killex007-pftw/cloud-honeynet-aws
GitHub: killex007-pftw/cloud-honeynet-aws
在 AWS 上部署的多层蜜网系统,集成三种蜜罐与 Wazuh SIEM,实现自动化威胁情报采集、分析与 MITRE ATT&CK 映射。
Stars: 1 | Forks: 0
# 云蜜网与自动化威胁情报
## 全局指标
| 指标 | 值 |
| :------------------------------------------ | ------------------------------------: |
| 捕获事件总数 | **137,657** |
| 运行中的蜜罐 | **3** (Cowrie · T-Pot CE · Dionaea) |
| 运行周期 | **30 天** (2026-02-04 → 2026-03-06) |
| 已识别来源国家 | **15+** |
| 唯一攻击者 IP | **> 200** |
| 已确认的 MITRE ATT&CK 技术 | **6** |
| 威胁情报告警 | **85** |
| 黑名单匹配 IP (评分 100/100) | **3** |
| AWS 运营成本 (每 7 天) | **~USD 21.60** |
## 架构
```
flowchart TD
I["Internet
(tráfico malicioso)"] subgraph VPC["AWS VPC 10.0.0.0/16"] direction TB subgraph HP[" "] direction LR C["Cowrie
t3.micro
SSH/Telnet"] T["T-Pot CE
m7i-flex.large
20+ protocolos"] D["Dionaea
t3.micro
SMB/FTP/HTTP"] end WA["Wazuh Agent
(TCP/1514-1515)"] W["Wazuh Manager + Indexer + Dashboard
m7i-flex.large · OpenSearch · TI Rules · Telegram"] end I --> C I --> T I --> D C --> WA T --> WA D --> WA WA --> W ``` 系统运行在 **三个层级**: | 层级 | 组件 | 功能 | |:----:|:-----------|:--------| | 1 | Cowrie · T-Pot CE · Dionaea | 捕获真实恶意流量 | | 2 | Wazuh Agent (每个传感器) | 日志标准化与传输 | | 3 | Wazuh Manager + Indexer + Dashboard | 关联分析、威胁情报 (TI)、告警与可视化 | ## 关键发现 ## H1 — 协同扫描基础设施 三个 AWS IP(`3.130.168.2`、`3.129.187.38`、`18.218.118.203`)在域名 `scan.visionheight.com` 下运行一场协同的多协议攻击活动。AbuseIPDB 评分 **100/100**(全部三个)· GreyNoise 分类为 `malicious`。已确认按服务进行任务分工。触发了多蜜罐关联规则 (T1595)。 ## H2 — 实时 SSH 僵尸网络主动传播 IP `158.51.96.38`(NetInformatik Inc. · AbuseIPDB 评分 **100/100** · 被 **924 名独立用户** 报告)执行了一个伪装为 `sshd` 的恶意二进制文件,目标是 50+ 个目标 IP。由 Cowrie 在活动会话中完整捕获,包含完整的 TTY 日志 (T1059 · T1105)。 ## H3 — 医疗机构主机失陷 归属于 **Hospital Base Valdivia**(智利)网络的 IP `201.187.98.150` 在一天内(2026-03-03)生成了 **64,095 个 SMB 事件**。行为与 EternalBlue/WannaCry 类型的主动传播恶意软件一致。根据 AbuseIPDB 记录,该主机自 2026-01-06 起已处于失陷状态 (T1021.002)。 ## 仓库结构 ``` cloud-honeynet-aws/ │ ├── README.md Este archivo │ ├── docs/ │ ├── 01-despliegue/ │ │ ├── cowrie.md Instalación y configuración de Cowrie │ │ ├── tpot.md Instalación y configuración de T-Pot CE │ │ ├── dionaea.md Instalación y configuración de Dionaea │ │ └── wazuh-stack.md Despliegue del stack Wazuh all-in-one │ ├── 02-wazuh-integracion/ │ │ ├── reglas-custom.md Reglas de detección (IDs 100500–100585) │ │ └── threat-intelligence.md Pipeline TI — arquitectura y resultados │ └── 03-analisis/ │ │ ├── hallazgos.md Análisis de los 3 hallazgos principales │ │ ├── ioc.md IoC estructurados (formato STIX-like) │ │ └── evidencias-ti/ Reportes AbuseIPDB · GreyNoise por IP │ └── 04-informe-final │ ├── configs/ │ └── wazuh/ │ ├── 100-cowrie_rules.xml Reglas