记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

如何搭建一个开源的蜜罐环境

0x00 前言本文记录一下搭建开源蜜罐环境的过程,文章内容为翻译并且对其中的技术细节以及坑点进行复现。0x01 MHN简介MHN是用于蜜罐管理和数据收集的集中式服务器。MHN允许您快速部署传感器并立即收集数据,并通过Web端实现可视化。蜜罐部署脚本包括几种常见的蜜罐技术,包括[Snort]、[Cowrie]、[Dionaea]和[glastopf]等。有关排除安装故障的问题,请查看[MHN故障排除指南],在[modern-honey-network Google Group]上搜索过去的问题,或发送邮件至[modern-honey-network@googlegroups.com]。0x02 功能介绍MHN是一个Fla
发布时间:2018-09-15 12:20 | 阅读:94752 | 评论:0 | 标签:技术 蜜罐

利用蜜罐从恶意网站中找出检测绕过代码

越来越多的恶意网站开始使用复杂的避免被传统的安全技术检测到。攻击者的目标包括恶意软件传播、数据泄露、修改和比特币挖矿。NTT研究人员使用两种类型的诱饵系统(蜜罐客户端)发现了5种新型的绕过技术,利用JS应用过程中的差异来避免被安全软件检测到。 图1: 恶意站点通过有漏洞的浏览器发起的攻击NTT使用结合高交互和低交互的蜜罐客户端来检测和监控一些站点。高交互的蜜罐客户端是一个真实的浏览器,可以准确检测浏览器中的漏洞利用和恶意软件下载情况。低交互的蜜罐客户端是一个浏览器模拟器,用来模拟不同的客户端配置文件、追踪复杂的重定向、hook代码执行等。这两种方法是互相补充来改善整体的分析效果的。研究人员通过分析恶意网站来确认恶意性,
发布时间:2018-08-15 12:20 | 阅读:73957 | 评论:0 | 标签:技术 蜜罐

无文件攻击有多阴险 竟利用“永恒之蓝”传播挖矿机

网络罪犯不需要在你的系统里放上恶意软件就能侵入。无文件/零足迹攻击能够利用合法应用,甚至利用操作系统本身,亦或逃过白名单的检测机制,利用位于批准列表之上且已经安装到机器上的应用,进行攻击。不过,“无文件”、“零足迹”和“非恶意软件”这几个术语,从技术上讲都属于用词不准确的范畴,因为它们往往依赖用户下载恶意附件文件的行为,且确实在计算机上留下了踪迹——只要你知道该找寻什么。实际上,完全零足迹的恶意软件并不存在,因为有很多方法都可以检测出恶意软件——即便恶意软件不把自身安装到硬盘上。而且,它们并不能完全绕过反病毒工具。因为即使不安装可执行程序,反病毒工具还是可以发现恶意附件或恶意链接。只是利用无文件攻击的话,侵入系统的几率会高,这才是真正的威胁所在。无文件恶意软件是越来越大的威胁高级威胁防护厂商Carbon Bla
发布时间:2017-09-28 03:40 | 阅读:92543 | 评论:0 | 标签:行业动态 powershell 恶意软件 挖矿机 无文件攻击 蜜罐

构建一个高交互型的难以发现的蜜罐

本文我将手把手的带大家来,构建一个高交互型的蜜罐。我们将会利用到两款开源工具sysdig和falco,来帮助我们快速构建这个系统。在正式开始之前,让我们对什么是高交互型蜜罐?以及sysdig和falco做个简单的了解! 高交互型蜜罐 一个高交互蜜罐是一个常规的计算机系统,如商用现货(commercial off-the-shelf ,COTS)计算机、路由器或交换机。该系统在网络中没有常规任务,也没有固定的活动用户,因此,除了运行系统上的正常守护进程或服务,它不应该有任何不正常的进程,也不产生任何网络流量。这些假设帮助检测攻击:每个与高交互蜜罐的交互都是可疑的,可以指向一个可能的恶意行为。因此,所有出入蜜罐的网络流量都被记录下来。此外,系统的活动也被记录下来备日后分析。 相较于低交互型蜜罐,高交互型蜜罐由于运行
发布时间:2017-05-23 17:45 | 阅读:269049 | 评论:0 | 标签:工具 系统安全 sysdig 蜜罐

