简易PC蜜罐的作用是什么

发布时间:2021-10-13 15:45:33 作者:iii
来源:亿速云 阅读:168

本篇内容介绍了“简易PC蜜罐的作用是什么”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!

蜜罐作用

一般是直接放入恶意程序,点击运行的,所以PC蜜罐需要起到的作用:

1. 查看攻击者的操作行为,比如是否上传一些扫描工具、漏洞利用工具,进行攻击者画像。

2. 获取攻击者的基础攻击设施,例如域名、远控IP,再通过现有的能力来排查是否有其他主机被入侵。

3. 尝试诱导攻击者下载运行安装了后门的恶意程序,进行最直接的钓鱼反制。

4. 诱导攻击者对服务器蜜罐进行攻击。

5. 蜜罐本身需要有足够的安全性,不至于成为突破口。

初步设想

一般来说,红队进行钓鱼,获取办公网节点后,一般会做哪些动作?

1. 后渗透信息收集,获取PC上的敏感信息,例如:

2. 以此PC作为跳板,进行横向移动。

既然是为了进行反制,那么就可以投其所好,可以准备一些伪造的东西。

以开发中招为例:

当然,可以放一些装了后门的安装包(VPN、安装包)作为诱饵使用,诱骗攻击者进行点击,便于反制。

比如,装了后门的可执行程序或者安装包 (像VPN这些还可以附上安装说明文档显得更真实):

或者再来点:

当然除了这些,我们还需要得知攻击者实际拿到了这台服务器权限,会做什么动作?

这里采用了开源的HIDS,wazuh + sysmon,进行基本的行为监测。

实际搭建

准备:

  1. 一台远控服务器( 域前置 + nginx + cs + 机器人上线提醒)

  2. 一台Ubuntu 虚拟机,主要安装wazuh, 来监控Win虚拟机行为。

  3. 一台Win虚拟机,主要做蜜罐使用,安装sysmon   + wazuh agent。 

安装包:

具体安装步骤就不写了,这里就列几点实际部署中遇到的注意点:

1. 虚拟机直接显示宿主机信息

为了尽可能的不让攻击者察觉到这是一个虚拟机,因此这里简单的做了下主机信息的修改:

在*.vmx文件中添加一行配置SMBIOS.reflectHost = "TRUE",这样主机信息会显示的是物理机的信息。

2. 修改虚拟机网段,可以改成10.x.x.x ,  同时关闭共享服务。

3. sysmon 安装失败时,如出现”error getting the evt dll (wevtapi.dll)“ 错误,考虑是否缺少安装系统补丁导致。

4. wazuh 在使用docker部署时,最好先修改密码,再进行部署,避免后面修改kibana密码时比较麻烦。

5. wazuh + sysmon联动, 参考 https://www.jianshu.com/p/9e07f638dbd9 ,不过需要注意的是,wazuh每个版本的匹配规则都有点不一样

<group name="sysmon,MITRE,">

<rule id="355001" level="12">

<if_group>sysmon_event1</if_group>

<field name="win.eventdata.image">\.+</field>

<description>Sysmon - Event 1: Process creation $(win.eventdata.image)</description>

</rule>

<rule id="355002" level="11">

<if_group>sysmon_event3</if_group>

<field name="win.eventdata.image">\.+</field>

<description>Sysmon - Event 3: Network connection $(win.eventdata.image)</description>

</rule>

</group>

6. 部署时如果Ubuntu服务端启用ufw做端口访问限制,由于ufw和docker机制的问题, 则需要修改ufw默认配置

7. 蜜罐不要联入公司网络,这样即使被逃逸也没事。

实现截图

蜜罐搭建的截图:

简易PC蜜罐的作用是什么HIDS告警信息截图:

简易PC蜜罐的作用是什么简易PC蜜罐的作用是什么

攻击者如果中招, 则Cobalt Strike 会上线,相关截图:

简易PC蜜罐的作用是什么

“简易PC蜜罐的作用是什么”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注亿速云网站,小编将为大家输出更多高质量的实用文章!

推荐阅读:
  1. SSH蜜罐cowrie实战
  2. pc端和移动端是什么

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

服务器

上一篇:Linux宕机怎么重启

下一篇:JAVA中单元测试的常用方式有哪些呢

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》