分类目录归档:open source

Dionaea低交互式蜜罐部署实践

在上期文章中,我们对Dionaea低交互式蜜罐的工作原理、安装与使用方法以及进阶高级功能进行了介绍。我们从5月份开始,在清华大学校园网和CERNET骨干网链路上部署了多个Dionaea低交互式蜜罐系统,本文对Dionaea蜜罐所监测到的互联网服务端安全威胁数据进行分析,来说明目前教育网环境中的主要服务端安全威胁,以及Dionaea蜜罐的实际安全威胁数据捕获能力。 全文:Dionaea低交互式蜜罐部署实践

发表在 open source | 标签为 , , | 留下评论

Dionaea捕蝇草蜜罐介绍

Dionaea低交互式蜜罐(http://dionaea.carnivore.it/)是Honeynet Project的开源项目,起始于Google Summer of Code 2009,是Nepenthes(猪笼草)项目的后继。Honeynet Project是成立于1999年的国际性非盈利研究组织,致力于提高因特网的安全性,在蜜罐技术与互联网安全威胁研究领域具有较大的影响力。 Dionaea蜜罐的设计目的是诱捕恶意攻击,获取恶意攻击会话与恶意代码程序样本。它通过模拟各种常见服务,捕获对服务的攻击数据,记录攻击源和目标IP、端口、协议类型等信息,以及完整的网络会话过程,自动分析其中可能包含的shellcode及其中的函数调用和下载文件,并获取恶意程序。 有别于高交互式蜜罐采用真实系统与服务诱捕恶意攻击,Dionaea被设计成低交互式蜜罐,它为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统,而是对各种系统及其提供的服务的模拟。这样设计的好处是安装和配置十分简单,蜜罐系统几乎没有安全风险,不足之处是不完善的模拟会降低数据捕获的能力,并容易被攻击者识别。 全文:Dionaea低交互式蜜罐介绍

发表在 open source | 标签为 , , | 留下评论

Kippo: 一款优秀的SSH蜜罐开源软件

针对弱口令SSH服务的爆破和进一步控制一直以来都是互联网上的一种常见攻击方式,虽然没有什么技术含量,但由于互联网上始终有许多服务器管理员和用户缺乏必要的安全意识,并没有安全地配置SSH服务及设置强口令字,从而造成这种古老的攻击方式直至今日仍然非常有效,在互联网上针对TCP 22端口上的SSH服务进行弱口令探测的攻击流量也随处可见。著名信息安全咨询机构SANS在2007年发布的最流行20种安全风险中将针对SSH、FTP、Telnet等服务的口令爆破排在第一位,而在2010年SANS的互联网安全监控中心又对分布式的SSH口令爆破威胁发出警报。 Kippo(http://code.google.com/p/kippo/)则是受Kojoney的启发,于2009年开源发布的另一款SSH 蜜罐软件,它在Kojoney基础上能够进一步提供更加真实的shell交互环境,比如支持对一个文件系统目录的完全伪装,允许攻击者能够增加或者删除其 中的文件;包含一些伪装的文件内容,如/etc/passwd和/etc/shadow等攻击者感兴趣的文件;以UML(User Mode Linux)兼容格式来记录shell会话日志,并提供了辅助工具能够逼真地还原攻击过程;引入很多欺骗和愚弄攻击者的智能响应机制,往往会让攻击者对自 己的智商产生怀疑。正是由于具有这些特性,Kippo能够称为是一种中等交互级别的SSH蜜罐软件。 我们在教育网中实际部署了Kippo 蜜罐,下面结合我们的实际安装部署过程,以及对捕获数据的分析,来介绍Kippo蜜罐的使用方法及其强大威力,同时也对目前互联网上流行的SSH弱口令爆 破攻击的特性,以及控制SSH服务器进行进一步攻击的行为来进行分析。最后,我们也将给出如何安全配置SSH服务的最佳实践建议。 全文:Kippo-介绍 Slides:Kippo介绍

发表在 open source | 留下评论

中国蜜网项目组郑聪发布Android恶意代码静态分析辅助工具-APKInspector

一年一度的Google Summer of Code刚刚落下帷幕,两位中国蜜网项目组的学生郑聪和鲍由之都成功完成GSoC项目,并分别发布了开源工具APKInspector(Android恶意代码静态分析辅助工具)与AxMock(ActiveX安全漏洞模拟插件)。 Anroid恶意代码分析是The Honeynet Project在2011-2012年度关注的热点研究方向之一,在GSoC项目中资助了两位学生进行开源工具开发,郑聪在Mentor Ryan Smith的指导下,开发静态分析工具APKInspector,另外一位学生Patrik,开发动态分析工具DroidBox。两个工具的配合使用可以帮助安全研究人员更容易地对Andriod恶意代码进行逆向工程分析,观察并剖析Android应用程序中的恶意行为。

发表在 open source, The Honeynet Project | 标签为 , , , , | 留下评论

Metasploit v4发布

Metasploit v4已经正式发布,不过这次不像之前的v2和v3发布完全是整体体系结构的重构与代码重写,这也标志着Metasploit已经进入成熟的稳定发展阶段了。 HD Moore在blog中提到了v4的几个新特性: 转向以数据库为中心的模式,支持一组渗透测试人员组成的团队进行更好的数据共享; 支持多种外部安全工具的输入导入,以及XML数据导出,这样增加了Metasploit与其他知名安全工具的数据交互共享,也开发了一个新的更稳定的远程调用API(不是以前的msfapi)来支持安全工具之间的互操作性 增加了post后渗透攻击模块(把以前的一些Meterpreter扩展脚本功能都往这边移植了),从而构成了Aux辅助模块完成信息搜 集,exploits模块进行渗透攻击,Post后渗透攻击模块进行主机控制与拓展攻击的渗透测试全过程支持,这也是Metasploit从渗透攻击框架 软件到整体渗透测试支持平台的发展方向迈出的坚实一步! 转向云计算平台支持,目前v4发布了能够在Amazon云平台上运行的虚拟机,并可以通过新的API远程申请云中的Metasploit来对目标进行渗透测试了。

