hpg9/Cowrie-Honeypot-deployment-on-AWS-EC2
GitHub: hpg9/Cowrie-Honeypot-deployment-on-AWS-EC2
该项目在 AWS EC2 上集成 Cowrie 蜜罐与 Suricata IDS,利用 ELK 堆栈实现攻击捕获与威胁可视化,解决真实网络攻击行为的监测与分析问题。
Stars: 0 | Forks: 0
# Cowrie-Honeypot-deployment-on-AWS-EC2
## 概述
在 AWS EC2 上部署 Cowrie SSH 蜜罐并结合 Suricata IDS 进行
网络层检测。捕获并分析真实的攻击活动,包括
**Multiverze 加密货币挖矿僵尸网络**,将攻击者的 TTPs 映射到 MITRE ATT&CK 框架,
并通过 ELK 堆栈(Elasticsearch、Filebeat、Kibana)和 GeoIP 映射进行可视化。
## 架构
```
Internet --> AWS EC2 (t3.micro)
|
+--iptables NAT (port 22 --> 2222)
+--Cowrie SSH Honeypot (port 2222)
+--Suricata Intrusion detection system (network layer detection)
|
|
Filebeat
|
|
ELK Stack (Docker, local Mac)
+-- Elasticsearch (indexing + GeoIP)
+-- Kibana (dashboards + maps)
```
## 关键发现
### 捕获的攻击数据
通过 Cowrie 记录的真实攻击者命令和数据,按威胁分析需求整理。这些数据包括攻击者的源 IP
以及在实时攻击期间捕获的命令。
## 威胁:Multiverze 加密货币挖矿僵尸网络家族
- **Comfirmed via:** VirusTotal - 分类为加密货币挖矿恶意软件
- **Attack vector:** SSH 暴力破解 --> shell 命令执行
- **Objective:** 在易受攻击的主机上部署基于 XMRig 的门罗币挖矿程序
- **Multiverze threat actors IPS and malicious commands ran**
## 威胁:Multiverze 加密货币挖矿僵尸网络家族
- **Comfirmed via:** VirusTotal - 分类为加密货币挖矿恶意软件
- **Attack vector:** SSH 暴力破解 --> shell 命令执行
- **Objective:** 在易受攻击的主机上部署基于 XMRig 的门罗币挖矿程序
- **Multiverze threat actors IPS and malicious commands ran**标签:ADCS攻击, AWS, Botnet, Cryptomining, DNS 解析, Docker, DPI, EC2, Elastic, Elasticsearch, ELK Stack, Filebeat, GeoIP, Honeypot, HTTP工具, IaC, Intrusion Detection, iptables, Metaprompt, Monero, Multiverze, Mutation, SSH Honeypot, SSH 暴力破解, Suricata, XMRig, 凭证窃取, 可视化, 后渗透, 威胁分析, 威胁情报, 安全防御评估, 开发者工具, 现代安全运营, 端口转发, 网络安全审计, 自动化侦查工具, 蜜罐部署, 请求拦截, 越狱测试