搭建企业蜜网时如何在内网区域变“废”为宝
摘要:正常情况下是在公网,DMZ和内网办公区域中部署三层蜜罐系统。今天,我们仅讨论在搭建企业蜜网时如何在内网区域变“废”为宝,而不仅仅是几个可怜的蜜罐。
正常情况下是在公网,DMZ和内网办公区域中部署三层蜜罐系统。今天,我们仅讨论在搭建企业蜜网时如何在内网区域变“废”为宝,而不仅仅是几个可怜的蜜罐。当然,该解决方案属于一个低交互性蜜罐,它是一个由低交互性蜜罐组成的完整蜜罐网络,该网络将我们当前的服务器组装成一个哨兵。低交互蜜罐的工作原理实际上并不复杂。 一旦攻击者突破了外部网络,他就会在特定服务器上执行端口扫描检测,触摸蜜罐陷阱节点,然后将蜜罐流量传输到蜜罐服务器并生成警报。如下图所示:
目前,大多数蜜罐系统都处于上述情况。一些IP被捆绑为各个网段中的蜜罐节点,等待被触发。启用哨兵蜜网后,所有主机都是蜜罐,并且所有端口都被混淆。
在这里,我们使用开源的Visual Syslog Server,Visual Syslog Server for Windows是免费的开源程序,用于接收和查看Syslog消息。当然,如果有自己的SYSLOG平台,就没有问题。如果可以在Splunk平台上进一步处理收集的SYSLOG日志,那就更好了。
之所以使用Visual Syslog Server for Windows,实际上是因为它的质量好,特别是内置的消息流处理模块非常有用。它可以对我们的SYSLOG日志执行消息处理,例如触发某个条件之后,通过消息处理播放异常的警报声音效果或发送邮件以执行程序,等等。
在此跳过如何设置和使用,属于一装即用。我们首先自行安装和构建Syslog Server平台,以供哨兵蜜网收集日志。
首先,我们假设Nmap扫描内部网络中的存活主机。我们可以看到目标主机之一是一台服务器,其服务器已打开80、3389。
现在尝试在主机上运行哨兵程序并启用哨兵端口,例如:
这里打开了端口21、23、80、1433和3389。我们可以看到系统已经占用了80和3389,因此在运行脚本之后,端口80和3389已被占用,并且后台任务会自动显示完成状态。不影响当前的系统运行业务。
再次扫描后,如下图所示,可以发现已打开新端口:21、23、1433等。
尝试使用telnet连接到端口21,可以看到SYSLOG服务器收到了警报日志
在另一个测试案例中,连接到端口3306触发警报
让我们测试蜜网上Nmap的扫描情况,并在主机上启用以下端口
Nmap -sS(TCP SYN扫描,无警报)
Nmap -sA(TCP ACK扫描,无警报)
Nmap -O(OS检测扫描,无告警)
Nmap -sT(TCP连接扫描,警报)
Nmap -sV(端口服务扫描,警报)
Nmap -A(全面扫描,警报)
这样,对SYN扫描不敏感可以减少大多数扫描情况,并完美达到减少误报的目的。有条件的兄弟可以与SPLUNK等数据平台结合使用,以实现美观的数据可视化和警报警告,还可以过滤其他错误警报和组合警报情况!
