rod-trent/HPThreat

# HPThreat - 蜜罐编排与威胁情报 MCP Server **将 Claude 变为蓝队早期预警威胁情报的战力倍增器。** 部署和监控自定义蜜罐，捕获攻击者的 TTPs 和 IOCs，与实时威胁情报源进行关联，并自动生成 Sigma 检测规则——这一切都通过与 Claude 的自然对话完成。 博客文档: https://rodtrent.substack.com/p/introducing-hpthreat-i-built-an-mcp ## 功能简介 | 功能 | 详情 | |---|---| | **部署蜜罐** | Cowrie (SSH/Telnet)、Dionaea (多协议)、通过 Docker 部署的自定义 HTTP 诱饵 | | **捕获 TTPs** | 自动将攻击者行为映射到 15+ 种 MITRE ATT&CK 技术 | | **提取 IOCs** | IP、文件哈希、凭据、命令、反向 Shell、C2 URL | | **威胁关联** | AbuseIPDB、Feodo Tracker C2 屏蔽列表、Emerging Threats 规则 | | **Sigma 规则** | 从捕获的攻击模式自动生成 YAML Sigma 检测规则 | | **报告** | 包含 ATT&CK Navigator 层级的 Markdown 和 JSON 威胁情报报告 | | **模拟模式** | 无需 Docker 即可完全运行——生成逼真的模拟攻击数据 | ## 快速入门 ### 1. 安装 ``` cd C:\Code\Honeypot pip install -r requirements.txt ``` ### 2. 配置 (可选) ``` cp .env.example .env # 编辑 .env 以添加你的 AbuseIPDB API key ``` ### 3. 添加至 Claude Desktop 编辑 `%APPDATA%\Claude\claude_desktop_config.json`: ``` { "mcpServers": { "honeypot": { "command": "python", "args": ["C:\\Code\\Honeypot\\server.py"], "env": { "ABUSEIPDB_API_KEY": "your_key_here" } } } } ``` ### 4. 配合 Claude 使用 ``` Deploy an SSH honeypot named "ssh-trap-01" on port 2222 ``` ``` Analyze what ssh-trap-01 has captured in the last 24 hours ``` ``` Generate a threat intel report for ssh-trap-01 ``` ``` Export IOCs from ssh-trap-01 in STIX format ``` ## MCP 工具 | 工具 | 描述 | |---|---| | `deploy_honeypot` | 部署 cowrie/dionaea/http 蜜罐容器 | | `list_honeypots` | 列出所有部署及其运行状态 | | `stop_honeypot` | 停止蜜罐（保留日志） | | `get_honeypot_logs` | 获取最近解析的日志事件 | | `analyze_capture` | IOC 计数、热门 IP、TTP 摘要 | | `export_ioc` | 将 IOC 导出为 JSON / CSV / STIX 2.1 格式 | | `generate_sigma_rule` | 从攻击数据生成 Sigma YAML | | `fetch_threat_intel` | 将 IP/哈希与威胁情报源进行关联 | | `generate_report` | 生成完整的 Markdown 或 JSON 威胁情报报告 | | `correlate_ttps` | MITRE ATT&CK 映射 + Navigator 层级 | ## 蜜罐类型 ### Cowrie (SSH/Telnet) - 捕获暴力破解尝试、成功登录、执行的命令、文件下载 - Docker 镜像: `cowrie/cowrie:latest` - 适用场景: 凭据爆破检测，Linux 恶意软件捕获 ### Dionaea (多协议) - 模拟 FTP、HTTP、SMB、MSSQL、MySQL 服务 - Docker 镜像: `dinotools/dionaea:latest` - 适用场景: 恶意软件样本、漏洞利用尝试、横向移动检测 ### HTTP 诱饵 - 基于 Flask 的自定义 Web 蜜罐 - 记录路径遍历、注入尝试、扫描器指纹 - 适用场景: Web 应用攻击检测，侦察活动 ## 模拟模式 没有 Docker？没问题。在 `.env` 或环境中设置 `HONEYPOT_SIMULATION=true`。 服务器会生成逼真的攻击数据（暴力破解尝试、恶意软件下载、 反向 Shell、扫描器活动），使得全部 10 个工具均可用于演示和测试。 ## 环境要求 - Python 3.11+ - Docker Desktop (可选——模拟模式无需此组件) - AbuseIPDB API 密钥 (可选——可在 abuseipdb.com 获取免费额度) ## 架构 ``` server.py # FastMCP entry point, 10 tools ├── core/ │ ├── docker_manager.py # Container lifecycle + simulation fallback │ ├── state.py # JSON-persisted honeypot registry │ └── simulation.py # Realistic mock event generator ├── parsers/ # Cowrie, Dionaea, HTTP log parsers ├── analysis/ # IOC extraction, TTP mapping, Sigma generation ├── intel/ # AbuseIPDB, Feodo Tracker, Emerging Threats clients ├── exporters/ # JSON/CSV/STIX IOC export + report generation └── docker/ # Docker Compose configs for each honeypot type ``` ## 许可证 MIT — 详见 [GitHub 上的 HPThreat](https://github.com/rod-trent/HPThreat)

标签：AbuseIPDB, AI安全, C2检测, Chat Copilot, Claude, CVE检测, Dionaea, Docker, Feodo Tracker, FTP漏洞扫描, HTTP蜜罐, IOC提取, IP 地址批量处理, MCP, PE 加载器, PFX证书, Python, Shellcode执行, Sigma规则, SSH蜜罐, STIX, TTP提取, 凭证捕获, 命令控制, 大模型, 威胁关联, 威胁情报, 安全编排, 安全防御评估, 开发者工具, 攻击检测, 数据采集, 无后门, 早期预警, 目标导入, 网络信息收集, 网络安全, 自动化报告, 蜜罐, 证书利用, 请求拦截, 进程注入, 逆向Shell, 逆向工具, 防御对抗, 隐私保护