hfish反控境外攻击源主机
导师给了7个网络安全课题选题,本想和他聊了下思路,他一挥手让我先做出点东西再来聊就把我打发走了……
正好前段时间阿里云到校做推广,用优惠卷薅了一台云服务器,装了hfish先看下情况
没想到才装上没两天数据库就爆了,跑到客服群里问,换mysql 关扫描感知,一通操作性能好多了
稳定下来又观察了一个月,发现针对SSH的爆破攻击最多,发现有两个可以深入的点:
1)使用ssh云端高交互蜜罐可以抓到攻击者的操作,比如上传后门木马文件,下载之后还能放到沙箱看看具体的等级、威胁情况、C2地址等,是一种稳定的情报生产方式,用perl可以加到院里防火墙做提前拦截/阻断;
2)ssh低交互蜜罐会存储大量攻击爆破hfish的密码表,即可形成爆破字典,借此可反扫描攻击来源IP从而反控攻击来源主机!具体原因是,经过分析,蜜罐抓到的很多都是被自动化蠕虫感染的僵尸主机,这些主机之所以被感染是因为存在弱密码,正常主机被蠕虫感染后就会进行相同的恶意行为,所以同理可证,我们用同样的攻击工具和密码本反破解僵尸主机,有大概率能控制它们。
第一个点子让大飞哥帮我写了个脚本,他们公司也用这个蜜罐,第二个需要自己动手
密码表
先通过web界面导出收集的账号密码,
导出后有3万7条
一个有趣的地方,有小白黑客搞错了参数,将爆破的账号密码参数都搞反了,手动修正后去重剩34000
求大飞哥把他们公司装在云上的N个hfish蜜罐收集到的账号密码也导给我了,修正,然后再和34000的合并去重后有了一个九万条的密码表!
扫描地址
这里有点麻烦,先在linux上安装个jq程序,
yum install jq
hfish提供了一个api可以拿攻击来源ip,不过hfish吐出来的是一个大json,用jq程序,我们将其中ip地址取出来,
经过反复测试,执行如下命令最终可以得到一个ip一行的大txt文件,
curl -k -X POST "https://我的蜜罐地址:4433/api/v1/attack/ip?api_key=不告诉你" -d '{"start_time": 0,"end_time": 0,"intranet": 0}' | jq ".data .attack_ip"[] | sed s/\"//g
最后是激动人心的时刻,我做了一个计划任务,每天从hfsih api接口取前一天的攻击来源地址。
用从github上下载的hydra加载9万个密码表暴力破解,运气好的话每天可以反向控制150台左右的境外ip,有时候运气不好只有40几台,为避免法律风险,这里就不贴图了。
经过抽样分析,大部分主机已经被蠕虫反复感染,
进一步执行netstat -ant 和查看ssh登录记录得到更多攻击来源地址,
再用perl做一个脚本生成csv文件,导入到nrd中生成关系图,不知道为什么nrd老崩溃,但数据已经到手了,可以找导师去了!
这篇好文章是转载于:学新通技术网
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通技术网
- 本文地址: /boutique/detail/tanhgjcigk
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
《学习通》视频自动暂停处理方法
HelloWorld317 07-05 -
word里面弄一个表格后上面的标题会跑到下面怎么办
PHP中文网 06-20 -
Android 11 保存文件到外部存储,并分享文件
Luke 10-12 -
photoshop扩展功能面板显示灰色怎么办
PHP中文网 06-14 -
微信公众号没有声音提示怎么办
PHP中文网 03-31 -
excel下划线不显示怎么办
PHP中文网 06-23 -
excel打印预览压线压字怎么办
PHP中文网 06-22 -
TikTok加速器哪个好免费的TK加速器推荐
TK小达人 10-01 -
怎样阻止微信小程序自动打开
PHP中文网 06-13