这家公司利用蜜罐技术捕获社会工程骗局

研究公司ZeroFOX发现,除非公司有官方招聘账户,否则求职者很难区分合法账户与假冒账户。 识别冒牌货的方法之一,是他们通常提供Gmail、雅虎和其他免费电子邮件服务地址,供求职者咨询岗位和发送简历(更高级点儿的诈骗犯还能伪造公司电子邮件域名)。有些还包含了链向官方求职网站和领英的链接供跟进。大多数情况下,冒牌货使用公司标志将自己标榜成公司的官方招聘人员。 冒牌货一旦收到邮件,要么从中抽取个人身份识别信息(PII),要么索要报名费。有些公司注意到了招聘诈骗,在其网站上提请求职者防范使用非官方公司电邮地址的骗子。 ZeroFOX创建了蜜罐账户,与冒牌货交流,在沙箱环境中对 40,000个虚假账户进行调查,观察该社会工程攻击。该研究公司得以借此剖析这类攻击,识别出其中的异同点,并更清楚地理解其背后的各种动机。 社
发布时间:2017-03-15 20:40 | 阅读:124436 | 评论:0 | 标签:技术产品 ZeroFOX 社会工程 蜜罐

Mariadb蜜罐:用改造过的服务端攻击客户端

*本文原创作者:c0debreak,本文属FreeBuf原创奖励计划,未经许可禁止转载 上周发现了一个神奇的 Mariadb 服务端插件,可以用来做蜜罐,这里分享给大家。说是一个蜜罐,但在渗透中,也可以用来搞定某些服务器,你懂的。 简介 简单讲,MariaDB 存在一个未公开的协议,在客户端进行查询前,重写客户端要执行的查询语句,并重新发起查询。那么这个有什么危害呢? 如果我们将客户端的查询语句,替换为某些恶意的语句,e.g. LOAD DATA LOCAL INFILE '/etc/passwd' INTO TABLE test.loot 就可以实现一些对客户端的攻击。如果是Windows客户端,这个危害还可以进一步扩大,你懂的。 其实这个场景还是很多的,很多 MySQL 监控程序,都会连接数据库,执行一
发布时间:2017-03-15 12:00 | 阅读:80924 | 评论:0 | 标签:工具 网络安全 蜜罐

大话蜜罐日志分析

*本文原创作者:Leon不会玩QEMU,属Freebuf原创奖励计划,未经许可禁止转载 0×00 前言 在部署蜜罐之后,会产生大量的日志,对于威胁情报而言,我们需要通过这些日志来提取其中的有用的数据,本文将会描述提取那些数据用来完成分析。 部署蜜罐之后会生成描述发生的事件的日志记录。能够收集到的安全事件将取决于我们部署的蜜罐的类型,比如部署SSH蜜罐你将会收集到一些服务器安全相关的日志。因此,我们应当在采集日志之前先要确定我们采集日志的类型以及采集日志的种类,再根据这个来确定蜜罐的设计和部署。如果要捕获的目标是基于与远控C&C服务器来完成交互的,我们就应该考虑使用客户端蜜罐,如果不是的话,就需要使用服务器蜜罐。 如果我们调查特定服务的协议以及事务数据的元信息,这时候我们应该去选择低交互蜜罐。如
发布时间:2017-02-10 19:20 | 阅读:115885 | 评论:0 | 标签:WEB安全 网络安全 日志分析 蜜罐

用树莓派搭建小型honeynet

前言 树莓派小巧且耗费的电量非常少,如果你有一两个备用的,你可以使用他们来搭建蜜罐。 温馨提示:尽管蜜罐软件通常与底层操作系统隔离,但是也有存在错误以及发生事故的可能,所以不应该在托管蜜罐软件的系统上运行任何服务。 不建议在共享网络环境中运行无人值守的蜜罐。即使是低端的路由器现在也有某种DMZ选项可用于此活动,但更好的选择是使用具有严格和带宽限制的专用IP网络。 蜜罐及其环境应始终被视为已经沦陷的,下载到蜜罐的文件和脚本可能有危险,不应在其他地方运行。如果你已经厌倦了对入侵蜜罐的人的观察分析,可以彻底擦除它,完全重新安装。 安装 我的一个蜜罐实验室包括两个树莓派。一个处理SSH和Telnet连接,而另一个处理HTTP、SMTP、POP3和IRC。如下所述,在必要的时候,他们之间还可以进行通信。 路由器上的端口转
发布时间:2016-12-20 19:25 | 阅读:220702 | 评论:0 | 标签:网络安全 Cowrie honeynet InetSim Kippo rootkit 僵尸网络 木马 树莓派 蜜罐

