浅析开源蜜罐识别与全网测绘
0x01前言
蜜罐是网络红蓝攻防对抗中检测威胁的重要产品。防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。
0x02介绍
蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。
根据蜜罐的交互特征,可以分为低交互蜜罐和高交互蜜罐。后者提供了一个真正的易受攻击的系统,为的就是让攻击者认为自己在攻击一个真实的系统,在一些甲方实际的蜜罐建设中还提出了使用真实的服务组件构建蜜罐系统的想法。低交互蜜罐则没有这么复杂,其提供了一个不完善的交互系统,有的甚至仅仅模拟了一个响应。互联网中的低交互蜜罐大部分为开源蜜罐。由于其特有的开放特性,人们能够对其特征进行识别和规避。
在本次浅析的过程中,探测的目标为使用了默认配置的开源蜜罐。我们调查了19种开源蜜罐和Fuzztesting特征蜜罐。本次浅析的目的是从攻击者角度出发找出开源蜜罐的特征,同时完成了多种开源蜜罐全网的分布。本次分析的蜜罐如表2-1所示。
表2-1 本次分析的蜜罐
0x03基于特征的蜜罐检测
3.1 协议的返回特征
部分开源蜜罐在模拟各个协议时,会在响应中带有一些明显的特征,可以根据这些特征来检测蜜罐。
拿Dionaea的Memcached协议举例,在实现Memcached协议时Dionaea把很多参数做了随机化,但是在一些参数如:version、libevent和rusage_user等都是固定的。
可以通过组合查询其固定参数来确定蜜罐,其他蜜罐在协议上的特征如表3-1所示。
表3-1 协议响应特征的蜜罐
3.2 协议实现的缺陷
在部分开源的蜜罐中模拟实现部分协议并不完善,我们可以通过发送一些特定的请求包获得的响应来判断是否为蜜罐。
3.2.1 SSH协议
SSH协议(Secure Shell)是一种加密的网络传输协议,最常用的是作为远程登录使用。SSH服务端与客户端建立连接时需要经历五个步骤:
- 协商版本号阶段。
- 协商密钥算法阶段。
- 认证阶段。
- 会话请求阶段。
- 交互会话阶段。
SSH蜜罐在模拟该协议时同样要实现这五个步骤。Kippo是一个已经停止更新的经典的SSH蜜罐,使用了twisted来模拟SSH协议。在kippo的最新版本中使用的是很老的twistd15.1.0版本。该版本有个明显的特征。在版本号交互阶段需要客户端的SSH版本为形如SSH-主版本-次版本软件版本号,当版本号为不支持的版本时,如SSH-1.9-OpenSSH_5.9p1就会报错“badversion1.9”并且断开连接。通过Kippo的配置来看,仅仅支持SSH-2.0-X和SSH-1.99-X两个主版本,其他主版本都会产生报错。
3.2.2 Mysql协议
部分Mysql蜜罐会通过构造一个恶意的mysql服务器,攻击者通过连接恶意的mysql服务器后发送一个查询请求,恶意的mysql服务器将会读取到攻击者指定的文件。
最早的如https://github.com/Gifts/Rogue-MySql-Server,可以伪造一个恶意的mysql服务器,并使用mysql客户端连接,如下图可见恶意的mysql服务器端已经成功读取到了客户端的/etc/password内容。
检测此类蜜罐的步骤可分为如下几步:
- 伪造客户端连接蜜罐mysql服务
- 连接成功发送mysql查询请求
- 接受mysql服务器响应,通过分析伪造的mysql客户端读取文件的数据包得到的报文结构:文件名长度+1 + \x00\x00\x01\xfb +文件名
那么我们就可以通过socket构造对应的流程即可识别伪造的mysql服务器,并抓取读取的文件名。
3.2.3 Telnet协议
Hfish蜜罐中实现了Telnet协议,默认监听在23端口。模拟的该协议默认无需验证,并且对各个命令的结果都做了响应的模板来做应答。在命令为空或者直接回车换行时,会响应default模板,该模板内容为test。因此可以利用这个特征进行该蜜罐在telnet服务上的检测如图所示。
3.3 明显的WEB的特征
部分开源蜜罐提供了web服务,这些web服务中常常会带有一些明显的特征,可以根据这些特征来检测蜜罐。如特定的js文件、build_hash或者版本号等。
还是拿Hfish举例。HFIsh在默认8080端口实现了一个WordPress登录页面,页面中由一个名为x.js的javascript文件用来记录尝试爆破的登录名密码。直接通过判断wordpress登录页是否存在x.js文件就可判断是否为蜜罐。
还有glastopf蜜罐,其没做任何伪装是最明显的。可以通过页面最下方的blog comments的输入框进行识别。
其他的常见的开源蜜罐在WEB上的特征如下表所示。
表3-2 具有明显WEB特征的蜜罐
3.4 上下文特征
