使用Raspberry构建蜜罐捕获BlueKeep攻击

0x00简介:

BlueKeep是一个软件安全漏洞,它影响使用旧版Microsoft Windows 操作系统的计算机 ; Windows 8和Windows 10不受影响。据说这个漏洞可以被用来启动自我复制的蠕虫 恶意软件。与勒索软件感染相关的2017年WannaCry攻击具有破坏性,这种攻击关闭了全世界的计算机。

BlueKeep于2019年5月发布了CVE - 2019-0708的常见漏洞和暴露 ID ,也称为远程桌面服务远程执行代码漏洞

截至2019年6月1日,近百万台计算机可能面临“ 可疑 ”BlueKeep 远程桌面服务(RDS)远程执行代码(RCE)远程桌面协议(RDP)漏洞的风险。扫描程序以确定特定计算机(或计算机组)是否受到缺陷的影响。Microsoft认为该漏洞“严重”,并建议尽快为受影响的系统安装可用的更新补丁以缓解漏洞,并在不需要时禁用远程桌面服务。

0x01:准备工具

1. Raspberry PI3
Essential Packages 
1. Wireshark
2. tcpdump
3. bro
4. rdpy
5. tcpick

安装

第1步:将您的Kali图像闪存到您的Raspberry PI3,我选择了这个https://images.offensive-security.com/arm-images/kali-linux-2019.2-rpi3-nexmon.img.xz,我使用了Etcher软件在Windows环境中刷新SD卡(简单快捷)https://www.balena.io/etcher/?ref=etcher_footer

使用Etcher闪烁SD卡

Step2:一旦刷新,继续更新/升级所有内容:

#apt-get update && apt-get upgrade && apt-get dist-upgrade

Kali on Raspberry PI 3

Step3:安装python-rdpy包

#pip install twisted pyopenssl qt4reactor service_identity rsa pyasn1 #pip 
install rdpy 
#apt-get install python-qt4

Step4:验证,如果一切正常,应该执行以下命令:

#rdpy-rdpcredsspmitm.py 
#rdpy-rdpmitm.py 
#rdpy-rssplayer.py 
#rdpy-vncscreenshot.py 
#rdpy-rdpclient.py 
#rdpy-rdphoneypot.py 
#rdpy-rdpscreenshot.py 
#rdpy-vncclient.py
注意:在Kali Linux上,我收到了Twisted包的一些错误,   我修复了以下命令:
#wget -c https://twistedmatrix.com/Releases/Twisted/19.2/Twisted-19.2.0.tar.bz2#bzip2
 -d Twisted-19.2.0.tar.bz2 
#tar -xvf Twisted-19.2.0。 tar 
#python setup.py install

执行rdpy-rdpclient.py和rdpy-rdphoneypot.py

步骤5:创建一个MiTM攻击并记录会话(RSS文件),想法是为入侵者显示一个可见屏幕(假远程桌面):

# rdpy-rdpmitm.py -o /root/honeypots_arsenal/ 192.168.1.17
Where 192.168.1.17 is the real Windows Server 2008 IP address with RDP service enable
Start a RDP connection to your localhost or 127.0.0.1 using xfreerdp
# xfreerdp --no-nla 127.0.0.1
To see:
[*] INFO: *******************************************
[*] INFO: *          SSL Security selected          *
[*] INFO: *******************************************

记录RDP会话(RSS文件)

步骤6:重播使用rdpy-rssplayer.py命令记录的会话,这是入侵者将看到的记录(屏幕):

#rdpy-rssplayer.py 20190601025837_127.0.0.1_1.rss

步骤7:运行RDP Honeypot的时间,只需执行以下命令:

#rdpy-rdphoneypot.py 20190601025837_127.0.0.1_1.rss

执行rdpy-rdphoneypot.py并记录会话(RSS文件)

步骤8:使用nmap检查RDP服务是否在端口3389上侦听Raspberry PI

#NMAP -F ip

运行nmap检查RDP服务是在本地监听

步骤9:设置路由器以访问服务3389(远程桌面协议)上的入侵者并使用nmap测试RDP服务是否在端口3389上侦听

NAT / PAT设置橙色路由器

nmap -F(您的IP地址)

运行nmap检查RDP服务是远程监听

步骤10:启用tcpdump并捕获到达端口3389的所有流量

#tcpdump tcp port 3389 -i eth0 -vvX -w rdp.pcap

使用tcpdump捕获端口3389上的流量

数据包分析

Step11 :安装tcpick,wireshark,bro并执行pcap文件分析(rdp.pcap)

#apt-get install tcpick 
#apt-get install wireshark 
#apt-get install cmake make gcc g ++ flex git bison python-dev swig libpcap-dev libssl-dev zlib1g-dev -y 
#apt-get install libgeoip-dev -y 
# apt-get install libmaxminddb-dev 
#apt-get install bro broctl bro-aux -y
使用tcpick进行数据包分析
#tcpick -C -yP -r rdp.pcap | 更多

瞧!

执行tcpick(数据包分析)

步骤12:使用bro查看深入的人类可读日志(以下命令将创建日志文件)

#bro -r rdp.pcap -C

使用bro命令生成可读的日志

# cat rdp.log | bro-cut id.orig_h id.orig_p id.resp_h id.resp_p cookie result security_protocol keyboard_layout client_build client_name | more

用bro-cut读取rdp.log文件

译文至:https://medium.com/@alt3kx/build-an-easy-rdp-honeypot-with-raspberry-pi-3-and-observe-the-infamous-attacks-as-bluekeep-29a167f78cc1

原文发布于微信公众号 - 洛米唯熊(luomiweixiong)

原文发表时间:2019-06-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券