draxem1/HoneyToken

# HoneyToken 🍯🔐 一个基于欺骗技术的安全项目，用于追踪窃取敏感文件的攻击者。 HoneyToken 是一个防御性安全系统，旨在检测、追踪和分析系统遭到入侵后的攻击者。与阻止敏感数据被盗不同，HoneyToken 使用一个对攻击者看似有价值的诱饵文件，但在被访问时会秘密报告关于攻击者的遥测数据。 其目标是在保持隐蔽的同时，收集诸如 IP 地址、ASN、地理位置和攻击者行为等情报。 ## 项目目标 - 检测访问或窃取敏感文件的攻击者 - 自动收集攻击者遥测数据 - 将攻击者数据转发到集中式日志服务器 - 使防御者能够分析攻击者活动 - 提供一个展示检测工程概念的逼真网络安全项目 ## 架构 攻击者 | v 下载“秘密”文件 | v HoneyToken 触发器 | v 遥测客户端 (VM) | v 日志服务器 | v 威胁情报 + 日志分析 ### 组件 #### 1. 秘密文件 放置在特定位置以吸引攻击者的诱饵文件 示例： - 'passwords.txt' - 'database_backup.zip' 本项目使用一个私钥。 #### 2. 遥测客户端（传感器） 在遭到入侵的 VM 上运行，并收集有关攻击者的信息 收集的数据： - 源 IP - 时间戳 - 主机名 - 用户名 - 执行的命令 - ASN - 地理位置 数据随后被发送到远程日志服务器。 ### 3. 日志服务器 接收攻击者遥测数据的中心服务器。 职责： - 接受来自传感器的连接 - 存储日志 - 丰富攻击者数据 - 启用分析 示例日志条目： - 2026-02-28T12:15:03Z - IP: 185.220.101.3 - ASN: AS9009 - 国家: 德国 - 用户: root - 命令: cat passwords.txt ## 收集的数据示例 HoneyToken 尝试收集： | 字段 | 描述 | |-----|-----| | IP 地址 | 攻击者源 IP | | ASN | 自治系统号 | | 国家 | GeoIP 位置 | | 用户名 | 使用的账户 | | 主机名 | 被入侵的系统 | | 命令 | 执行的命令 | | 时间戳 | 事件时间 | ## 功能特性 ### 攻击者遥测 系统捕获攻击者的网络和系统信息。 ### 集中式日志记录 所有事件都转发到中央日志服务器。 ### 威胁情报 IP 地址可以通过以下方式丰富： - ASN 查询 - GeoIP - 信誉数据库 ### 检测工程实践 HoneySecret 有助于练习： - 日志分析 - 攻击者行为分析 - 威胁情报丰富 ## 技术栈 | 组件 | 技术 | |---|---| | 传感器 | Rust | | 日志服务器 | Rust | | 传输 | TCP | | 日志处理 | Rust / Bash | | 威胁情报 | ASN + GeoIP 查询 | 选用 Rust 是为了性能、安全性和可靠性。 ## 未来改进 计划中的功能： - ASN 查询集成 - GeoIP 丰富 - 命令记录 - 攻击者会话回放 - 用于日志的 Web 仪表板 - 告警系统 - 威胁情报集成 - 容器化部署 ## 学习目标 本项目演示了以下人员使用的概念： - SOC 分析师 - 检测工程师 - 威胁猎人 - 事件响应人员 练习的技能： - 日志分析 - 攻击者遥测 - 检测工程 - 威胁情报 - Rust 系统编程 ## 道德使用 本项目旨在用于： - 安全研究 - 网络安全教育 - 防御性安全项目 - Honeypot 环境 请**勿在您不拥有或未获授权监控的系统上部署此项目。** ## 作者 Nick Legato 网络安全与检测工程项目 ## 许可证 MIT License

标签：AMSI绕过, BOF, BurpSuite集成, DNS通配符暴力破解, EDR, Elastic, HoneyToken, SSH密钥, TGT, 可视化界面, 威胁情报, 威胁检测, 安全遥测, 应用安全, 开发者工具, 攻击者追踪, 攻防演练, 数据泄露防护, 欺骗防御, 溯源分析, 生成式AI安全, 管理员页面发现, 网络探测, 脆弱性评估, 虚拟机, 蜜标, 蜜罐, 证书利用, 通知系统, 防御工程