No.1

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

No.2

前言

Kippo是一个中等交互的SSH蜜罐,提供了一个可供攻击者操作的shell,攻击者可以通过SSH登录蜜罐,并做一些常见的命令操作。当攻击者拿下一台服务器的权限后,很可能会进行小范围的端口探测或者批量的端口扫描,以便横向扩展,获取更多服务器的控制权,因此部署内网SSH蜜罐,把攻击者引诱到蜜罐里来,触发实时告警,即可让安全人员及时知道已经有攻击者渗透内网、知道哪台服务器已被控制、以及攻击者在蜜罐上做了哪些操作。

No.3

安装以及使用

公有云上的CentOS7x86_64(非OpenVZ),双核,2GB内存,SELinux不开启

$sudoyuminstalllibffilibffi-develgccgit-y$sudoyuminstallpython-developensslopenssl-devel-y$sudoyuminstallpython-twisted-corepython-setuptoolspython-virtualenv-y$sudoeasy_installpycryptopyasn1$sudoeasy_installpip$pipinstallcryptography$sudopipinstalltwisted==15.2.0$sudopipinstallservice_identity

修改真实ssh端口后设置Firewalld

$sudovim/etc/ssh/sshd_config#修改Port为22$sudofirewall-cmd--add-port=22/tcp--permanent$sudofirewall-cmd--add-port=/tcp--permanent$sudofirewall-cmd--permanent--add-forward-port=port=22:proto=tcp:toport=:addr={你的服务器ip}$sudofirewall-cmd--reload

创建用户克隆项目

$sudouseraddkippo$sudosukippo$cd~$gitclone$cdkippo

启动Kippo

$cpkippo.cfg.distkippo.cfg$./start.sh

data:存放sshkey,lastlog.txt和userdb.txtlastlog.txt:last命令的输出,即存储了登陆蜜罐的信息,也可以伪造userdb.txt:可以登陆的用户,可以给一个用户设置多个密码,一个用户一行格式为username:uid:passwor

kippo:核心文件,模拟一些交互式的命令等。

dl:wget等等下载的文件存放的地方utils:convert32.py:把tty的日志转换为标准32位的小数格式,其实直接strings查看就可以了createfs.py:可以用来模拟真实系统的一些文件目录之类的。

在运行一段时间之后,kippo软件包的log目录下就存储了大量的log文件,记录了kippo蜜罐所捕获的每次SSH口令猜测和进一步控制命令记录,在log/tty路径下,则记录了攻击者成功猜测kippo配置的用户名和口令后,登录进伪装的SSH服务之后所进行的攻击命令会话过程。利用utils目录下的playlog.py工具,就可以按照捕获攻击命令的时间点逼真地恢复出当时的攻击会话场景。而在dl目录下,则记录了攻击者在kippo中通过wget或curl等命令所下载的攻击工具文件,可供分析人员进一步对这些工具进行分析。

No.4

Kippo蜜罐的定制与日志汇总

在Kippo的data目录下的userdb.txt中可以定制Kippo蜜罐模拟SSH服务的用户名和口令,攻击者如果使用passwd修改了口令之后,也会被自动地添加于此,他之后的连接尝试也会立即进入蜜罐之中。Kippo蜜罐所模拟的文件系统也可以利用utils目录下的createfs.py脚本工具,在一台你所希望模拟文件系统列表的主机上进行运行,生成一个定制的文件系统目录列表,保存于fs.pickle文件中。而文件系统中的文件内容,则可以拷贝至honeyfs目录中,在攻击者通过Kippo请求这些文件时,就会读取到这些文件内容。Kippo蜜罐的捕获日志除了保存在本地log目录之外,还可以通过Kippo源码目录下的dblog/mysql.py导入到MySQL数据库中,以供分析人员进一步分析。

安全服务部北京大区致力于北京及区域城市的安全检测和咨询规划业务支撑。团队拥有非常完善的渗透测试、代码审计、应急响应、网络安保、安全咨询的服务体系和技术能力。同时,主要负责区域内CTF比赛支撑、红蓝对抗业务、各行业安全体系建设和DevSecOps体系建设等,致力于打造一个规范、安全、高效、诚信、专业的安全服务团队。

No.5

招聘启事

安全服务工程师(驻场)————————工作地点:北京1.负责对客户系统进行渗透测试,包括各类应用系统、移动APP等,全面发现被测系统存在的安全问题并提供修复建议;2.客户系统出现安全事件时进行应急处置,协助客户修复安全漏洞;3.跟踪国内外信息安全动态,进行安全攻防技术研究。4.负责日常网络安全产品运维、漏洞扫描、网络安全基线配置核查等;5.负责日常网络安全日志和事件监测、分析、预警、处置、总结;6.负责敏感时期、重大节假日期间的网络安全保障;7.协助用户处理日常安全工作,提供安全建议和咨询。1.对网络安全攻防感兴趣,熟练掌握渗透测试技巧、熟练运用各类安全软件、安全测试工具;2.熟悉渗透测试步骤、方法、流程,熟练使用渗透测试工具;3.熟悉常见web安全漏洞的原理、测试方法、加固方法;4.熟悉常见安全设备,能够独立进行日志分析、安全分析;5.熟悉应急响应流程,能够独立完成应急响应工作;6.具有较好的工作习惯及较强的文档、报告、方案编写能力;7.具备优秀的沟通协调能力、学习能力、抗压能力;

简历投递至:yanyu.chen

dbappsecurity.


转载请注明地址:http://www.leishene.com/lsfz/6583.html