主动欺骗蜜罐系统Beeswarm简介

Beeswarm是一个主动蜜罐系统,通过部署一些模拟真实用户的节点与蜜罐系统通信,从而引诱窃听了这些会话的攻击者攻击蜜罐系统,以捕获发现攻击。 一、介绍 蜜罐系统一般不会主动产生流量,而是被动的等待攻击流量。Beeswarm则是一款主动诱骗攻击者的蜜罐,可以模拟客户端与服务器的通信(诱饵通信),诱骗黑客攻击蜜罐,以对付企图通过网络监听获取敏感信息的攻击者。诱饵通信中,包括大量攻击者可能非常感兴趣的信息,如用户名口令、管理后台等。如果有攻击者在网络中进行窃听,获取了诱饵通信的内容,并使用这些敏感信息(如使用诱饵登录凭证)登录系统,Beeswarm就能发现网络攻击。此外,Beeswarm也做了很好的细节处理,如对于交互式的协议(如ssh和telnet),诱饵会话的流量模式将会匹配人类的打字速度,目的是使诱饵会话流量
发布时间:2016-12-12 10:40 | 阅读:122584 | 评论:0 | 标签:工具 系统安全 Beeswarm 蜜罐

这四张图帮你了解基于蜜罐技术的幻云

昨天下午,安全初创企业锦行科技在京发布一款基于欺骗、诱导和蜜罐技术的攻击态势感知平台——幻云。锦行科技首席安全官王俊卿介绍,幻云的核心理念是“防御+威慑”,旨在是帮助企业在最低成本情况下,发挥最大的效能,做好安全工作。 幻云不是传统安全产品的替代,而是补充。 通过以下四张图可以大致了解这款伪装类防御产品的技术实现和功能概况: 实际上,可以把幻云这类的产品归于Gartner定义的最新安全技术之一,伪装。通过伪装本地IT环境,欺骗攻击者,及时准确预警,分析攻击行为,预测攻击意图,并对攻击者画像。 广州锦行网络科技简介: 成立于2014年3月,由多名国内知名信息安全专家联合创办,致力于研究最新核心安全技术,多年来一直聚焦于攻防对抗、应急响应领域,先后为政府,金融、能源、电力、互联网等行业的关键基础设
发布时间:2016-11-23 10:45 | 阅读:99694 | 评论:0 | 标签:技术产品 伪装 蜜罐 锦行科技

Linux进程隐藏的一种实现思路

目标读者:系统安全爱好者 阅读时长:约 7分钟 本文概要:一种 Linux 中进程隐藏的思路、操作与步骤截图 前置知识:最好对 Linux 下编译程序略知一二(文末有知识注解与扩展阅读,最后奉上网易小风景) 感谢 NSRC 老司机团长的分享~  前言 之前团队内技术交流时小伙伴分享的自建蜜罐深深的引起了我的兴趣,于是本人决定山寨一个类似的蜜罐把玩一番~但是摆在眼前的一个问题就是: 一些监控进程需要运行在蜜罐中,一但“请君入罐”后被黑客察觉到这些奇奇怪怪的进程,就十分尴尬了 所以当务之急是需要将这些监控进程隐藏起来,对Linux略知一二的楼主自然也就接受挑战啦。 准备工作 众所周知,Linux 操作系统天生自带一个虚拟分区 /proc,该分区下保存硬件信息、内核运行参数、系统状态信息等等,进程运行
发布时间:2016-10-25 22:25 | 阅读:97789 | 评论:0 | 标签:系统安全 linux 蜜罐 进程 进程隐藏

蜜罐系统设计的一些想法

*本文原创作者:Leon不会玩QEMU,本文属FreeBuf原创奖励计划,未经许可禁止转载这篇文章主要讨论一下徒手搭建蜜罐系统的一些思路来告诉大家蜜罐对于网络安全运维的作用。这两天根据老大的指示,一直在公司内部的公有云平台布置蜜罐,从零开始布置蜜罐可不是一件容易的事情,中间失败过好几次,要么就是蜜罐人家压根不进去,要么就是进去之后被人当botnet去对外攻击或者扫描,中间也出过不少岔子。所以根据我的搭建经验,目前大概有这么几种方式:1.裸机器部署方式:这种部署方式就是顾名思义使用真的机器,然后制造一些漏洞让攻击者入侵并且留下痕迹,其实一开始我也是这么做的,这么做的好处是,能很轻松的让别人进来,但是缺点太多了,首先没有通知,并且需要不定时的上去查看,一旦机器被botnet控制,还会对外攻击,
发布时间:2016-09-01 17:40 | 阅读:77309 | 评论:0 | 标签:系统安全 蜜罐

