本篇內(nèi)容介紹了“簡易PC蜜罐的作用是什么”的有關(guān)知識，在實(shí)際案例的操作過程中，不少人都會(huì)遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

專業(yè)成都網(wǎng)站建設(shè)公司，做排名好的好網(wǎng)站，排在同行前面，為您帶來客戶和效益!創(chuàng)新互聯(lián)為您提供成都網(wǎng)站建設(shè)，五站合一網(wǎng)站設(shè)計(jì)制作，服務(wù)好的網(wǎng)站設(shè)計(jì)公司，網(wǎng)站設(shè)計(jì)制作、成都做網(wǎng)站負(fù)責(zé)任的成都網(wǎng)站制作公司!

蜜罐作用

一般是直接放入惡意程序，點(diǎn)擊運(yùn)行的，所以PC蜜罐需要起到的作用：

1. 查看攻擊者的操作行為，比如是否上傳一些掃描工具、漏洞利用工具，進(jìn)行攻擊者畫像。

2. 獲取攻擊者的基礎(chǔ)攻擊設(shè)施，例如域名、遠(yuǎn)控IP，再通過現(xiàn)有的能力來排查是否有其他主機(jī)被入侵。

3. 嘗試誘導(dǎo)攻擊者下載運(yùn)行安裝了后門的惡意程序，進(jìn)行最直接的釣魚反制。

4. 誘導(dǎo)攻擊者對服務(wù)器蜜罐進(jìn)行攻擊。

5. 蜜罐本身需要有足夠的安全性，不至于成為突破口。

初步設(shè)想

一般來說，紅隊(duì)進(jìn)行釣魚，獲取辦公網(wǎng)節(jié)點(diǎn)后，一般會(huì)做哪些動(dòng)作？

1. 后滲透信息收集，獲取PC上的敏感信息，例如：

• IT資產(chǎn)信息

• 通訊錄（郵箱）

• 憑據(jù)信息（代碼、瀏覽器、WiFi以及其他應(yīng)用Navicat、SSH、RDP等）

• 歷史命令

• 路由信息、網(wǎng)絡(luò)拓?fù)鋱D、域信息

2. 以此PC作為跳板，進(jìn)行橫向移動(dòng)。

• 內(nèi)網(wǎng)代理、端口轉(zhuǎn)發(fā)