Cowrie SSH/Telnet │ ├── local_rules.xml Reglas TI · T-Pot · Dionaea · correlación │ ├── ossec-agent-cowrie.conf Configuración del agente Cowrie │ ├── ossec-agent-tpot.conf Configuración del agente T-Pot │ └── ossec-agent-dionaea.conf Configuración del agente Dionaea │ ├── scripts/ │ ├── telegram/ │ │ └── send_telegram.sh Notificaciones vía Telegram Bot API │ └── ti/ │ ├── tienrichment.py Enriquecimiento con AbuseIPDB/GreyNoise/OTX │ ├── ti_dryrun_archives.py Extracción de IPs desde Wazuh archives │ ├── gen_cdb_from_candidates.py Generación de CDB desde candidates JSONL │ ├── ti_emit_matches.py Emisión de matches al socket de analysisd │ ├── run_ti_pipeline.sh Orquestador pipeline baseline (sin APIs) │ └── run_ti_enrichment_v1.sh Orquestador pipeline enriquecimiento │ ├── queries/ │ ├── README.md Guía de uso de queries OpenSearch │ └── json/ Exports JSON de las 9 queries principales │ └── screenshots/ ├── arquitectura/ Evidencias del despliegue y configuración en AWS ├── cowrie/ Evidencias del despliegue Cowrie ├── dashboard/ Capturas del Wazuh Dashboard ├── dionaea/ Evidencias del despliegue Dionaea ├── queries/ Screenshots de queries en DevTools ├── ti-reports/ Screenshots de reportes de AbuseIPDB y GreyNoise └── tpot/ Evidencias del despliegue T-Pot ``` ## 技术栈 | 类别 | 技术 | 版本 | | :---------------------- | :--------------------------------------------------------------------- | :------ | | 云 | Amazon Web Services (EC2, VPC, SG, SSM) | — | | SSH/Telnet 蜜罐 | [Cowrie](https://github.com/cowrie/cowrie) | latest | | 多服务蜜罐 | [T-Pot CE](https://github.com/telekom-security/tpotce) | 24.04.1 | | SMB/恶意软件蜜罐 | [Dionaea](https://github.com/DinoTools/dionaea) | 0.11.0 | | SIEM | [Wazuh Manager + Indexer + Dashboard](https://documentation.wazuh.com) | 4.14.2 | | 后端索引 | OpenSearch | 2.x | | 威胁情报 | AbuseIPDB · GreyNoise · AlienVault OTX | — | | 实时告警 | Telegram Bot API | — | | 参考框架 | [MITRE ATT&CK](https://attack.mitre.org) | v14 | ## 已确认的 MITRE ATT&CK 技术 | ID | 技术 | 蜜罐 | 证据 | | --------- | ----------------------------------------- | -------------- | ---------------------------------------------- | | T1595 | Active Scanning | T-Pot · Cowrie | visionheight.com 活动 · 规则 100576 | | T1110.001 | Brute Force: Password Guessing | Cowrie | 44,153 次尝试 · 规则 100504 | | T1078 | Valid Accounts | Cowrie | 成功认证的会话 | | T1105 | Ingress Tool Transfer | Cowrie | 活动会话中通过 wget/curl 连接 C2 | | T1059 | Command and Scripting Interpreter | Cowrie | 捕获的 bash/python 命令 · 规则 100511 | | T1021.002 | Remote Services: SMB/Windows Admin Shares | Dionaea | 64,095 个 SMB 事件 · 规则 100584 | ## AWS 运营成本 ## 💰 AWS 运营成本 | 资源 | 类型 | 预估成本 / 7 天 | |:--------|:-----|------------------------:| | Cowrie EC2 | t3.micro | ~USD 0.84 | | T-Pot CE EC2 | m7i-flex.large | ~USD 8.57 | | Dionaea EC2 | t3.micro | ~USD 0.84 | | Wazuh Stack EC2 | m7i-flex.large | ~USD 8.57 | | 存储 EBS + 流量 | — | ~USD 2.78 | | **总计** | | **~USD 21.60** | ## 文档 | 章节 | 描述 | | --------------------------------------------------------------------------------------- | ------------------------------------------------------- | | [Cowrie 部署](docs/01-despliegue/cowrie.md) | 安装、配置与故障排除 | | [T-Pot 部署](docs/01-despliegue/tpot.md) | 安装、权限与实例扩容 | | [Dionaea 部署](docs/01-despliegue/dionaea.md) | 编译、Python 模块修复与配置 | | [Wazuh Stack](docs/01-despliegue/wazuh-stack.md) | All-in-one、归档、索引模式 | | [自定义规则](docs/02-wazuh-integracion/reglas-custom.md) | 19 条规则,包含 MITRE 映射与依赖 | | [威胁情报](docs/02-wazuh-integracion/threat-intelligence.md) | 完整流水线、两个阶段、结果 | | [发现](docs/03-analisis/hallazgos.md) | H1、H2 和 H3 的技术分析 | | [IoC](docs/03-analisis/ioc.md) | 类 STIX 格式的结构化指标 | | [TI 证据](docs/03-analisis/evidencias-ti/README.md) | 按 IP 生成的 AbuseIPDB 和 GreyNoise 报告 | | [脚本](scripts/README.md) | TI 流水线与通知参考 | | [配置](configs/README.md) | 可直接部署的配置文件 | | [查询](configs/queries/README.md) | 用于搜寻的 OpenSearch 查询 | | [最终报告](docs/04-informe-final.md) | 项目整体及成果综合文档. | ## 法律与道德声明 本项目仅在 **被动捕获模式** 下运行。严格遵守 [AWS 可接受使用政策](https://aws.amazon.com/aup/),未执行任何主动反制措施、进攻性扫描或针对已识别系统的攻击。 记录的失陷指标 仅供学术研究和防御性网络安全 蓝队) 使用。 ## 完整报告 → [`docs/04-informe-final.md`](docs/04-informe-final.md) ## 作者 **K.B** · 电信工程 · 蓝队 / 威胁情报 利马,秘鲁 · 2026
(tráfico malicioso)"] subgraph VPC["AWS VPC 10.0.0.0/16"] direction TB subgraph HP[" "] direction LR C["Cowrie
t3.micro
SSH/Telnet"] T["T-Pot CE
m7i-flex.large
20+ protocolos"] D["Dionaea
t3.micro
SMB/FTP/HTTP"] end WA["Wazuh Agent
(TCP/1514-1515)"] W["Wazuh Manager + Indexer + Dashboard
m7i-flex.large · OpenSearch · TI Rules · Telegram"] end I --> C I --> T I --> D C --> WA T --> WA D --> WA WA --> W ``` 系统运行在 **三个层级**: | 层级 | 组件 | 功能 | |:----:|:-----------|:--------| | 1 | Cowrie · T-Pot CE · Dionaea | 捕获真实恶意流量 | | 2 | Wazuh Agent (每个传感器) | 日志标准化与传输 | | 3 | Wazuh Manager + Indexer + Dashboard | 关联分析、威胁情报 (TI)、告警与可视化 | ## 关键发现 ## H1 — 协同扫描基础设施 三个 AWS IP(`3.130.168.2`、`3.129.187.38`、`18.218.118.203`)在域名 `scan.visionheight.com` 下运行一场协同的多协议攻击活动。AbuseIPDB 评分 **100/100**(全部三个)· GreyNoise 分类为 `malicious`。已确认按服务进行任务分工。触发了多蜜罐关联规则 (T1595)。 ## H2 — 实时 SSH 僵尸网络主动传播 IP `158.51.96.38`(NetInformatik Inc. · AbuseIPDB 评分 **100/100** · 被 **924 名独立用户** 报告)执行了一个伪装为 `sshd` 的恶意二进制文件,目标是 50+ 个目标 IP。由 Cowrie 在活动会话中完整捕获,包含完整的 TTY 日志 (T1059 · T1105)。 ## H3 — 医疗机构主机失陷 归属于 **Hospital Base Valdivia**(智利)网络的 IP `201.187.98.150` 在一天内(2026-03-03)生成了 **64,095 个 SMB 事件**。