蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析。考虑到全球每39秒就会发生一次网络攻击,蜜罐在安全防御战略中发挥着重要作用。
在沙箱环境中监控网络攻击能够及时发现新的网络安全威胁,并对分析攻击载体提供重要信息。因此,蜜罐是公司和执法部门的理想选择。部署蜜罐可以为企业对抗网络攻击起到缓冲作用,分散攻击方的注意力,使其无法发现专有资产,同时也为监控这些威胁提供了机会。
蜜罐的类型很多,它们可以是网站、服务器、恶意 WiFi 接入点、电子邮件地址、应用程序、重定向链接等。本文的作者介绍了易总可以使用免费网站部署蜜罐的方法。
蜜罐数量远超服务器数量
许多公司会在安全的环境中部署蜜罐,并将其与受保护的局域网分开。这样,他们就可以在攻击者入侵系统时给予误导斌监控威胁行为。
然而,黑客也会使用蜜罐。
使用 Shodan 搜索易受攻击系统的人可以告诉你,野外部署的蜜罐数量之大令人震惊。任何开放了大量端口的互联网设备都有可能是一个蜜罐。
截至发稿前,当你在 Shodan 上搜索Confluence时,它报告了全球261308个面向互联网的 Confluence服务器,但真实服务器的数量只有4000个。换言之,有超过25万的Confluence蜜罐用来捕获攻击,这使评估Confluence漏洞的潜在影响变得尤其复杂。
作者发起的网络战
本文作者讲述了他和黑客组织的一场网络战争。
2007 年,我发起了一场网络战,打击一个没有采用适当 OPSEC 的黑客组织。
我想把对手吸引到我完全控制的平台上,这样我就可以获得他们的 IP 地址、浏览器指纹、地理位置等信息。这个黑客组织正在搜索我的私人黑客社交论坛板块。因此,我知道如果想让他们上当,就必须创建一个假论坛。
我假扮成叛逃者,引诱他们访问论坛,这很容易,因为他们急于想知道我们都在说他们什么。论坛板块是私密的,这意味着他们必须注册才能看到私密帖子。
作为管理员,我能够找回他们在注册过程中使用的电子邮件地址的相关密码。这导致我的小组泄露了他们的几个电子邮件账户,因为他们中的大多数人的密码状况非常糟糕。这使我们能够执行数十次账户接管。
隐藏在论坛和网站源代码中的是一个简单的 PHP 脚本,其中的部分内容已编码为十六进制,因此看起来并无恶意。该脚本旨在捕获 IP 地址、执行浏览器指纹识别和目标操作系统的访客估计。脚本中还包含通过电子邮件发送访客日志给我的指令。
这为我们通过分布式拒绝服务(DDoS)攻击他们的互联网连接提供了机会。知道了他们的 IP 地址,我们就有了一个可能的攻击载体。
论坛和网站都有开放的验证FTP服务器访问权限,因此他们没有理由不登录并四处看看。我把它们称为“空投箱”。
我将几个随机的非敏感文件上传到FTP下拉框,因为我知道敌人会出于好奇下载并运行这些文件。最妙的是,这些文件都是恶意的,这样我就可以远程访问他们已被感染的电脑。
蜜罐的主要类型
有多种不同类型的蜜罐可以满足用户的不同需求,根据它们的构建方式和它们的用途进行分类,有几种不同的蜜罐:
1、根据交互程度的不同,又分为以下两种类型:
**低交互蜜罐:**低交互蜜罐只模拟了系统的一部分功能,通常只包括网络服务和部分应用程序,为攻击者提供简单的交互,配置简单,容易部署,但受限于交互能力,可能无法捕获高价值的攻击。
**高交互蜜罐:**高交互蜜罐提供了一个完整的、真实的系统环境,包括操作系统、应用程序和网络服务等,允许攻击者获得完全的访问权限,使得攻击者很难区分它与真实的系统。
2、根据用途的不同,分以下两种类型:
**生产蜜罐:**用于捕获生产环境中的攻击,保护生产环境。通常是企业用于改善其整体安全状态的一部分,可能是低交互或中交互蜜罐。
**研究蜜罐:**主要用于研究活动,如了解黑客和黑客团体的背景、目的和活动规律等。对于编写新的入侵检测规则、发现系统漏洞等具有价值。
3、根据设计和部署的不同,分以下两种类型:
**研究型蜜罐:**用于研究和教育目的,可能包括模拟不同的攻击场景和数据泄漏情况。
**生产型蜜罐:**用于保护实际的生产环境,监测和记录网络流量,以检测和预防潜在的安全威胁。
如何创建用于捕获 IP的基础蜜罐
通常情况下,威胁行为者都很聪明,不会点击未经请求的链接。但总有例外。当作者需要快速见效时,他会使用 Grabify.link,它允许用户自由创建和管理 IP 抓取活动。但我们需要的是更不起眼的东西。
首先要创建一个免费网站。有很多网站可供选择,如 Godaddy、Wix等等。这一点很重要,因为你可以利用蜜罐网站来满足多种需求,从而轻松地为不同的活动重新安排内容。在本例中,作者使用的是 Wix。
其次,在 TraceMyIP 创建一个账户。它是免费的,并可以让用户用很传统的方式使用IP记录器,此外,它还能提供更深入的网站访客统计数据。
点击“我的项目”中的“跟踪代码”。注意“页面加载”部分,一旦蜜罐全面启动,该部分将显示你的网站访问量、捕获的 IP 地址、浏览器和操作系统以及其他信息。
下一步,选择代码类型。在“通用跟踪器”子类别下,你可以尝试使用任何选项。在本例中,作者选择了 JavaScript 代码,这是推荐选项。点击获取代码,就会生成代码,供你复制并粘贴到 Wix 中。
这是为那些还记得2000年代 Myspace 版面生成器的人准备的。在这种情况下,我们需要删除一个图片源路径,这样它就不会出现在你的蜜罐中,也不会自动暴露出它的可疑之处。移除作者用红色标出的部分后,你的代码就不会再有任何人工痕迹了。
在此阶段,你不需要建立 Wix 网站,这可以稍后再做。前往“设置”,点击“自定义代码”。
接下来,点击 + 添加自定义代码。这将带你进入自定义代码模板,你可以在其中引入自己的第三方代码片段。
复制并粘贴你的自定义代码,然后配置你希望如何加载代码以及在哪些页面上加载代码。
最后,访问你的 Wix 网站,测试你的代码。然后回到 TraceMyIP、我的项目,选择页面加载。应该会看到网站访问的综合列表。点击跟踪。页面将打开,方便地显示网站访问者的大量有趣信息。TraceMyIP 的功能非常丰富,因此请花时间探索其众多选项。
善加利用OSINT
如何使用蜜罐最终取决于你的需求。这个 Wix 网站可根据你当前的目标进行修改,并可在几分钟内轻松更改,以适应新的目标。
请记住,你可以使用任何允许用户运行第三方代码的平台来托管你的 IP 日志脚本。例如,Start.me 允许第三方嵌入代码,用户可以在这里整理自己喜欢的网站链接、新闻源、笔记等。
从网站访客和威胁行为者那里获取信息是第一步。你可以使用 Netlas.io 等开源情报工具被动地进行网络侦察,如相关域、注册商信息、开放端口和漏洞 CVE,如果你想要采取进攻策略,这些信息可以为确定潜在的攻击载体提供重要见解。
创建蜜罐的方法有很多。例如,T-Pot 就像是“谍报系统中的瑞士军刀”,具有功能丰富的选项和图形界面。它还提供动画实时攻击地图,包括网络威胁检测和分析。这是监控真实和模拟事件的理想工具,有助于事件响应和数字取证调查。
由于这些病毒往往在野,因此必须注意自己的安全,确保自己的 IP 地址不会公开泄露,供他人攫取和攻击。无论你在网上做什么,匿名始终是你抵御网络监控的首要武器。只要利用可靠的在线匿名工具,保持良好的 OPSEC,就能轻松搞定蜜罐。
原文链接:
https://cybernews.com/editorial/hacker-honeypots-everyday-person/#google\_vignette
原文作者:
Jesse William McGraw
Jesse William McGraw,是一名前内部威胁和威胁行为者。他是美国近代史上第一个因破坏工业控制系统而被定罪的人。现在,他是一名人道主义活动家和公众演说家,并利用自己的知识提高人们对安全风险的认识。
END
点击这里阅读原文