蜜罐中常用协议——HPFEEDS协议

0x00 hpfeeds协议是什么? hpfeeds是一个轻量级的验证发布-订阅协议(authenticated publish-subscribe protocol)。 轻量级好理解,就是代码量相对较少,功能相对不复杂。那什么是发布-订阅协议呢?订阅发布协议定义了一种一对多的依赖关系,让多个订阅者对象同时监听某一个主题对象。这个主题对象在自身状态变化时,会通知所有订阅者对象,使它们能够自动更新自己的状态。它是为了解决这样一种情况的发生,一个对象的改变需要同时改变其他对象,而且它不知道具体有多少对象需要改变。我的理解,这就类似于发传单,目标发送通知,没有指定特定的对象,通知会自动传播,观察者自己决定是否需要看传单,发送者对于传单是否被看一无所知。 详细的发布订阅者介绍可以戳这里: https://msdn.mi
发布时间:2016-08-22 01:25 | 阅读:179597 | 评论:0 | 标签:网络安全 HPFEEDS 协议 蜜罐

PenTBox 简易蜜罐的设置

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。 PenTBox最早出现于2009年,是一款免费的开源安全工具套装。它基于Ruby开发,面向GNU/Linux系统,且兼容Windows、MacOS、Android等系统.主要用于帮助安全人员对网络、系统的安全性和稳定性进行测试。但它也被用作黑客工具套件,尤其是它提供的NetDoSTest(网络圧力测试)。 PenTBox其主体功能分三部分: 1.密码算法工具 2.网络工具(压力测试、溢出攻击) 3.web交全测试工具 这次介绍的是如何使用penTBox来快速地在系统中设置一个
发布时间:2016-08-18 04:15 | 阅读:130777 | 评论:0 | 标签:网络安全 honeypot penTBox ruby 蜜罐

如何用Canarytokens搭建蜜罐并检测可疑入侵

在本文中,我们将通过使用 Canarytokens工具来搭建蜜罐,对特殊资源的异常访问行为进行感知,及时发现入侵痕迹,促使安全人员能在攻击者入侵过程中的各个节点将安全事件应急响应的时间基线推前。蜜罐的建立,主要的目的是用于当检测到蜜罐中的数据或者计算资源有可疑访问时,可对管理员进行告警。在下文中,通过Canarytokens(注:该工具是由Thinkst 创建的开源项目 ,工具的下载地址为:GitHub)工具生成的这类蜜罐与传统的蜜罐不同,其可以有许多种形式,例如它可以是一个无人使用的用户账户,也可以是一个正常用户不会去访问的文件,又或是一个没有人会去点击的链接等等。当针对这个蜜罐(在本文中,这类蜜罐统称为蜜标,honeytokens)进行操作时,通过Cana
发布时间:2016-05-21 01:35 | 阅读:98436 | 评论:0 | 标签:工具 Canarytokens honeytokens 入侵检测 蜜罐

以色列网络安全新技术:让黑客找不着北

击败黑客的最佳方法就是让他们找不着北——诱骗他们挖掘没料的虚假数据。尽管他们费尽心思穿透了防火墙,但却盗不走任何真实的数据。以色列一家新成立的网络安全公司Illusive设计了一种欺骗攻击的系统,伪造攻击点把恶意黑客引向错误的方向,使他们忙于毫无意义的信息。同时,安全人员却可以收集他们的信息,包括攻击的源头以及攻击的方式。上面的描述乍一听上去,似乎是个蜜罐。但Illusive公司的首席执行官Shlomo Touboul表示,他们的系统不仅仅是黑客陷阱式的“蜜罐”,而是一种全新的网络安全技术模式,在系统之上铺设了一层用户不可见的安全层,特别为有能力突破传统防御措施的黑客而设。“某种意义上讲,我们正发动对黑客的反攻。他们的力量在于偷偷摸摸潜入计算机系统并悄无声息地盗走数据,但我们的力量恰在于丢给他们无法预先分别真假
发布时间:2015-07-02 23:40 | 阅读:98411 | 评论:0 | 标签:牛工具 honeypots Illusive 蜜罐

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云