如何辨别蜜罐系统

 · 2020-11-21 · 次阅读


0X00背景

写这篇文章的背景是因为老大提出来的问题,争对HW活动中红队陷入蜜罐而最终溯源成功的现象。一个精明的红队人员如何能识别自己访问的是蜜罐系统还是真实系统呢?

0X01分析

辨别之前,我们需要了解不同蜜罐的功能。

一般来说之所以蜜罐能获取到攻击者的一些浏览器缓存又或者是攻击者的社交信息(社交用户名密码等),其实我自己的理解是蜜罐就和钓鱼网页一样。它本身就会写入很多js文件然后偷偷的将访问者的浏览器里面的信息传输到攻击者手中,当然蜜罐的话也就是把信息传回给后台的web界面里。

也就是说一定在加载蜜罐页面时就会发现大量的js在请求和调用一些社交网站,或者是直接获取当前浏览器的信息这样的功能。

0X02工具识别

目前我知道的只有goby有一个蜜罐识别的功能,但我还不清楚它基于什么判断的:

在设置功能页面中:

image-20201121172813392