GoSpoof – 将攻击转化为情报
想象一下:你是一名攻击者,正准备获取有价值的数据出售以支付梦幻假期。你做了研究、侦察等所有准备,确保万无一失。攻击当天,你煮好咖啡,活动手指开始行动。经过几小时的服务扫描,你发现所有网络端口都开放但都被占用。“真奇怪”,你想,但已经能感受到海风拂面,于是继续尝试。一次次攻击后……一无所获。你似乎什么都得不到。
与此同时,组织的SOC团队通过运行GoSpoof已经获得了你的IP地址、日期、时间戳和攻击方法。
GoSpoof
GoSpoof是一款旨在破坏攻击操作同时减轻SOC团队工作负担的欺骗工具。这是对旧工具Portspoof的新版本。使用Golang,我们能够现代化这个备受喜爱的工具,并进行高级更改以推动其他网络欺骗工具的发展。
主要特性
GoSpoof曾经只能欺骗端口和减慢攻击者速度;现在,它可以通过-honey标志作为蜜罐使用,记录IP、日期、时间戳和攻击中发送的数据,并保存到honeypot.log。
该工具还具有持久化模式,可通过--boot触发。这会创建一个systemd服务,保存你的标志并在启动时运行该工具。要撤销此操作,只需运行:
|
|
它还可以运行我们称为"RubberGlue"的功能。这将连接隧道回传给攻击者, essentially让黑客攻击自己的系统,将所有拦截的流量保存在hash.txt文件中,后续可读取。
GoSpoof现在自带内置网站,称为"命令中心"。在这里,SOC分析师可以输入他们的honeypot.log,在"攻击者"页面查看哪些IP攻击最频繁,在"有效载荷"页面查看发送的有效载荷,并按天、时间或IP进行筛选。
我们的工具轻量级、易于使用和报告。“攻击者"页面甚至包含饼图以更好地可视化攻击。
实际使用演示
首先,我们需要从Github拉取仓库:
|
|
然后进入GoSpoof目录。
使用以下命令构建我们的命令中心:
|
|
这会安装所有网站依赖项。
完成后,我们可以进入src目录,运行iptables规则,并构建GoSpoof。
现在我们可以使用新功能创建持久化服务,启动命令中心,并记录攻击:
|
|
攻击者视角
我们启动了一个攻击脚本,以下是从攻击者视角看到的结果。
Nmap扫描显示虚假横幅:
Hydra和模糊测试失败:
远程bios扫描失败:
与此同时,回到Gospoof用户的视角,所有这些数据都在被收集和存储。以下是终端视图显示的内容:
现在,让我们看看我们的命令中心。
命令中心
这是我们的攻击者页面:
以下是我们可以在有效载荷页面看到的一些攻击方法和发送的数据:
总之,GoSpoof扭转了潜在入侵者的局面——将嘈杂、耗时的攻击转化为防御者的高价值情报。轻量级、易于部署、具有可操作日志和清晰命令中心,它浪费攻击者的时间,收集证据,并为SOC团队提供更快、更智能响应所需的情境。如果你想降低攻击者的投资回报率,加强监控,并获得随环境扩展的欺骗层,GoSpoof正是每个防御者工具包中应有的实用工具。