演练中作为攻击方,效率很重要,例如2019 BCS红队行动议题: RedTeam-BCS 半自动化的资产收集 域名/IP/需要交互的系统 当拿到目标的时候,首先需要利用 ...

  6. 红蓝对抗-HW红蓝队基本知识

    第一章 什么是蓝队 蓝队,一般是指网络实战攻防演习中的攻击一方. 蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件.硬件设备同时执行多角度.全方位.对抗性的混合式模拟攻击手段:通过技 ...

  7. 红蓝对抗-红队渗透下的入口权限快速获取

    红队渗透下的入口权限快速获取 文章目录 红队渗透下的入口权限快速获取 前言 红队攻击流程概述 获取入口权限 利用常见组件的漏洞 高危漏洞的检测与攻击 POC的集成与自动化验证 POC bomber 前 ...

  8. 红蓝对抗——蓝队手册

    0x01 前言 红蓝对抗的思想最早可追溯到我国现存最早的一部兵书<孙子兵法>,在孙子·谋攻篇有这么一句话:"知彼知己,百战不殆:",意为如果对敌我双方的情况都能了解透彻 ...

  9. 红蓝对抗系列之浅谈蓝队反制红队的手法一二

    红蓝对抗系列之浅谈蓝队反制红队的手法一二 取证反查 针对ip 溯源一二 一般来说,红队大部分都是使用代理节点进行测试,假如我们捕获或者从样本里面分析拿到了真实ip ,那么以下操作场景就有用了,或者使用 ...

最新文章

  1. 蓝桥杯国赛-大胖子走迷宫
  2. 导师:学生的第一篇SCI论文,把我看哭了!
  3. C++_vptr与vtbl,虚函数与虚表
  4. 进程、线程、端口、服务间关系
  5. LeetCode 34 在排序数组中查找元素的第一个和最后一个位置
  6. 2019年末逆向复习系列之今日头条WEB端_signature、as、cp参数逆向分析
  7. 齐博php百度编辑器上传图片_php版百度编辑器ueditor怎样给上传图片自动添加水印?...
  8. oracle导出表中某天数据命令,Oracle数据库使用命令行导入导出数据表及数据内容(本地、远程)...
  9. 1090 Highest Price in Supply Chain (25 分)(模拟建树,找树的深度)牛客网过,pat没过...
  10. Elastic Stack之Elasticsearch 5.6.12 集群部署实战
  11. qt的信号和槽通信机制(当多个窗口之间来回通信[父窗口和子窗口])
  12. 迅捷PDF虚拟打印机怎么保存文件
  13. 世界上最好玩的6种表情符号编程语言
  14. 传奇java手游_Java手机游戏神灯传奇代码JAVA游戏源码下载
  15. unity 物体移动方式的一些笔记
  16. 游戏源代码是什么意思_什么是游戏
  17. 1730: 珠心算测验
  18. 金陵科技学院计算机组成考试,2017-2017年度金陵科技学院材料期末考试整理.doc...
  19. IntelliJ IDEA 小技巧:Bookmark(书签)的使用
  20. 马丁福勒《UML精粹》读书笔记_第八章

热门文章

  1. 数字化转型新CP | 云原生+边缘计算 实践分享
  2. 如何修改Mac电脑默认视频播放软件?修复苹果Mac中的快速视频播放错误的方法
  3. 知识变现海哥:知识博主想做自媒体不要太老实
  4. 不要假装努力,你真的会学习吗?
  5. 建设中的海淀基督教堂
  6. Linux的本地DNS缓存服务器
  7. 美图计算机视觉工程师实习生面试
  8. .net连接SAP返回Table 整理
  9. [taro react] 【run dev:h5】 报错 Uncaught ReferenceError: $RefreshSig$ is not defined
  10. 【Linux命令行】使用Linux环境变量:全局变量、局部变量、用户定义变量