Свой ханнипот

[Blu-ray]

Всем привет!
Посоветуйте инструмент чтобы максимально просто и быстро развернуть свой RDWeb ханнипот

 

[solomonfinik]

думал за такое раньше так и не нашел https://xss.pro/threads/95199/

 

[Blu-ray]

думал за такое раньше так и не нашел https://xss.pro/threads/95199/

Ну с рдвебом задача более реализуема чем с впн, просто я почитал пару статеек на эту тему, решил что для меня это слишком заебисто, по этому отложил в долгий ящик

 

[MaFio]

Ну с рдвебом задача более реализуема чем с впн, просто я почитал пару статеек на эту тему, решил что для меня это слишком заебисто, по этому отложил в долгий ящик

RDWeb-ханипот? А зачем он тебе? Чтобы увидеть логи вида admin:password или test:123 и собрать свой словарь паролей? Ну посмотришь еще на IP атакующих, что тоже ничего интересного. Все это мусор столетней давности. Практическая польза от этих логов небольшая, если, конечно, у тебя не продуманная цепочка под конкретную жертву.

А ты точно про RDWeb (веб-морда, 443/HTTPS) или путаешь с RDP (прямой протокол, 3389/TCP)? Это разные вещи и разные векторы атаки. Ты хочешь ловить прямой RDP-брутфорс (тогда нужен RDP-эмулятор) или атаки на веб-интерфейс RDWeb (тогда нужен эмулятор веб-сервера, имитирующий IIS и нужные страницы). Второе найти/собрать на порядок сложнее и кастомнее. И главный вопрос остается: ради чего? Чтобы собрать те же унылые креды, только через HTTP POST вместо RDP?

Если стандартные ханипоты кажутся "заебисто" и бесполезны, а интерес к живому трафику есть, подними выходную ноду Tor. Свои заморочки с хостером, абузами и обслуживанием, но ты увидишь не однотипные попытки входа на твой фейковый RDP сервис, а реальный срез разнообразного трафика из даркнета: сканы всего подряд, попытки коннекта к C2-панелям (и где они хостятся, хех), эксплуатацию свежих и старых уязвимостей по разным протоколам, ну и RDP-брут там тоже будет, как часть общего шума. Анализировать это сложнее, да, но на порядок интереснее и полезнее для понимания того, что действительно происходит в сети, а не просто коллекционировать пароли 123456.

 

[solomonfinik]

Tor

а расскажи чуть подробнее пожалуйста
там же все пошифровано должно быть
что можно достать с ноды?
я бы поднял

 

[nixz]

а расскажи чуть подробнее пожалуйста
там же все пошифровано должно быть
что можно достать с ноды?
я бы поднял

http? Все что не обернуто в ssl/tls

 

[solomonfinik]

http? Все что не обернуто в ssl/tls

а какие сервисы сейчас на хттп остались?

 

[rand]

Хз, под RDweb не видел конечно. Но например если взять это и доработать напильником (там вроде раньше была симуляция RdWeb логинов в описании, но ща в упор н вижу)? Правда исходники глядеть нужно.

GitHub - dmitryporotnikov/RDPHoneyPot: A simple RDP honeypot designed to attract, analyze, and inspect RDP-based attacks, developed in C#.

A simple RDP honeypot designed to attract, analyze, and inspect RDP-based attacks, developed in C#. - dmitryporotnikov/RDPHoneyPot

github.com