使用Raspberry构建蜜罐捕获BlueKeep攻击

0x00简介：

BlueKeep是一个软件安全漏洞，它影响使用旧版Microsoft Windows 操作系统的计算机 ; Windows 8和Windows 10不受影响。据说这个漏洞可以被用来启动自我复制的蠕虫 恶意软件。与勒索软件感染相关的2017年WannaCry攻击具有破坏性，这种攻击关闭了全世界的计算机。

BlueKeep于2019年5月发布了CVE - 2019-0708的常见漏洞和暴露 ID ，也称为远程桌面服务远程执行代码漏洞。

截至2019年6月1日，近百万台计算机可能面临“ 可疑 ”BlueKeep 远程桌面服务（RDS）远程执行代码（RCE）远程桌面协议（RDP）漏洞的风险。扫描程序以确定特定计算机（或计算机组）是否受到缺陷的影响。Microsoft认为该漏洞“严重”，并建议尽快为受影响的系统安装可用的更新补丁以缓解漏洞，并在不需要时禁用远程桌面服务。

0x01：准备工具

1. Raspberry PI3

Essential Packages 
1. Wireshark
2. tcpdump
3. bro
4. rdpy
5. tcpick

安装

第1步：将您的Kali图像闪存到您的Raspberry PI3，我选择了这个https://images.offensive-security.com/arm-images/kali-linux-2019.2-rpi3-nexmon.img.xz，我使用了Etcher软件在Windows环境中刷新SD卡（简单快捷）https://www.balena.io/etcher/?ref=etcher_footer

使用Etcher闪烁SD卡

Step2：一旦刷新，继续更新/升级所有内容：

＃apt-get update && apt-get upgrade && apt-get dist-upgrade

Kali on Raspberry PI 3

Step3：安装python-rdpy包

#pip install twisted pyopenssl qt4reactor service_identity rsa pyasn1 #pip 
install rdpy 
＃apt-get install python-qt4

Step4：验证，如果一切正常，应该执行以下命令：

＃rdpy-rdpcredsspmitm.py 
＃rdpy-rdpmitm.py 
＃rdpy-rssplayer.py 
＃rdpy-vncscreenshot.py 
＃rdpy-rdpclient.py 
＃rdpy-rdphoneypot.py 
＃rdpy-rdpscreenshot.py 
＃rdpy-vncclient.py

注意：在Kali Linux上，我收到了Twisted包的一些错误，   我修复了以下命令：

＃wget -c https://twistedmatrix.com/Releases/Twisted/19.2/Twisted-19.2.0.tar.bz2#bzip2
 -d Twisted-19.2.0.tar.bz2 
＃tar -xvf Twisted-19.2.0。 tar 
＃python setup.py install

执行rdpy-rdpclient.py和rdpy-rdphoneypot.py

步骤5：创建一个MiTM攻击并记录会话（RSS文件），想法是为入侵者显示一个可见屏幕（假远程桌面）：

# rdpy-rdpmitm.py -o /root/honeypots_arsenal/ 192.168.1.17

Where 192.168.1.17 is the real Windows Server 2008 IP address with RDP service enable

Start a RDP connection to your localhost or 127.0.0.1 using xfreerdp

# xfreerdp --no-nla 127.0.0.1

To see:

[*] INFO: *******************************************
[*] INFO: *          SSL Security selected          *
[*] INFO: *******************************************

记录RDP会话（RSS文件）

步骤6：重播使用rdpy-rssplayer.py命令记录的会话，这是入侵者将看到的记录（屏幕）：

＃rdpy-rssplayer.py 20190601025837_127.0.0.1_1.rss

步骤7：运行RDP Honeypot的时间，只需执行以下命令：

#rdpy-rdphoneypot.py 20190601025837_127.0.0.1_1.rss

执行rdpy-rdphoneypot.py并记录会话（RSS文件）

步骤8：使用nmap检查RDP服务是否在端口3389上侦听Raspberry PI

＃NMAP -F ip

运行nmap检查RDP服务是在本地监听

步骤9：设置路由器以访问服务3389（远程桌面协议）上的入侵者并使用nmap测试RDP服务是否在端口3389上侦听

NAT / PAT设置橙色路由器

nmap -F（您的IP地址）

运行nmap检查RDP服务是远程监听

步骤10：启用tcpdump并捕获到达端口3389的所有流量

#tcpdump tcp port 3389 -i eth0 -vvX -w rdp.pcap

使用tcpdump捕获端口3389上的流量

数据包分析

Step11 ：安装tcpick，wireshark，bro并执行pcap文件分析（rdp.pcap）

＃apt-get install tcpick 
＃apt-get install wireshark 
＃apt-get install cmake make gcc g ++ flex git bison python-dev swig libpcap-dev libssl-dev zlib1g-dev -y 
＃apt-get install libgeoip-dev -y 
＃ apt-get install libmaxminddb-dev 
＃apt-get install bro broctl bro-aux -y

使用tcpick进行数据包分析
#tcpick -C -yP -r rdp.pcap | 更多

瞧！

执行tcpick（数据包分析）

步骤12：使用bro查看深入的人类可读日志（以下命令将创建日志文件）

#bro -r rdp.pcap -C

使用bro命令生成可读的日志

# cat rdp.log | bro-cut id.orig_h id.orig_p id.resp_h id.resp_p cookie result security_protocol keyboard_layout client_build client_name | more

用bro-cut读取rdp.log文件

译文至：https://medium.com/@alt3kx/build-an-easy-rdp-honeypot-with-raspberry-pi-3-and-observe-the-infamous-attacks-as-bluekeep-29a167f78cc1