关于Honeybits
Honeybits是一款针对蜜罐系统的辅助工具,该工具旨在通过在生产 服务器 或工作站系统中插入各种因素来引诱攻击者进入你所设置的蜜罐系统,从而提升蜜罐系统的有效性。
尽管安全研究人员多年来一直使用蜜罐来研究攻击者的工具、技术和动机,但它们仍未被广泛接受并部署在生产环境中。一个原因是蜜罐的传统实现是静态的,是否成功取决于攻击者是否能够发现它们(通常需要网络扫描)!
针对后渗透技术而言,特别是ATT&CK矩阵中的“凭证访问”、“发现”和“横向移动”策略下的技术,你植入的虚假或误导性信息越多,抓住攻击者的机会就越大。
Honeybits可以帮助广大研究人员在生产服务器和工作站上自动创建各类误导性内容,其中包括:
1、伪造的bash_history命令(如ssh、ftp、rsync、scp、mysql、wget、awscli);
2、伪造的AWS凭据和配置文件(你需要创建没有权限的伪造AWS IAM用户并为他们生成访问密钥);
3、配置、备份和连接文件,如RDP和科学;
4、主机、ARP表中的伪条目;
5、伪造浏览器历史记录、书签和保存的密码;
6、向LSASS注入伪造的凭据;
7、伪造的注册表项;
工具执行流如下图所示:
功能介绍

1、创建蜜罐文件并使用go-audit或auditd监控相关的蜜罐文件访问;
2、针对蜜罐文件基于内容生成模版;
3、将Honeybits注入到AWS配置或凭证文件;
4、将Honeybits注入到/etc/hosts;
5、从一个远程键/值存储(例如consul或etcd)读取配置信息;
6、将不同的Honeybits注入到“bash_history”,其中包括下列样例命令:
ssh (sshpass -p '123456' ssh -p 2222 [emailprotected])ftp (ftp ftp://backup:[emailprotected]:2121)rsync (rsync -avz -e 'ssh -p 2222' [emailprotected]:/var/db/backup.tar.gz /tmp/backup.tar.gz)scp (scp -P 2222 [emailprotected]:/var/db/backup.tar.gz /tmp/backup.tar.gz)mysql (mysql -h 192.168.1.66 -P 3306 -u dbadmin -p12345 -e "show>工具要求GoLang1.7+
Viper(go get github.com/spf13/viper)
crypt(go get github.com/xordataexchange/crypt/config)
go-audit或auditd
工具安装
由于该工具基于纯Go语言开发,因此我们首先需要在本地设备上安装并配置好Gov1.7+环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone工具使用$ go build$ sudo ./honeybitsFailed reading remote config. Reading the local config file...Local config file loaded.[failed] honeyfile already exists at this path: /tmp/secret.txt[done] go-audit rule for /home/test/secret.txt is added[done] honeyfile is created (/home/test/secret.txt)[done] go-audit rule for /opt/secret.txt is added[done] sshpass honeybit is inserted[done] wget honeybit is inserted[done] ftp honeybit is inserted[done] rsync honeybit is inserted[done] scp honeybit is inserted[done] mysql honeybit is inserted[failed] aws honeybit already exists[done] hostsconf honeybit is inserted[done] awsconf honeybit is inserted[done] awscred honeybit is inserted[done] custom honeybit is inserted
许可证协议
本项目的开发与发布遵循GPL-3.0开源许可证协议。
项目地址
Honeybits:【GitHub传送门】
参考资料
什么是蜜罐?
蜜罐(Honeypot)是一种在互联网上运行的计算机系统。
他是专门为诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个易受攻击的目标。
由于蜜罐没有向外接替共真正有价值的服务,因此说有对蜜罐的尝试都被视为可疑的。
蜜罐的另一种用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。
简单的说就是一个诱惑攻击者的陷阱。
什么是蜜罐?
蜜罐(Honeypot)是一种在互联网上运行的计算机系统。
他是专门为诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个易受攻击的目标。
由于蜜罐没有向外接替共真正有价值的服务,因此说有对蜜罐的尝试都被视为可疑的。
蜜罐的另一种用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。
简单的说就是一个诱惑攻击者的陷阱。
喝蜂蜜增加抵抗力吗
蜂蜜不但能增加抵抗力,而且还能提高免疫力,每天早上空腹喝是最有效的,但是,有糖尿病或体内有瘤子的不能这样喝的。
发表评论