美文网首页安全
用于检测网络威胁的最佳蜜罐

用于检测网络威胁的最佳蜜罐

作者: Threathunter | 来源:发表于2020-05-23 22:33 被阅读0次

    来源:https://securitytrails.com/blog/top-20-honeypots

    通常在本博客中,我们会介绍一些用于渗透测试的红队工具,例如漏洞扫描工具、端口扫描工具、顶级的道德黑客Linux发行版,以及更多关于OSINT的内容。然而,这一次我们将转到防御方面:让我们谈谈蜜罐!

    追捕坏人是一项有趣和令人兴奋的活动,可以通过多种方式实现。其中之一就是蜜罐的使用。

    在这篇文章中,我们将解释什么是蜜罐以及它是如何工作的,并给出20个最好的蜜罐,当攻击者攻击你的假门时,你可以用它们来获取情报。

    但首先,让我们回到基础,并涵盖一些基本概念。

    一、蜜罐是什么?

    简单地说,蜜罐是一个计算机系统或应用程序,用来吸引试图通过垃圾邮件、网络钓鱼、DDoS或其他不法手段攻击计算机网络的恶意代理。

    一旦攻击者落入这个陷阱,蜜罐允许管理员获得关于攻击者的类型、他正在尝试的活动的有价值的数据,在许多情况下,甚至可以识别攻击者

    所有蜜罐的主要目标是识别针对不同类型软件的新出现的攻击,并收集报告以分析和生成情报数据,这些数据稍后将用于创建针对网络威胁的预防技术。

    有两种不同类型的蜜罐:

    研究蜜罐:这种类型的陷阱被开发人员、系统管理员和在大学、学院、学校和其他相关协会等机构工作的蓝色团队经理使用。

    生产蜜罐:这是私人和公共机构,公司和企业用来调查黑客的行为和技术,试图攻击互联网上的网络。

    从本质上讲,蜜罐允许你获得有价值的数据,这样你就可以使用不同的攻击面减少策略。

    二、蜜罐是如何起作用的?

    如前所述,蜜罐是一个陷阱系统。这些陷阱系统通常设置在连接到网络的VM或云服务器中,但是系统和网络团队对其进行隔离和严格监视。为了帮助它们被坏人注意到,蜜罐被设计成故意易受攻击,攻击者会发现并试图利用这些弱点。

    这些弱点可能是应用程序内部安全漏洞的一部分,也可能是系统漏洞,如不必要的打开端口、过时的软件版本、弱密码或未打补丁的旧内核。

    一旦攻击者找到了易受攻击的目标,他就会尝试发起攻击并逐步升级特权,直到获得对该框或应用程序的特定控制。

    他们大多数人不知道的是,蜜罐管理员正在仔细监视他们的每一个步骤,从攻击者那里收集数据,这实际上有助于加强当前的安全策略。管理员还可以立即向法律当局报告该事件,这是高端企业网络经常发生的情况。

    大多数蜜罐作为陷阱,将攻击者的注意力从实际网络上托管的关键数据上转移开。另一个共同点是,几乎所有到蜜罐的连接尝试都可以被视为恶意连接,因为很少(如果有的话)原因可能会促使合法用户连接这些类型的系统。

    在配置蜜罐时,您必须了解您希望向攻击者公开的黑客攻击难度。如果太容易被黑,他们可能会失去兴趣,甚至意识到他们不是在处理一个真正的生产系统。

    另一方面,如果系统过于坚固,您实际上会阻止任何攻击,并且无法收集任何数据。因此,就难度而言,用一些介于容易和困难之间的东西来引诱攻击者是模拟真实系统的最佳选择。

    攻击者能察觉他是否在蜜罐中吗?当然可以。具有高水平技术知识的高级用户能够识别出他们正在进入一个蜜罐空间的一些迹象。

    即使非技术用户也可以通过使用自动化的蜜罐探测器来检测蜜罐,例如Shodan的Honeyscore,它使您能够识别蜜罐IP地址。

    三、蜜罐的例子

    一些系统工程师倾向于根据他们试图保护或暴露的目标软件对蜜罐进行分类。因此,尽管蜜罐的清单可能会很长,但我们在这里列出了一些最受欢迎的蜜罐:

    垃圾邮件蜜罐:也被称为垃圾邮件陷阱,这个蜜罐是专门用来捕捉垃圾邮件发送者之前,他们击中合法的电子邮件信箱。这些通常有开放的中继,以便受到攻击,并与RBL列表密切合作,以阻止恶意流量。

    恶意软件蜜罐:这种类型的蜜罐是用来模拟易受攻击的应用程序、api和系统,以获取恶意软件攻击。然后收集的数据将用于恶意软件模式侦察,以帮助创建有效的恶意软件检测器。