部分开源蜜罐存在命令执行上下文明显的特征,本节以Cowrie和Hfish为例。
2020年6月份研究人员发现Mirai的新变种Aisuru检测可以根据执行命令的上下文检测到Cowrie开源蜜罐。当满足如下三个条件时Aisuru将会判定为蜜罐:
- 设备名称为localhost。
- 设备中所有进程启动于6月22日或6月23日。
- 存在用户名richard。
查看Cowrie源码在默认配置中执行ps命令,发现进程的启动时间都在6月22或6月23。不过在最新版的Cowrie中richard被phil替换,并且主机名由localhost替换为svr04。
由Aisuru的启发,是可以根据一些特定的上下文来检测蜜罐的。比如最新版的Cowrie,在默认配置下一些一些命令得到的结果是固定不变的。如:cat/proc/meminfo这个命令无论执行多少次得到的内容都是不变的,而这真实的系统中是不可能的。
再说Hfish蜜罐,Hfish同样也实现了SSH协议,默认监听在22端口。该蜜罐的SSH协议同样可以很容易的通过上下文识别出来。和telnet协议一样SSH协议在直接进行回车换行时会默认执行default输出test。
3.5 Fuzz testing 特征
Fuzztesting(模糊测试)本是一种安全测试的方法,通过产生随机的数据输入测试系统查看系统响应或者状态,以此发现潜在的安全漏洞。部分蜜罐借用Fuzztesting的思想实现了蜜罐系统,通过netlab的zom3y3大哥在《通过Anglerfish蜜罐发现未知的恶意软件威胁》种对Fuzztesting蜜罐的介绍,我们得知有以下几点特征:
- 响应任意端口的TCP SYN Packet。
- 根据协议特征,永远返回正确的响应。
- 返回预定义或者随机的Payload特征库集合。
该蜜罐很容易通过人工判断,其目的为模拟蜜罐fuzzing特征,通过预定义大量的关键字实现对扫描器的干扰。该类蜜罐可以通过跨服务的特征进行判断,如开放了HTTP服务同时响应了upnp协议,或者根据server的长度或者个数来判断。由于未知哪种蜜罐产品提供的这个蜜罐服务,quake将此蜜罐标记为未知蜜罐,可以使用语法app:”未知蜜罐”搜索。
0x04开源蜜罐的使用情况
4.1 蜜罐分布
在确定了部分开源蜜罐的特征后,我们利用特征进行了全网匹配,发现了369161条服务数据和72948个独立ip。全球和全国蜜罐分布如图所示。
可以看到在这些开源蜜罐中,中国的数量是最多的。其中,中国台湾占据了1/3,位于国内第一。并且在全球省份排名中,台湾省的数量是第一的。
从ASN的分布上来看,ASN数量全球TOP5如表所示。发现开源蜜罐主要还是部分部署在云厂商或者教育网中。
4.2 生命周期
结合蜜罐服务资产数和ASNTOP5全年的分布可以看,蜜罐数量在全年由三个峰值,分别为四月、六月和十二月。
在之前讨论蜜罐的fuzztesting时,发现在响应中含有大量与服务有关的关键词,用来干扰扫描器服务识别。其中发现在服务的响应中含有weblogic关键词的蜜罐在十一月开始爆发,我们知道在十月份CVE-2020-14882weblogic未授权命令执行漏洞被披露出来。由此可以看出此类蜜罐可根据热点漏洞进行进行灵活配置,以达到捕捉扫描器的目的。
0x05结论
本文通过蜜罐协议返回特征、协议实现的缺陷、明显的WEB特征和Fuzztesting的特征对常见的19种开源蜜罐进行了分析。我们的研究发现,互联网中存在有超过369161个蜜罐服务,这些蜜罐都可以通过最简单的特征被检测出来,因为这些蜜罐都是在默认配置情况下被开放在互联网上,基本上是一种自我暴露的状态。
从全球分布上来看中国台湾集中了大量的蜜罐,在全球蜜罐的ASN分布中,主要集中在云厂商和教育网络中。同时在全年的蜜罐数量上在四月份、六月份和十二月份存在三个峰值,并且通过部分蜜罐响应的关键字来看,蜜罐的数量可能会随着热点漏洞的披露而增长。
最后,本文中所涉及的蜜罐均可在Quake中搜索,我们提供了三种渠道:
https://quake.360.cn/quake/#/specialDetail/5ff5678693fe78dcaa8b2f09
0x06参考
[1] 蜜罐技术研究新进展[J]. 石乐义,李阳,马猛飞. 电子与信息学报. 2019(02)
[2] 基于数据包分片的工控蜜罐识别方法[J]. 游建舟,张悦阳,吕世超,陈新,尹丽波,孙利民. 信息安全学报. 2019(03)
[3] VETTERL, A., AND CLAYTON, R. Bitter harvest: Systematicallyfingerprintinglow- and medium-interaction honeypots at internet scale.In 12thUSENIX Workshopon Offensive Technologies, WOOT’18.
