位置:编程技术网 > 游戏开发 > 正文 >

浅析开源蜜罐识别与全网测绘

2021年01月12日 16:11来源:未知手机版

霍思燕和江一燕,郎平罚丁霞,迷天大谎

3.3 明显的WEB的特征

部分开源蜜罐提供了web服务,这些web服务中常常会带有一些明显的特征,可以根据这些特征来检测蜜罐。如特定的js文件、build_hash或者版本号等。

还是拿Hfish举例。HFIsh在默认8080端口实现了一个WordPress登录页面,页面中由一个名为x.js的javascript文件用来记录尝试爆破的登录名密码。直接通过判断wordpress登录页是否存在x.js文件就可判断是否为蜜罐。

还有glastopf蜜罐,其没做任何伪装是最明显的。可以通过页面最下方的blog comments的输入框进行识别。

其他的常见的开源蜜罐在WEB上的特征如下表所示。

表3-2 具有明显WEB特征的蜜罐

3.4 上下文特征

部分开源蜜罐存在命令执行上下文明显的特征,本节以Cowrie和Hfish为例。

2020年6月份研究人员发现Mirai的新变种Aisuru检测可以根据执行命令的上下文检测到Cowrie开源蜜罐。当满足如下三个条件时Aisuru将会判定为蜜罐:

设备名称为localhost。 设备中所有进程启动于6月22日或6月23日。 存在用户名richard。

查看Cowrie源码在默认配置中执行ps命令,发现进程的启动时间都在6月22或6月23。不过在最新版的Cowrie中richard被phil替换,并且主机名由localhost替换为svr04。

由Aisuru的启发,是可以根据一些特定的上下文来检测蜜罐的。比如最新版的Cowrie,在默认配置下一些一些命令得到的结果是固定不变的。如:cat /proc/meminfo 这个命令无论执行多少次得到的内容都是不变的,而这真实的系统中是不可能的。

再说Hfish蜜罐,Hfish同样也实现了SSH协议,默认监听在22端口。该蜜罐的SSH协议同样可以很容易的通过上下文识别出来。和telnet协议一样SSH协议在直接进行回车换行时会默认执行default输出test。

3.5 Fuzz testing 特征

Fuzz testing(模糊测试)本是一种安全测试的方法,通过产生随机的数据输入测试系统查看系统响应或者状态,以此发现潜在的安全漏洞。部分蜜罐借用Fuzz testing的思想实现了蜜罐系统,通过netlab的 zom3y3大哥在《通过Anglerfish蜜罐发现未知的恶意软件威胁》种对Fuzz testing蜜罐的介绍,我们得知有以下几点特征:

响应任意端口的TCP SYN Packet。 根据协议特征,永远返回正确的响应。 返回预定义或者随机的Payload特征库集合。

该蜜罐很容易通过人工判断,其目的为模拟蜜罐fuzzing特征,通过预定义大量的关键字实现对扫描器的干扰。该类蜜罐可以通过跨服务的特征进行判断,如开放了HTTP服务同时响应了upnp协议,或者根据server的长度或者个数来判断。由于未知哪种蜜罐产品提供的这个蜜罐服务,quake将此蜜罐标记为未知蜜罐,可以使用语法app: 未知蜜罐 搜索。

本文地址:http://www.reviewcode.cn/youxikaifa/185677.html 转载请注明出处!

今日热点资讯