    数据库蜜罐:数据库是web攻击者的一个常见目标,通过设置一个数据库蜜罐,您可以观察和学习不同的攻击技术,如SQL注入、特权滥用、SQL服务开发等等。

    蜘蛛蜜罐:这种蜜罐通过创建虚假网页和链接来工作,这些网页和链接只能被网络爬虫访问,而不能被人类访问。一旦爬虫访问蜜罐,它连同它的头一起被检测为以后的分析,通常帮助阻止恶意机器人和广告网络爬虫。

    四、20个识别网络安全威胁的蜜罐

    有多少种正在运行的软件,就有多少种蜜罐,因此创建一个确定的列表将是相当困难的。在这个列表中,我们包括了一些最流行的蜜罐工具,根据我们自己的经验,它们是所有蓝色和紫色团队的必备工具。

    4.1SSH密罐

    Kippo:这个用Python编写的SSH蜜罐被设计用来检测和记录暴力攻击,最重要的是,记录攻击者执行的完整shell历史。

    它适用于大多数现代Linux发行版,并提供了clic命令管理和配置,以及基于web的界面。

    Kippo提供了一个假文件系统,并且能够向攻击者提供假内容(比如用户密码文件等),以及一个名为Kippo Graph的强大统计系统。

    Cowrite:这种媒介交互SSH蜜罐通过模拟shell工作。它提供了一个基于Debian 5.0的伪文件系统,允许您随意添加和删除文件。

    这个应用程序还将所有下载和上传的文件保存在一个安全的隔离区域,以便在需要时执行后续分析。

    除了SSH仿真外壳之外,它还可以用作SSH和Telnet代理,并允许您将SMTP连接转发到另一个SMTP蜜罐。

    4.2HTTP honeypot

    Glastopf:这个基于http的蜜罐可以让您有效地检测web应用程序攻击。Glastopf是用Python编写的,它可以模拟几种类型的漏洞,包括本地和远程文件插入以及SQL注入(SQLi),并使用带有hpfeed的集中式日志系统。

    Nodepot:这个网络应用程序蜜罐专注于Node-js,甚至可以让你在有限的硬件上运行它,比如Raspberry Pi / Cubietruck。如果你正在运行一个Node.js应用程序,想要获得有价值的攻击信息,并发现你是多么的脆弱,那么这是最适合你的蜜罐之一。在大多数现代Linux发行版上都可以使用,运行它只取决于一些需求。

    谷歌黑客蜜罐:通常被称为GHH,这个蜜罐模拟一个脆弱的网络应用程序,可以被网络爬虫索引,但仍然隐藏在直接浏览器请求。用于此目的的透明链接可以减少误报并防止蜜罐被检测到。这让你可以针对非常流行的谷歌dorks测试你的应用。

    GHH提供了一个简单的配置文件,以及一些用于获取关键攻击者信息(如IP、用户代理和其他头信息)的良好日志记录功能。

    4.3WordPress honeypot

    强大的蜜罐:这是Wordpress中最流行的蜜罐之一。人类是看不见的;只有机器人才会掉入陷阱,所以一旦自动攻击进入您的表单,就会被有效地检测和避免。这是一种保护Wordpress免受垃圾邮件侵扰的非侵入性方式。

    它不需要任何配置,这很方便。只要激活这个插件,它就会被添加到你在Wordpress中使用的所有表单中,包括免费版和专业版。

    坏机器人的黑洞:这是为了避免自动化机器人使用不必要的带宽和其他服务器资源从您的网站基础设施。通过设置这个插件,你可以检测和阻止坏机器人,从自动恶意软件攻击到垃圾邮件和几种类型的广告软件攻击。

    这个Wordpress蜜罐通过在所有页面的页脚添加一个隐藏链接来工作。通过这种方式,它不会被人类检测到,只会捕获不遵守robots.txt规则的坏机器人。

    一旦发现一个坏的机器人,它将被阻止访问你的网站。

    Wordpot:这是最有效的Wordpress蜜罐之一,您可以使用它来增强Wordpress的安全性。它可以帮助您检测插件、主题和其他用于识别wordpress安装的常见文件的恶意标志。

    它是用Python编写的,易于安装,可以从命令行顺利地处理,并包含一个wordpot.conf文件,用于简单的蜜罐配置。它还允许你安装定制的Wordpot插件,这样你就可以模拟流行的Wordpress漏洞。

    4.4数据库honeypot

    ElasticHoney:由于Elasticsearch在野外应用非常频繁,因此投资于专为这类数据库创建的蜜罐不失为一个好主意。这是一个简单而有效的蜜罐,可以让您捕获试图利用RCE漏洞的恶意请求。

