代理蜜罐的开发与应用实战

代理蜜罐概述 蜜罐与代理蜜罐 蜜罐的概念 蜜罐是一种对攻击者进行欺骗的技术,吸引恶意攻击者的任何对象,包括系统、各种服务等,可以及时发现攻击者,并对攻击者的行为进行分析。蜜罐可以分为低交互、高交互、蜜表等种类。 低交互式蜜罐只允许简单的交互连接,一般部署在内网,只要有人触碰就会向安全团队报警 高交互式蜜罐允许攻击者入侵成功并取得系统权限,可以记录攻击者的一举一动,但可能会带来额外的风险,被攻击者作为跳板进一步攻击其他重要系统 蜜表是一种伪造的敏感数据,如数据库表、登

Exchange邮箱安全代理系统开发

概述 邮箱是企业的基础设施,大量的沟通是通过邮件完成的,邮件内容里面承载了非常多的商业敏感信息与机密,员工邮箱账户因社工库、撞库、弱口令、github等途径泄露出去的后果不言而喻。 许多企业的安全工程师可能会从邮箱的账户策略和ACL来保护员工邮箱账户的安全,如强制要求设置强壮的密码、定期修改密码、邮箱服务器仅对内网开放,外网访问需要拨入VPN等。 但这些手段存在以下弊端: 什么样的口令算安全的,如果正好是被社工库收录的复杂口令,是完全符合密码策略的 定期修改口令,可

用go语言给lua写扩展

背景 最近的一个lua项目中需要解析wbxml,WBXML是XML的二进制表示形式,Exchange与手机端之间的通讯采用的就是该协议,我需要解析到手机端提交过来的数据,以提高用户体验。 但是lua没有现成的Wbxml解析库,从头撸一个势必要花费大量造轮子的时间,在网上查找了半天,发现有一个go语言版本的https://github.com/magicmonty/activesync-go,写了几行测试代码,确认该库可以正常解析出Exchange的wbxml数据内容,如下

跨平台的安全检测工具包

概述 xsec-checker是一款服务器安全检测的辅助工具,由GO语言开发,天生支持跨平台,同一份代码可以交叉编译出linux与windows平台下的可执行文件,且无任何库的依赖。 关于跨平台说点题外话,笔者工作前7,8年一直在游戏行业,从安全、运维及开发都有涉猎,记得移动互联网兴起时,许多手机游戏都是先只支持iphone平台,后来才慢慢支持Android平台的,原因是同一款游戏的客户端,需要2个团队,一个team用objective-c开发iphone版的,另一个te

应急响应浅谈

应急响应浅谈 应急响应及应急响应中心 应急响应是安全从业者最常见的工作之一(系统被黑后紧急救火,PDR模型-防护、检测、响应中的三大模块之一)。很多人可能认为应急响应就是发现服务器被黑之后,登录上去查后门的那段过程。 其实应急响应的完整定义为:组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施。 通俗地讲,应急响应不应该只包括救火,还应包括救火前的一系列准备。如果在工作中忽略了准备部分,可能会出现以下几种情况: 不具备基本的入侵检测能力

用Docker制作一个高交互ssh蜜罐

概述 实现一个高交互的SSH蜜罐有方式有多种: 可以使用现成的开源系统,如kippo、cowrie等, 可以利用一些SSH库做2次开发,如https://github.com/gliderlabs/ssh 也可以用Docker定制 市面上已经有这么多开源的SSH蜜罐了,我为什么还要再造个轮子呢,理由如下: 部署这些系统要安装一堆的依赖,运维部署成本较高 想要的功能没法添加,不想要的功能也没法删减 如果要支持多种高交互的服务,必须用一堆开源的系统拼凑出一堆服务来,

github泄露巡航系统开发

概述 github敏感信息泄露一直是企业信息泄露和知识产权泄露的重灾区,安全意识薄弱的同事经常会将公司的代码、各种服务的账户等极度敏感的信息『开源』到github中,github也是黑、白帽子、安全工程师的必争之地,作为甲方的安全工程师,我们需要一套可以定期自动扫描特定的关键字系统,以期第一时间发现猪队友同事泄露出去的敏感信息。 积极响应开源号召的同学请开自己业余的项目,公司的产品代码、各系统账户属于公司的资产,擅自对外界公布属于侵犯公司的知识产权的行为,是违法的,造成后

设计灵敏的蜜罐传感器

设计灵敏的蜜罐传感器 以前我写过一篇蜜罐设计的文章自制蜜罐之前端部分,https://xsec.io/2016/7/8/how-to-develop-a-honeypot.html,这个蜜罐的传感器实现的原理是设置iptables的LOG指令,将NEW,ESTABLISHED,RELATED三种状态的连接信息记录到syslog中,然后再通过rsyslog的转发机制发送到蜜罐server中进行检测: exec.Command("/sbin/iptables"