• 注册
  • 威胁情报 威胁情报 关注:45 内容:46

    2021HW参考 | 蓝队溯源与反制

  • 查看作者
  • 打赏作者
    • 威胁情报
    • 本文简单写下红蓝对抗过程中蓝队的一些溯源与反制方法。

      一、蜜罐反制

      (1)商用型

      近年来越来越多的厂商选择部署商用蜜罐来诱导攻击者,衡量蜜罐好坏的关键因素为诱捕能力,即为诱惑捕捉能力。
      利用蜜罐可以做到:获取攻击者的P(真实IP,代理IP等)、ID、操作系统、设备信息等,也可通过诱饵进行钓鱼反制。
      蜜罐常见形式可以直观的分为web页面型,命令行型,windows型等。
      web页面例如weblogic、phpmyadmin、crm等,攻击者可进行弱口令登陆,暴力破解,历史漏洞,后台shell等,蜜罐页面中会插入溯源jsonp,例如百度、163、腾讯、新浪的对攻击者的ID进行溯源蓝队也可以根据这个思路自己收集一些jsonp用于自制蜜罐中。web型蜜罐的识别方法为查看数据包,如果数据包中出现了很多的不属于该网站的js信息,很大程度上为蜜罐。另外溯源js经常会在页面上产生一个细小的像素点,通过像素点也可以来判断是否踩到了蜜罐。
      命令行的例如redis(最常见也是攻击者最容易踩到的)、ssh等,此类获取到的信息偏向于IP,对于ID有一定难度。
      windows蜜罐例如win7,xp等,其中包含一些历史漏洞,可以对攻击者进行反制。
      现在的蜜罐除了上述的基本功能外,都有一些自己的花样,例如诱饵(邮件诱饵,github等),反制诱饵等。
      这里的反制诱可以理解为红队的钓鱼文件,例如在某网站下载链接嵌入一个反制exe,当攻击者点开始便可获得攻击者电脑权限,利用查看文件等操作溯源,从而达到反制的目的。

      2021HW参考 | 蓝队溯源与反制

      (2)开源型
      比较出名的开源蜜罐有beef、hfish等,beef自带功能强大,可以部署出一套完整的蜜网来进行迷惑攻击者。

      二、钓鱼邮件溯源
      红队有时会采用钓鱼邮件的方式来进行攻击,一些安全意识薄弱的员工便会打开该邮件从而上钩,如果钓到了运维,并且运维电脑上存有未加密的公司服务器信息等,可以说差不多是沦陷。攻击者在伪造钓鱼邮件时,有时出于疏忽,会泄露自己的邮件服务器地址,从而被溯源,下边来看一个例子。

      2021HW参考 | 蓝队溯源与反制

      红队在发送邮件诱饵时,没有进行伪造,导致自己的邮件服务器泄露,从而被蓝队溯源到真人。

      三、IP进行溯源
      在对入侵IP进行分类时发现一个IP,应该为攻击者的代理断掉了,通过微步等工具进行信息查询发现其备案域名,域名指向某公司

      2021HW参考 | 蓝队溯源与反制

      接下来对域名进行whois

      2021HW参考 | 蓝队溯源与反制

      根据邮箱手机号进行社工库查询,从而获取攻击者信息。

      四、红队遗留工具进行溯源
      案例1、某单位服务器沦陷,登上服务器对其进行溯源,在e盘找到了红队人员自己编写的工具

      2021HW参考 | 蓝队溯源与反制

      上边留有攻击者qq

      2021HW参考 | 蓝队溯源与反制

      在社工库中进行查询从而溯源获取红队真实身份信息
      案例2、对攻击者上传的工具进行分析,物理路径中包含了文件的名称
      2021HW参考 | 蓝队溯源与反制

      在github进行搜索找到该项目和攻击者ID

      2021HW参考 | 蓝队溯源与反制

      在知乎,微博等平台对该用户进行搜索综合,或者利用支付宝微信转账的方式获取攻击者真实信息。

      五、反制红队服务器
      蓝队可以对红队IP进行收集,批量进行扫描
      攻击者踩到了蜜罐,并尝试进行反弹shell

      2021HW参考 | 蓝队溯源与反制

      发现攻击者使用的为cs的服务器

      2021HW参考 | 蓝队溯源与反制

      服务器存在目录遍历漏洞,其中存有攻击者的攻击日志

      2021HW参考 | 蓝队溯源与反制

      有一条日志暴露了攻击者的teamserver密码

      2021HW参考 | 蓝队溯源与反制

      登录攻击者teamserver,找到被攻击主机的外网地址

      2021HW参考 | 蓝队溯源与反制

      一段时间后teamserver上线了一台新的主机

      2021HW参考 | 蓝队溯源与反制

      上线日志如下,可能是攻击者反弹shell后自己访问的登录信息

      2021HW参考 | 蓝队溯源与反制

      定位成功


      本帖作者:Sunf0wer,转载于先知社区,如有侵权请私聊删文

      请登录之后再进行评论

      登录
    • 发表内容
    • 做任务
    • 实时动态
    • 偏好设置
    • 帖子间隔 侧栏位置: