0x01简介
蜜罐是网络红青攻防检测威胁的重要产品。 防守方面经常利用蜜罐分析攻击行为,捕获脆弱性,打击攻击者。 攻击者可以通过蜜罐识别技术发现和避免蜜罐。 因此,我们有必要站在红队攻击者的角度研究蜜罐识别的方式方法。
0x02介绍
蜜罐是安全威胁的检测技术,其本质是诱惑和欺骗攻击者,通过记录攻击者的攻击日志创造价值。 安全研究者可以通过分析蜜罐被攻击的记录来推测攻击者的意图和手段等信息。
根据蜜罐交互的特点,可以分为低交互蜜罐和高交互蜜罐。 后者提供了真正容易受到攻击的系统,为了让攻击者认为自己在攻击真实的系统,在一些甲方的实际蜜罐建设中提出了使用真实的服务组件构建蜜罐系统的想法。 低交互蜜罐并不那么复杂,提供了不完全的交互系统,有些只是模拟了一个响应。 网上的低交互蜜罐大部分是开源蜜罐。 其特有的开放特性使人们能够识别和避免其特征。
在这次浅析的过程中,勘探的目标是使用默认配置的开源蜜罐。 我们调查了19种开源蜜罐和Fuzz testing特征的蜜罐。 这次浅析的目的是从攻击者的角度找出开源蜜罐的特征,同时完成多个开源蜜罐的全网分布。 这次分析的蜜罐如表2-1所示。
表2-1这次分析的蜜罐
基于0x03特征的蜜罐检测
3.1协议的返回特性
有些开源蜜罐在模拟各协议时,响应具有明显的特征,可以根据这些特征检测蜜罐。
以Dionaea的Memcached协议为例,在实施Memcached协议时,Dionaea随机化了很多参数,但version、libevent、rusage_user等一些参数是固定的
通过组合其固定参数可以决定蜜罐,其他蜜罐在协议上的特征如表31所示。
表3-1协议响应特性的蜜罐
. 2协议实现的缺陷
在一些开源蜜罐中模拟不完全实现某些协议,可以根据发送特定的请求数据包得到的响应来判断是否是蜜罐。
3.2.1 SSH协议
SSH协议(secure shell )是加密的网络传输协议,最常见的是用作远程登录。 SSH服务器与客户端建立连接需要五个步骤。
协商版本号阶段。协商密钥算法的阶段。
认证阶段。
会话请求阶段。
对话会话。
SSH蜜罐在模拟该协议时也必须实现这五个步骤。 Kippo是停止更新的经典SSH蜜罐,使用twisted模拟SSH协议。 最新版本的kippo使用的是旧的twistd 15.1.0版本。 这个版本有明显的特征。 在版本号交互阶段,客户端的SSH版本类似于SSH-主版本-次版本的软件版本号,如果是不支持版本号的版本,则为ssh-1.9-OpenSSH _。 Kippo的配置仅支持两个母版版本: SSH-2.0-X和SSH-1.99-X,其他母版版本会出现错误。
3.2.2 Mysql协议
有些Mysql蜜罐通过构建恶意Mysql服务器,在攻击者连接到恶意Mysql服务器后发送查询请求。 恶意Mysql服务器读取攻击者指定的文件。
像前那样,伪造恶意mysql服务器,使用mysql客户端进行连接时,恶意MySQL服务器端如下图所示。
检测这种蜜罐的步骤可以分为以下步骤。
客户端连接蜜罐mysql服务器的伪造
连接成功发送了mysql查询请求
接收到来自mysql服务器的响应,分析伪造的mysql客户端读取文件的包所得到的消息结构:文件名长度1 \x00\x00\x01\xfb文件名
中文
电话咨询
微信咨询
公众号