有许多开源的商业蜜罐解决方案,它们也非常先进并且可以实现许多功能,但是它们通常不那么容易部署,并且需要部署各种资源。本文中的哨兵蜜网在部署中有自然的优势。主体由PowerShell脚本组成,并依赖Windows服务,优点明显。可以通过域控制进行部署。该哨兵程序可以在低特权用户下运行。PS脚本本身可以简单修改,端口号和白名单都写到脚本文件本身中,然后进行了一定程度的混淆,例如通过Invoke-Obfuscation脚本进行加密。
在代码中,邮件警报也可以实现,但是通常不建议直接使用电子邮件警报,最佳实现方法仍应属于SPLUNK/ELK/GRAYLOG和其他解决方案。
下面提供一些部署计划,因为它是批处理,Powershell脚本,当然也可以自己玩。
解决方案1,最简单的解决方案,是在需要运行以部署混乱端口的主机上执行哨兵程序,当关闭该端口时消失,因此可以使用PSEXEC或其他系统将其大量部署到主机上,或者甚至要求用户手动执行。
第二种解决方案是通过计划任务部署计划任务,随开机而启动,但是请注意,如果要在后台运行计划任务,则需要进行适当的调整。如果您是在ADMIN权限下运行的,那么没关系,只需添加延迟执行时间即可。(目的是防止哨兵程序在系统启动后优先于系统的正常服务占用端口)。
因为我们正在考虑设置低特权用户,所以在本地安全策略中,添加
设置计划任务时,尝试将任务时间延迟至少5分钟。
解决方案三,最简单,最愚蠢的方法,一键式全局蜜网,在GPO下执行命令,当然,为了防止人们轻易看到脚本的内容,可以使用脚本执行模糊加密。请注意,由于需要避免退出代码,因此在执行Powershell时需要添加参数-noexit,因此在执行GPO分发时必须注意作为SYSTEM的运行权限。因此,担心的朋友需要仔细考虑执行权限和其他方法。
当然,也可以通过启动脚本,自启动菜单等执行。
这样,我们建立了傻瓜化的一键全域蜜网。所有Windows主机立即变成了蜜罐系统,有效地弥补了构建蜜罐的麻烦缺点,从而允许在所有主机上建立哨兵,甚至可以与蜜账户,蜜SPN等结合使用,以实现多维,多角度,全方位无死角的蜜网。
人机验证(Captcha)绕过方法:使用Chrome开发者工具在目标网站登录页面上执行简单的元素编辑,以实现Captcha绕过
牛创网络: " 人机身份验证(Captcha)通常显示在网站的注册,登录名和密码重置页面上。 以下是目标网站在登录页面中排列的验证码机制。 从上图可以
2020-01-26 12:44:09 )8884( 亮了
自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数
牛创网络: "自动发现IDOR(越权)漏洞的方法:使用BurpSuite中的Autozie和Autorepeater插件来检测和识别IDOR漏洞,而无需手动更改每个请求的参数
2020-01-30 14:04:47 )6290( 亮了
Grafana CVE-2020-13379漏洞分析:重定向和URL参数注入漏洞的综合利用可以在任何Grafana产品实例中实现未经授权的服务器端请求伪造攻击SSRF
牛创网络: "在Grafana产品实例中,综合利用重定向和URL参数注入漏洞可以实现未经授权的服务器端请求伪造攻击(SSRF)。该漏洞影响Grafana 3 0 1至7 0 1版本。
2020-08-12 14:26:44 )4310( 亮了
Nginx反向代理配置及反向代理泛目录,目录,全站方法
牛创网络: "使用nginx代理dan(sui)是http响应消息写入服务地址或Web绝对路径的情况。 写一个死的服务地址是很少见的,但它偶尔也会发生。 最棘手的是写入web绝对路径,特别是如果绝对路径没有公共前缀
2019-06-17 10:08:58 )3860( 亮了
fortify sca自定义代码安全扫描工具扫描规则(源代码编写、规则定义和扫描结果展示)
牛创网络: "一般安全问题(例如代码注入漏洞),当前fortify sca规则具有很多误报,可通过规则优化来减少误报。自带的扫描规则不能检测到这些问题。 需要自定义扫描规则,合规性角度展示安全风险。
2020-02-12 10:49:07 )3511( 亮了
整理几款2020年流行的漏洞扫描工具
牛创网络: "漏洞扫描器就是确保可以及时准确地检测信息平台基础架构的安全性,确保业务的平稳发展,业务的高效快速发展以及公司,企业和国家 地区的所有信息资产的维护安全。
2020-08-05 14:36:26 )2537( 亮了
微擎安装使用技巧-微擎安装的时候页面显示空白是怎么回事?
牛创网络: "我们在公众号开发中,有时候会用到微擎,那我们来看一下微擎安装的时候页面显示空白是怎么回事吧
2019-06-08 15:34:16 )2262( 亮了
渗透测试:利用前端断点拦截和JS脚本替换对前端加密数据的修改
牛创网络: " 本文介绍的两种方法,虽然断点调试比JS脚本代码替换更容易,但是JS脚本代码替换方法可以实现更强大的功能,测试人员可以根据实际需要选择适当的测试方法
2020-01-07 09:34:42 )2003( 亮了
从工业界到学界盘点SAS与R优缺点比较
牛创网络: "虽然它在业界仍然由SAS主导,但R在学术界广泛使用,因为它的免费开源属性允许用户编写和共享他们自己的应用程序 然而,由于缺乏SAS经验,许多获得数据分析学位的学生很难找到工作。
2019-07-13 22:25:29 )1843( 亮了
41款APP侵犯用户隐私权:QQ,小米,搜狐,新浪,人人均被通报
牛创网络: "随着互联网的不断发展,我们进入了一个时代,每个人都离不开手机。 但是,APP越来越侵犯了用户隐私权。12月19日,工业和信息化部发布了《关于侵犯用户权益的APP(第一批)》的通知。
2019-12-20 11:28:14 )1776( 亮了