如何使用Honeybits提升蜜罐系統(tǒng)的有效性
關(guān)于Honeybits
Honeybits是一款針對蜜罐系統(tǒng)的輔助工具,該工具旨在通過在生產(chǎn)服務(wù)器或工作站系統(tǒng)中插入各種因素來引誘攻擊者進(jìn)入你所設(shè)置的蜜罐系統(tǒng),從而提升蜜罐系統(tǒng)的有效性。
盡管安全研究人員多年來一直使用蜜罐來研究攻擊者的工具、技術(shù)和動機(jī),但它們?nèi)晕幢粡V泛接受并部署在生產(chǎn)環(huán)境中。一個原因是蜜罐的傳統(tǒng)實(shí)現(xiàn)是靜態(tài)的,是否成功取決于攻擊者是否能夠發(fā)現(xiàn)它們(通常需要網(wǎng)絡(luò)掃描)!
針對后滲透技術(shù)而言,特別是ATT&CK矩陣中的“憑證訪問”、“發(fā)現(xiàn)”和“橫向移動”策略下的技術(shù),你植入的虛假或誤導(dǎo)性信息越多,抓住攻擊者的機(jī)會就越大。
Honeybits可以幫助廣大研究人員在生產(chǎn)服務(wù)器和工作站上自動創(chuàng)建各類誤導(dǎo)性內(nèi)容,其中包括:
1、偽造的bash_history命令(如ssh、ftp、rsync、scp、mysql、wget、awscli);
2、偽造的AWS憑據(jù)和配置文件(你需要創(chuàng)建沒有權(quán)限的偽造AWS IAM用戶并為他們生成訪問密鑰);
3、配置、備份和連接文件,如RDP和VPN;
4、主機(jī)、ARP表中的偽條目;
5、偽造瀏覽器歷史記錄、書簽和保存的密碼;
6、向LSASS注入偽造的憑據(jù);
7、偽造的注冊表項(xiàng);
工具執(zhí)行流如下圖所示:
功能介紹
1、創(chuàng)建蜜罐文件并使用go-audit或auditd監(jiān)控相關(guān)的蜜罐文件訪問;
2、針對蜜罐文件基于內(nèi)容生成模版;
3、將Honeybits注入到AWS配置或憑證文件;
4、將Honeybits注入到/etc/hosts;
5、從一個遠(yuǎn)程鍵/值存儲(例如Consul或etcd)讀取配置信息;
6、將不同的Honeybits注入到“bash_history”,其中包括下列樣例命令:
ssh (sshpass -p '123456' ssh -p 2222 root@192.168.1.66)
ftp (ftp ftp://backup:b123@192.168.1.66:2121)
rsync (rsync -avz -e 'ssh -p 2222' root@192.168.1.66:/var/db/backup.tar.gz /tmp/backup.tar.gz)
scp (scp -P 2222 root@192.168.1.66:/var/db/backup.tar.gz /tmp/backup.tar.gz)
mysql (mysql -h 192.168.1.66 -P 3306 -u dbadmin -p12345 -e "show databases")
wget (wget http://192.168.1.66:8080/backup.zip)
任意自定義命令: (nano /tmp/backup/credentials.txt)export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws ec2 describe-instances --profile devops --region us-east-2工具要求
GoLang1.7+
Viper(go get github.com/spf13/viper)
crypt(go get github.com/xordataexchange/crypt/config)
go-audit或auditd
工具安裝
由于該工具基于純Go語言開發(fā),因此我們首先需要在本地設(shè)備上安裝并配置好Go v1.7+環(huán)境。接下來,廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地:
git clone https://github.com/0x4D31/honeybits.git工具使用
$ go build
$ sudo ./honeybits
Failed reading remote config. Reading the local config file...
Local config file loaded.
[failed] honeyfile already exists at this path: /tmp/secret.txt
[done] go-audit rule for /home/test/secret.txt is added
[done] honeyfile is created (/home/test/secret.txt)
[done] go-audit rule for /opt/secret.txt is added
[done] sshpass honeybit is inserted
[done] wget honeybit is inserted
[done] ftp honeybit is inserted
[done] rsync honeybit is inserted
[done] scp honeybit is inserted
[done] mysql honeybit is inserted
[failed] aws honeybit already exists
[done] hostsconf honeybit is inserted
[done] awsconf honeybit is inserted
[done] awscred honeybit is inserted
[done] custom honeybit is inserted許可證協(xié)議
本項(xiàng)目的開發(fā)與發(fā)布遵循GPL-3.0開源許可證協(xié)議。
項(xiàng)目地址
Honeybits:【GitHub傳送門】
參考資料
https://github.com/0x4D31/honeybits-win
本文作者:Alpha_h4ck, 轉(zhuǎn)載請注明來自FreeBuf.COM