行为与 EternalBlue/WannaCry 类型的主动传播恶意软件一致。根据 AbuseIPDB 记录,该主机自 2026-01-06 起已处于失陷状态 (T1021.002)。 ## 仓库结构 ``` cloud-honeynet-aws/ │ ├── README.md Este archivo │ ├── docs/ │ ├── 01-despliegue/ │ │ ├── cowrie.md Instalación y configuración de Cowrie │ │ ├── tpot.md Instalación y configuración de T-Pot CE │ │ ├── dionaea.md Instalación y configuración de Dionaea │ │ └── wazuh-stack.md Despliegue del stack Wazuh all-in-one │ ├── 02-wazuh-integracion/ │ │ ├── reglas-custom.md Reglas de detección (IDs 100500–100585) │ │ └── threat-intelligence.md Pipeline TI — arquitectura y resultados │ └── 03-analisis/ │ │ ├── hallazgos.md Análisis de los 3 hallazgos principales │ │ ├── ioc.md IoC estructurados (formato STIX-like) │ │ └── evidencias-ti/ Reportes AbuseIPDB · GreyNoise por IP │ └── 04-informe-final │ ├── configs/ │ └── wazuh/ │ ├── 100-cowrie_rules.xml Reglas Cowrie SSH/Telnet │ ├── local_rules.xml Reglas TI · T-Pot · Dionaea · correlación │ ├── ossec-agent-cowrie.conf Configuración del agente Cowrie │ ├── ossec-agent-tpot.conf Configuración del agente T-Pot │ └── ossec-agent-dionaea.conf Configuración del agente Dionaea │ ├── scripts/ │ ├── telegram/ │ │ └── send_telegram.sh Notificaciones vía Telegram Bot API │ └── ti/ │ ├── tienrichment.py Enriquecimiento con AbuseIPDB/GreyNoise/OTX │ ├── ti_dryrun_archives.py Extracción de IPs desde Wazuh archives │ ├── gen_cdb_from_candidates.py Generación de CDB desde candidates JSONL │ ├── ti_emit_matches.py Emisión de matches al socket de analysisd │ ├── run_ti_pipeline.sh Orquestador pipeline baseline (sin APIs) │ └── run_ti_enrichment_v1.sh Orquestador pipeline enriquecimiento │ ├── queries/ │ ├── README.md Guía de uso de queries OpenSearch │ └── json/ Exports JSON de las 9 queries principales │ └── screenshots/ ├── arquitectura/ Evidencias del despliegue y configuración en AWS ├── cowrie/ Evidencias del despliegue Cowrie ├── dashboard/ Capturas del Wazuh Dashboard ├── dionaea/ Evidencias del despliegue Dionaea ├── queries/ Screenshots de queries en DevTools ├── ti-reports/ Screenshots de reportes de AbuseIPDB y GreyNoise └── tpot/ Evidencias del despliegue T-Pot ``` ## 技术栈 | 类别 | 技术 | 版本 | | :---------------------- | :--------------------------------------------------------------------- | :------ | | 云 | Amazon Web Services (EC2, VPC, SG, SSM) | — | | SSH/Telnet 蜜罐 | [Cowrie](https://github.com/cowrie/cowrie) | latest | | 多服务蜜罐 | [T-Pot CE](https://github.com/telekom-security/tpotce) | 24.04.1 | | SMB/恶意软件蜜罐 | [Dionaea](https://github.com/DinoTools/dionaea) | 0.11.0 | | SIEM | [Wazuh Manager + Indexer + Dashboard](https://documentation.wazuh.com) | 4.14.2 | | 后端索引 | OpenSearch | 2.x | | 威胁情报 | AbuseIPDB · GreyNoise · AlienVault OTX | — | | 实时告警 | Telegram Bot API | — | | 参考框架 | [MITRE ATT&CK](https://attack.mitre.org) | v14 | ## 已确认的 MITRE ATT&CK 技术 | ID | 技术 | 蜜罐 | 证据 | | --------- | ----------------------------------------- | -------------- | ---------------------------------------------- | | T1595 | Active Scanning | T-Pot · Cowrie | visionheight.com 活动 · 规则 100576 | | T1110.001 | Brute Force: Password Guessing | Cowrie | 44,153 次尝试 · 规则 100504 | | T1078 | Valid Accounts | Cowrie | 成功认证的会话 | | T1105 | Ingress Tool Transfer | Cowrie | 活动会话中通过 wget/curl 连接 C2 | | T1059 | Command and Scripting Interpreter | Cowrie | 捕获的 bash/python 命令 · 规则 100511 | | T1021.002 | Remote Services: SMB/Windows Admin Shares | Dionaea | 64,095 个 SMB 事件 · 规则 100584 | ## AWS 运营成本 ## 💰 AWS 运营成本 | 资源 | 类型 | 预估成本 / 7 天 | |:--------|:-----|------------------------:| | Cowrie EC2 | t3.micro | ~USD 0.84 | | T-Pot CE EC2 | m7i-flex.large | ~USD 8.57 | | Dionaea EC2 | t3.micro | ~USD 0.84 | | Wazuh Stack EC2 | m7i-flex.large | ~USD 8.57 | | 存储 EBS + 流量 | — | ~USD 2.78 | | **总计** | | **~USD 21.60** | ## 文档 | 章节 | 描述 | | --------------------------------------------------------------------------------------- | ------------------------------------------------------- | | [Cowrie 部署](docs/01-despliegue/cowrie.md) | 安装、配置与故障排除 | | [T-Pot 部署](docs/01-despliegue/tpot.md) | 安装、权限与实例扩容 | | [Dionaea 部署](docs/01-despliegue/dionaea.md) | 编译、Python 模块修复与配置 | | [Wazuh Stack](docs/01-despliegue/wazuh-stack.md) | All-in-one、归档、索引模式 | | [自定义规则](docs/02-wazuh-integracion/reglas-custom.md) | 19 条规则,包含 MITRE 映射与依赖 | | [威胁情报](docs/02-wazuh-integracion/threat-intelligence.md) | 完整流水线、两个阶段、结果 | | [发现](docs/03-analisis/hallazgos.md) | H1、H2 和 H3 的技术分析 | | [IoC](docs/03-analisis/ioc.md) | 类 STIX 格式的结构化指标 | | [TI 证据](docs/03-analisis/evidencias-ti/README.md) | 按 IP 生成的 AbuseIPDB 和 GreyNoise 报告 | | [脚本](scripts/README.md) | TI 流水线与通知参考 | | [配置](configs/README.md) | 可直接部署的配置文件 | | [查询](configs/queries/README.md) | 用于搜寻的 OpenSearch 查询 | | [最终报告](docs/04-informe-final.md) | 项目整体及成果综合文档. | ## 法律与道德声明 本项目仅在 **被动捕获模式** 下运行。严格遵守 [AWS 可接受使用政策](https://aws.amazon.com/aup/),未执行任何主动反制措施、进攻性扫描或针对已识别系统的攻击。 记录的失陷指标 仅供学术研究和防御性网络安全 蓝队) 使用。 ## 完整报告 → [`docs/04-informe-final.md`](docs/04-informe-final.md) ## 作者 **K.B** · 电信工程 · 蓝队 / 威胁情报 利马,秘鲁 · 2026
标签:AWS, CISA项目, Cloudflare, Dionaea, DPI, Honeynet, IP 地址批量处理, MITRE ATT&CK, PE 加载器, SecOps, Shellcode执行, SSH蜜罐, Wazuh, 云安全架构, 威胁情报, 安全架构, 安全运营, 应用安全, 底层分析, 开发者工具, 恶意流量分析, 扫描框架, 插件系统, 时间线生成, 漏洞利用检测, 漏洞监测, 网络安全, 蜜罐技术, 进程注入, 逆向工具, 隐私保护