CVE-2024-3094 一个带有XZ后门的SSH蜜罐

Ots安全 2024-04-01 18:58

什么是「xz-vulnerable-honeypot」？

「xz-vulnerable-honeypot」是一个基于 SSH 的蜜罐，具有名为 XZ 的后门漏洞（CVE-2024-3094）。

详细介绍

安装

注意：请在单独的隔离系统上运行此程序。Docker 不是用于隔离的，而是为了让库文件正常运行。

该程序的 BPF 钩子会打印出每次的 execve 调用，包括容器外的调用。

只需运行以下命令：

docker compose up

日志存储在 ./logs/
目录下。当前的监控包括使用 BPFtrace 监控 execve 系统调用，其中父进程是 ‘sshd’；使用 strace 监控父 SSHD 进程上的 execve 系统调用；使用 tcpdump 记录一个 pcap（待办事项：轮换记录）以及 SSHD 记录其常规输出（待办事项：修补某些内容以记录 RSA 密钥）。

配置

在 docker-compose.yml
中更改暴露的端口以更改 SSHD 监听的端口。

用途

「xz-vulnerable-honeypot」的主要用途是模拟一个易受攻击的 SSH 服务器，以便吸引黑客攻击。通过利用已知的 XZ 后门漏洞（CVE-2024-3094），它可以吸引潜在的攻击者尝试入侵系统。它可以帮助安全专业人员识别攻击行为、学习攻击技术并改进防御策略。

原因

实验和学习:
它提供了一个安全的环境，供安全专业人员、学生和研究人员学习和研究网络攻击技术和防御方法。

识别潜在威胁:
通过模拟易受攻击的系统，安全团队可以识别潜在的威胁并学习如何应对它们。

研究漏洞利用:
攻击者可能会利用已知漏洞对系统进行攻击。通过设置蜜罐来模拟这些漏洞，安全专家可以研究攻击者的行为和利用方式。

参考（分析和后门字符串）：

https://gist.github.com/smx-smx/a6112d54777845d389bd7126d6e9f504 

https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01

项目地址：

https://github.com/lockness-Ko/xz-vulnerable-honeypot

感谢您抽出

.

.

来阅读本文

点它，分享点赞在看都在这里