发表在 open source | 标签为 , , | 留下评论

在香港PISA协会期刊上发表的《Google程式设计之夏》文章

我在3月份撰写Google Summer of Code 2010推广文章,《Google编程之夏2010开锣 中国学生招募中》, 在中国教育与科研计算机网教育信息化频道上发表,但由于莫名奇妙的 原因,未能在《中国信息网络》杂志上按计划发表。在此对《中国教育网络》傅宇凡编辑和edu.cn教育信息化频道的编辑致谢。 3月份也和The Honeynet Project Hong Kong Chapter的Peter Cheung(章健一)合作完成了一份繁体中文翻译和裁减版本,向香港PISA协会(Professional Information Security Association)期刊进行了投稿,今天发现该期刊已经将电子版上线了。我和章健一的文章见PISA协会期刊2010年3月期第18-23页。 GSoC 2010中国学生参与的总体情况尚未知晓,但在The Honeynet Project的17个资助学生项目中拿到了4个,比去年的3个又有所进步,值得我们庆祝一下。但这次拿到GSoC-THP’10项目的中国学生均来自我所在的北京大学,希望其他高校和研究院所的学生能够在其他项目中有突出的表现。

发表在 open source | 标签为 , , | 留下评论

Google发布GSoC2010学生名单-北大4名学生成功获得资助

Google刚刚正式公开了GSoC 2010受资助学生名单,The Honeynet Project 令人兴奋地拿到了17个学生名额(从去年的9个名额几乎增长了一倍), 具体受资助名单见here!。 在The Honeynet Project最后收到的45份有效申请中,来自中国学生的有8份, 其中北大的5份,最终4名中国学生成功获得了资助,参与The Honeynet Project 的开源程序开发,均为北大的学生,分别为: Student Proposal Title Mentor Huilin Zhang Improving PHoneyC—-Detecting and Analyzing Malicious PDF attack jose nazario Zhongjie Wang Implement TraceExploit: Replay the collected network trace to perform successful … 继续阅读

发表在 open source, The Honeynet Project | 标签为 , , | 留下评论

GSoC学生提交申请结束,GSoC-THP收获56份申请

GSoC学生提交申请结束,GSoC-THP收获56份学生申请,具体情况参见The Honeynet Project GSoC管理员David的博文。 来自中国大陆的8位学生参与了申请,从提交的申请初步评阅情况来看,喜忧参半,可喜的是Chinese Chapter的两位学生投出的申请都获得了高度评价,另一位未名BBS上看到我的帖子申请GSoC的本科生也投出了一个竞争激烈选题中受到好评的申请。可忧的是一个学生犯了最不该有的错误,也得到了最低的评价。 当然,现在尚未有最终的结果,4月20日揭晓,祝申请GSoC的中国学生们都Good Luck.

发表在 open source, The Honeynet Project | 标签为 , , | 留下评论

The Honeynet Project was accepted by GSoC 2010 as the MEntor Org

Much to the excitement of students all around the world, tonight Google officially announced which mentor organisations have been accepted for Google Summer of Code (GSoC) 2010, and the Honeynet Project are delighted to have been selected as one of … 继续阅读

发表在 open source, The Honeynet Project | 标签为 , , | 留下评论

GSoC 2009统计与中国学生参与情况

GSoC 2009计划接受了150个开源团队组织并提供1,000个项目名额,共计吸引了世界上来自93个国家3,496名学生参与申请,共接收到5,900份项目申请书,从中遴选出来自70个国家的1,000名学生,资助其完成在开源团队组织指导下的开源程序设计与开发,平均的申请成功率为28.6%(1,000/3,496)。最终约850个项目顺利完成并通过结项评估考核,项目成功率为85%。 Google公布了GSoC 2009参与的学生来源国家Top 5列表,并提供了一个可在Google地球上展示GSoC 2009参与人员覆盖面的地理位置信息文件。图2是笔者根据该文件截取的GSoC参与学生和指导老师的分布对比情况,从中可以明显地看到东西方在开源社区参与度的差距。 图 2 GSoC 2009资助学生-指导老师地理分布对比图 (左为北美/欧洲为主的西方世界,右为亚洲为主的东方世界) 申请学生来源国家的Top 5排名分别为美国(744名)、印度(610名)、中国(202名)、加拿大(138名)和巴西(135名),而成功获得资助的接受学生来源国家的Top 5排名分别为美国(212名)、印度(101名)、德国(55名)、加拿大(44名)和巴西(43名)。中国大陆获得资助的接受学生数大致为38名。从中也可以看出中国的一些差距,从申请数量上看,中国虽然排在第3位,但绝对数量只有排在第2位印度的1/3,既然已经成为拥有世界最多在校大学生和研究生数量的大国,中国也应在GSoC这类全球性项目申请中发挥出规模效益;而中国大陆的学生接受数量却落在了前5名之外,申请成功率只有18.8%左右,虽然较印度的16.6%稍好,但离平均值28.6%少了近10个百分点,更不能和以工程教育享有欧陆模式典范之美誉的德国相比。 表 3 GSoC 2009学生来源国家对比情况 学生来源国家 申请数量 申请数排名 接受数量 接受数排名 申请成功率 美国 744 1 212 1 28.5% 印度 610 2 101 2 16.6% 中国 202 3 ~38 … 继续阅读

发表在 open source | 标签为 | 留下评论