指纹ssh攻击工具

Question

我注意到我的服务器上有大量的SSH密码尝试，并安装了Cowrie蜜罐，查看攻击者(S)在实际访问时会做什么。

我已经在许多攻击中发现了一致的模式，我相信这些攻击是自动化的。在识别工作用户名/密码后，远程系统立即发送以下命令，在命令之间延迟4秒钟：

uname
free -m
ps x

然后远程系统断开连接。

另一个变体每秒发送2个命令，从这3个开始，在断开连接之前添加cat /proc/cpuinfo。

我想确定执行这些自动攻击的工具/脚本/攻击框架。这种行为模式对任何人来说都很熟悉吗？我一直在寻找可能的候选人，但没有成功。

Answer 1

首先，您所看到的行为模式很可能是因为恶意软件检测到它正在沙箱环境中运行。蜜罐的CPU计数应该大于2，如果不是因为大多数新的恶意软件自动终止(如果有两个或更少的CPU核可用)，并且攻击者的软件不应该看到蜜罐的进程，因为一些更好的书面恶意软件将检查honeyd或其他著名的蜜罐守护进程是否正在运行或安装。限制process/fs可见性的一个简单选择是查找“火监狱”，以及如何设置自定义配置文件。提示:可以解析strace输出，并将其添加到防火墙配置文件中，以隐藏/禁用主机文件系统的列表和正在运行的进程。

第二，在蜜罐和它的网络连接之间运行Snort点击，以便几乎实时地捕获和指纹攻击网络流量。我很幸运地使用Raspberry Pis来进行低成本的网络监控。

第三，考虑为你的蜜罐使用专用硬件，让它看起来更像合法的受害者；搜索术语“系统在芯片上”(wiki有一个制造商列表)，以获得廉价的选择。英特尔的那个是我建议的，因为这个架构看起来非常接近合法受害者的桌面。

第四，研究Metasploit蜜罐检测源代码对kippo和其他人的影响，使您的蜜罐更难被检测到，因为可能还有其他一些聪明的方法可以检测到它们的存在。

第五，使用“炭黑”对metasploit反向壳文章进行检测，用于蜜罐入侵检测。要小心地使用这些工具将其破解回来；如果要尝试，只需进行最低限度的调查就可以识别罪犯。即使他们先攻击你，黑回来也是犯罪。