    它的工作方式是在几个流行的端点(如/、/_search和/_nodes)上接收攻击请求,然后响应一个JSON响应,该响应与脆弱的Elasticsearch实例相同。所有日志都保存在一个名为elastichoney.log的文件中。它最好的一点是,这个蜜罐工具适用于Windows和Linux操作系统。

    HoneyMysql:这个简单的MySQL蜜罐是用来保护基于sql的数据库的。它是用Python编写的,可以在大多数平台上工作,通过克隆它的GitHub repo可以很容易地安装。

    一个最流行的MongoDB蜜罐,这是一个特别的蜜罐代理,可以运行和记录所有恶意流量到第三方MongoDB服务器。

    Node.js, npm, GCC, g++和一个MongoDB服务器需要让这个MongoDB蜜罐正常工作。它可以在Docker容器或任何其他VM环境中运行。

    4.5电子邮件honeypot

    Honeymail:如果你正在寻找一种方法来阻止基于smtp的攻击,这是一个完美的解决方案。用Golang编写的这个邮件蜜罐将允许您设置许多功能来检测和防止对SMTP服务器的攻击。

    它的主要功能包括:配置自定义响应消息,启用StartSSL/TLS加密,将电子邮件存储在BoltDB文件中,并提取攻击者信息,如源域、国家、附件和电子邮件部分(HTML或TXT)。它还提供了简单而强大的DDoS保护,防止大量连接。

    Mailoney:这是一个用Python编写的很棒的邮件蜜罐。它可以在不同的模式下运行,比如open_relay(记录所有尝试发送的电子邮件)、postfix_creds(用于记录登录尝试的凭据)和schizo_open_relay(允许记录所有内容)。

    SpamHAT:这个陷阱的目的是捕捉和防止垃圾邮件攻击你的任何邮箱。要使其工作,请确保安装了Perl 5.10或更高版本,以及一些CPAN模块,如IO::Socket、Mail::MboxParser、LWP::Simple、LWP::UserAgent、DBD::mysql、Digest::MD5::File,以及一个运行的mysql服务器和一个名为“spampot”的数据库。

    4.6物联网honeypot

    HoneyThing:这个蜜罐是为支持TR-069的服务的Internet而创建的,它作为一个运行RomPager web服务器的完全调制解调器/路由器工作,并支持TR-069 (CWMP)协议。

    这个物联网蜜罐能够模拟Rom-0、Cookie、RomPager等流行漏洞。它提供了对TR-069协议的支持,包括大多数流行的CPE命令,如GetRPCMethods、Get/Set参数值、下载等。与其他产品不同的是,这个蜜罐提供了一个简单而完善的基于web的界面。最后,所有关键数据都记录在一个名为honeyth.com .log的文件中。

    Kako:默认配置将运行一些服务模拟,以便从所有传入的请求(包括整个请求体)捕获攻击信息。它包括Telnet、HTTP和HTTPS服务器。Kako需要以下Python包才能正常工作:Click、Boto3、Requests和Cerberus。一旦您了解了所需的包,您就可以通过使用一个名为kako.yaml的简单YAML文件来配置这个物联网蜜罐。所有数据都被记录并导出到AWS SNS和平面文件JSON格式。

    其他honeypot

    Dionaea:这个用C和Python编写的低交互蜜罐使用Libemu库来模拟Intel x86指令的执行并检测外壳代码。

    此外,我们可以说它是一个多协议蜜罐,提供对FTP、HTTP、Memcache、MSSQL、MySQL、SMB、TFTP等协议的支持。

    它的日志功能提供了与Fail2Ban、hpfeed、log_json和log_sqlite的兼容性。

    Miniprint:由于打印机是计算机网络中最容易被忽视的设备之一,当你需要检测和收集基于打印机的攻击时,迷你打印是一个完美的盟友。它的工作原理是使用一个虚拟文件系统将打印机暴露到Internet上,攻击者可以在这个虚拟文件系统中读写模拟数据。

    Miniprint提供了一种非常深入的日志记录机制,并将所有postscript或纯文本打印作业保存在上传目录中,供以后分析使用。

    FTP蜜罐:用Python编写,这个FTP蜜罐提供了对普通FTP和FTPS的全面支持,所以你可以执行一个深入的跟踪用户和密码凭证在非法登录尝试中使用,以及上传文件为每个FTP/FTPS会话。

    HoneyNTP: NTP是互联网上最被忽视的协议之一,这就是为什么运行NTP蜜罐是个好主意。这是一个Python模拟的NTP服务器,在Windows和Linux操作系统上都能正常运行。它的工作方式是将所有NTP包和端口号记录到Redis数据库中,以便以后执行分析。

    相关文章

      网友评论

        本文标题:用于检测网络威胁的最佳蜜罐

        本文链接:https://www.haomeiwen.com/subject/mjlrahtx.html