• 維持權(quán)限、植入后門

• 域滲透、提權(quán)等

既然是為了進(jìn)行反制，那么就可以投其所好，可以準(zhǔn)備一些偽造的東西。

以開發(fā)中招為例：

• 瀏覽記錄：偽造一份瀏覽記錄。

• 聊天工具：微信、QQ，可以買個(gè)沒用的測試號。

• 運(yùn)維工具：Navicat、Xshell，里面放置一些假的連接記錄。

• 辦公軟件：云盤、Office、PDF、谷歌瀏覽器、IDEA

當(dāng)然，可以放一些裝了后門的安裝包（VPN、安裝包）作為誘餌使用，誘騙攻擊者進(jìn)行點(diǎn)擊，便于反制。

比如，裝了后門的可執(zhí)行程序或者安裝包 （像VPN這些還可以附上安裝說明文檔顯得更真實(shí)）：

• VPN客戶端.msi，后門程序本身做好免殺，拿破輪胎等工具進(jìn)行dll注入，使用NSIS打包成setup.exe。
  

• 批量運(yùn)維工具.exe，打包一個(gè)惡意的程序。

• 0day漏洞檢查工具.exe，同上

• 密碼管理器.exe，或使用 MSI wrapper打包成msi程序。

• 堡壘機(jī)安裝包.msi，同上。

或者再來點(diǎn)：

• 某某領(lǐng)導(dǎo)貪污證據(jù).zip（內(nèi)含  財(cái)務(wù)流水記錄.xlsx.一堆空格.exe）

• IT運(yùn)維表.rar，內(nèi)容同上

• HW培訓(xùn).rar，有office 0day/1day 的話，可以用一些。

• 某某系統(tǒng)代碼一套，放置后門。 如果攻擊者下載過去本地運(yùn)行調(diào)試的話，就有機(jī)會(huì)植入。

• 還有一些虛假的SSH、RDP、FTP、WEB賬戶密碼，誘騙攻擊者，還可以和WEB蜜罐進(jìn)行聯(lián)動(dòng)。

當(dāng)然除了這些，我們還需要得知攻擊者實(shí)際拿到了這臺服務(wù)器權(quán)限，會(huì)做什么動(dòng)作？

這里采用了開源的HIDS，wazuh + sysmon，進(jìn)行基本的行為監(jiān)測。

實(shí)際搭建

準(zhǔn)備：

1. 一臺遠(yuǎn)控服務(wù)器（ 域前置 + nginx + cs + 機(jī)器人上線提醒）

2. 一臺Ubuntu 虛擬機(jī)，主要安裝wazuh， 來監(jiān)控Win虛擬機(jī)行為。

3. 一臺Win虛擬機(jī)，主要做蜜罐使用，安裝sysmon   + wazuh agent。 

安裝包：

• sysmon   

• wazuh agent 

• wazuh server  

具體安裝步驟就不寫了，這里就列幾點(diǎn)實(shí)際部署中遇到的注意點(diǎn)：

1. 虛擬機(jī)直接顯示宿主機(jī)信息

為了盡可能的不讓攻擊者察覺到這是一個(gè)虛擬機(jī)，因此這里簡單的做了下主機(jī)信息的修改：

在*.vmx文件中添加一行配置SMBIOS.reflectHost = "TRUE"，這樣主機(jī)信息會(huì)顯示的是物理機(jī)的信息。

2. 修改虛擬機(jī)網(wǎng)段，可以改成10.x.x.x ,  同時(shí)關(guān)閉共享服務(wù)。

3. sysmon 安裝失敗時(shí)，如出現(xiàn)”error getting the evt dll (wevtapi.dll)“ 錯(cuò)誤，考慮是否缺少安裝系統(tǒng)補(bǔ)丁導(dǎo)致。

4. wazuh 在使用docker部署時(shí)，最好先修改密碼，再進(jìn)行部署，避免后面修改kibana密碼時(shí)比較麻煩。

5. wazuh + sysmon聯(lián)動(dòng)， 參考 https://www.jianshu.com/p/9e07f638dbd9 ，不過需要注意的是，wazuh每個(gè)版本的匹配規(guī)則都有點(diǎn)不一樣

<group name="sysmon,MITRE,"> <rule id="355001" level="12"> <if_group>sysmon_event1</if_group> <field name="win.eventdata.image">\.+</field> <description>Sysmon - Event 1: Process creation $(win.eventdata.image)</description> </rule> <rule id="355002" level="11"> <if_group>sysmon_event3</if_group> <field name="win.eventdata.image">\.+</field> <description>Sysmon - Event 3: Network connection $(win.eventdata.image)</description> </rule> </group>

6. 部署時(shí)如果Ubuntu服務(wù)端啟用ufw做端口訪問限制，由于ufw和docker機(jī)制的問題， 則需要修改ufw默認(rèn)配置

7. 蜜罐不要聯(lián)入公司網(wǎng)絡(luò)，這樣即使被逃逸也沒事。

實(shí)現(xiàn)截圖

蜜罐搭建的截圖：

HIDS告警信息截圖：

攻擊者如果中招， 則Cobalt Strike 會(huì)上線，相關(guān)截圖：

“簡易PC蜜罐的作用是什么”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！

網(wǎng)站標(biāo)題：簡易PC蜜罐的作用是什么
轉(zhuǎn)載來于：http://jinyejixie.com/article2/iisjoc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、品牌網(wǎng)站設(shè)計(jì)、域名注冊、小程序開發(fā)、微信小程序、網(wǎng)站收錄

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)