[4] http://books.gigatux.nl/mirror/honeypot/final/ch09lev1sec1.html
[5] https://mp.weixin.qq.com/s/_hpJP6bTuoH-3cQtDawGOw
[6]https://www.avira.com/en/blog/new-mirai-variant-aisuru-detects-cowrie-opensource-honeypots
[7] https://hal.archives-ouvertes.fr/hal-00762596/document
[8] https://subs.emis.de/LNI/Proceedings/Proceedings170/177.pdf
[9] https://www.freebuf.com/articles/ics-articles/230402.html
[10] http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/
[11] https://github.com/mushorg/conpot
[12] https://github.com/cowrie/cowrie
[13] https://github.com/DinoTools/dionaea
[14] https://github.com/jordan-wright/elastichoney
[15] https://github.com/bontchev/elasticpot
[16] https://github.com/mushorg/glastopf
[17] https://github.com/hacklcx/HFish/
[18] https://github.com/omererdem/honeything
[19] https://github.com/desaster/kippo
[20] https://github.com/madirish/kojoney2
[21] https://github.com/jrwren/nepenthes
[22] https://github.com/thinkst/opencanary
[23] https://github.com/Gifts/Rogue-MySql-Server
[24] https://github.com/jaksi/sshesame
[25] https://github.com/Cymmetria/weblogic_honeypot
[26] https://github.com/bg6cq/whoisscanme
[27] https://github.com/zeroq/amun
[28] https://github.com/foospidy/HoneyPy
[29] https://github.com/Cymmetria/StrutsHoneypot
附录:
推荐系统
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
相关文章
- 360安全路由2代怎么样?360安全路由器2使用体验评测
- 打个电话就开机!六种方法推荐
- 这次不是黑客!美输油管道刚恢复运营 网络又现故障
- 绕过CDN寻找真实IP的8种方法
- 如何实现每次访问共享文件都需要输入账户和密码 远程访问共享文件需要用户密码验证
- 网络打印机脱机状态怎么解除 网络打印机脱机状态解除方法
- 域渗透——使用MachineAccount实现DCSync
- Ghost有漏洞 镜像恢复需小心陷阱
- 用路由器连接网络无法打开网页怎么办【解决方法】
- u盘被写保护怎么解除 u盘被写保护解除方法【详解】
- 网络管理之ICMP协议篇
- 校内网最新 xss Cookies得到密码
- Win 10系统如何打开自动搜索网络?打开自动搜索网络的方法
- PHPWIND & DISCUZ! CSRF漏洞
- Win10无法访问网络报错“0x80072FBF”怎么解决 Win10无法访问网络报错“0x80072FBF”解决方法
- DDoS 攻击者竟会“黑吃黑”?关于DDoS 你不知道的还有这些
- PHP 5 php_sprintf_appendstring() 整数溢出漏洞
- 直击RSAC 2020创新沙盒总决赛 周鸿祎直播开“谈”
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1迅雷云播“手机看片神器”使用教程(随时随地秒速离线云播放)
- 2微信公众号怎么年审? 微信公众号年审流程及所需材料介绍
- 3Win10怎么设置网络按流量计费 Win10网络设置流量收费教程
- 4Steam提示“需要在线进行更新,请确认您的网络连接正常”怎么办?
- 5i7 6700主频是多少 i7-6700参数详解
- 6安卓手机安装运行win7系统教程 安卓手机装win7系统教程
- 7win7蓝屏代码7f指什 怎么解决 很严重
- 8二手笔记本电脑价格是多少 二手笔记本电脑价格盘点
- 9华硕b460主板装win7系统及bios设置教程 10代CPU安装Win7教程 BIOS设置 U盘启动 完美支持USB驱动
- 10aoc一体机电脑win10改win7系统及bios设置
常用系统
- 1小马系统Ghost Win8.1系统 (X64) 最新装机版2018年9月(绝对激活)ISO镜像下载
- 2番茄花园Ghost Win8.1 (X32) 纯净版2020年4月(免激活) ISO镜像免费下载
- 3新萝卜家园 GhostWin7 SP1 电脑城极速稳定版2021年6月(32位) ISO镜像高速下载
- 4新雨林木风 Windows10 x86 企业装机版2022年3月(32位) ISO镜像高速下载
- 5番茄花园 Windows 10 官方企业版 2020年4月(64位) ISO高速下载
- 6华硕笔记本&台式机专用系统 海量驱动 GHOSTXPSP3 2018年7月 ISO镜像下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 喜迎国庆 企业版 版本1507 2021年10月(64位) ISO镜像免费下载
- 8电脑公司Ghost Win8.1 x32 喜迎国庆 精选纯净版2021年10月(免激活) ISO镜像高速下载
- 9番茄花园Ghost Win8.1 x64 办公纯净版2020年8月(激活版) ISO镜像高速下载
- 10番茄花园GhostWin7 SP1电脑城六一节 极速装机版2022年6月(32位) 最新高速下载