问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
【hvv2022】溯源反制案例学习笔记,建议收藏!
安全工具
某护马上要开始了,这几天会疯狂产出学习笔记,学习做一名合格的蓝队,如果可以的话,点个关注,不要掉队哦。
0x01 前言 ======= 某护马上要开始了,这几天会疯狂产出学习笔记,学习做一名合格的蓝队,如果可以的话,点个关注,不要掉队哦,关注破千,免费开放知识星球,内含各种溯源反制兵器以及独家技巧! 0x02 某金融主管的案例分享 ================ 来源:SecOps急行军 (下面夹带了我自己的私货) **蜜罐选择** - 外网用重型蜜罐 (作为得分手段,能抓攻击者社交ID、主机信息、甚至反制) - 内网用HIDS全量全量轻蜜罐 (灵敏度高,原理是socket监听,有连接就告警) **原因解读:** 红队一般难打到内网,避免头重脚轻,拿不到分。 **设计了三类诱饵** - 已知漏洞蜜罐: shiro(二级域名直接重定向到shiro页面) fastjson springboot(伪造actuator监控接口) - 热门漏洞蜜罐: 域名复用(old.xx.com) 欺骗域名(vpn.xx.com) 常见目录(/admin) - 反制型蜜罐: 端口暴露(3389RDP反制) github泄露(3306MYSQL反制) **tips:** 其实像我们这些打工人就不需要管了,蜜罐都是厂商安排好了的。 **蜜罐能捕获到什么** 通过蜜罐捕获攻击者设备信息: - 设备指纹:蜜罐厂商的标识符ID - 操作系统:如win10 - CPU核心数:如8 - 显卡设备:如google swiftshader - 游览器:如chrome(win) - 设备类型:如PC - 语言:中文 - 音频设备:如ext speaker - 游览器UA:如...Chrome/85.0.4183.102 将设备指纹ID提交给蜜罐厂商,厂商会在自己的“蜜罐指纹情报库”检索,给你返回以下信息: - 地址(攻击源IP、公网IP、内网IP) - 网络ID - 开始攻击时间——最近攻击时间 - 攻击次数 也可以将红队IP提供给厂商情报中心,对方可能会给你返回红队的历史攻击样本,我方不仅可以提取C2域名,还可以逆向,看是否包含物理路径信息,甚至是一些敏感字符串,如ID和安全团队。 **tips:** 建议红队收藏,这样就记得蓝队蜜罐能捕获到你们什么信息了,做针对性防护。 **常见反制红队手段:** - CSDN老用户漏洞,爆破手机号 - phpmyadmin弱口令爆破 - 数据库写webshell - phpstudy后门漏洞 - Tomcat RCE - Shiro反序列化 - 常见配置文件读取 - chrome UAF漏洞上线cs - 微信目录找微信ID - 在红队webshell加js探针 - !以下是我补充的 - redis未授权 - tomcat/mysql/redis/ssh爆破 **tips:** 兄弟们点个关注,下一期推文更新以上所有漏洞的复现 **javascript探针** 该案例中返回了两个操作系统,win10和win7,其中一个应该是虚拟机,另一个是宿主机,怎么判断当前用的是哪个系统? 通过下面的第二个探针,若返回硬件信息,说明是win10,否则是win7 ```php [1]xssprobe #主要捕获操作系统和游览器版本信息,refer,cookie,语言 https://github.com/evilcos/xssprobe/blob/master/probe.js [2]Get CPU/GPU/memory information #判断游览器厂商和硬件信息 https://stackoverflow.com/questions/15464896/get\-cpu-gpu-memory-information [3]canvas探针,计算游览器标识符指纹 https://jsbin.com/qisodaz/edit?html,js,output ``` **钓鱼怎么应对** - 对附件进行逆向,看附件是否包含红队物理路径信息,会暴露其用户名ID - 把附件放进云沙箱,提取C2域名 - 邮件导出为eml格式,提取发信人IP - 尽可能多的诱导对方提供攻击样本和链接 - 通过SIEM策略加快查找: 同一个发件人,给超5个人发邮件的,筛出来 同一个标题邮件,日志数超过10条的,筛出来 所有对外公开的邮箱,逐一排查 所有带附件的邮箱,考虑到免杀,再人工排查一遍 **nmap反扫端口新思路** 如果什么高危端口都没开,别泄气,看看filter策略、os、traceroute信息,这些都是重要线索,你有可能在其他IP找到与上面类似的信息,说明它们可能是同一个红队所为。 **tips:** 除此之外,有些IP端口指纹可能是HWXX\_VM\_XX,或者是在微步情报社区被打上了标签2022你懂的,说明就是红队真实IP。 **注意事项** 一定要证明该红队对我方资产攻击成功,我们才进行的溯源反制,如果单纯只是对扫描IP进行溯源,可能给很少分,甚至不给分。有一个技巧,就是对蜜罐页面改造,最后利用数据包重放,证明该红队“攻击成功”。 **拿到邮箱后,做什么** - WHOIS反查域名 - 邮箱前缀可能是红队ID,搜索引擎反查 - 天眼查、企查查反查公司 - reg007.com查注册过的网站,通过找回密码,进一步找信息 **拿到手机号后,做什么** 查脉脉、领英,得到毕业院校、工作经历 查微博、知乎、github等社交账号 微信、支付宝转账,得到部分真实姓名 **拿到域名后,做什么** WHOIS反查注册人,要是开启了隐私保护,就查域名历史IP解析,然后根据查到的IP,再继续查IP历史解析域名,总之套娃。 **tips:** 将IP,域名什么的都放到搜索引擎看看,说不定有历史的在线病毒分析报告 0x03 溯源总结 ========= **IP** 首先丢微步情报社区,看其是否归属IDC机房或者云主机,如果是,就考虑查域名历史解析记录(微步有),如果不是,就继续判断,其是否为肉鸡或者代理IP,如果是肉鸡的话,微步情报社区会有历史攻击记录,或者被打上傀儡机标签,如果是代理IP的话,扫描它的端口,一般代理服务都会有端口指纹,例如ccproxy,如果上面都没有,就有可能是真实的国内ip,可以尝试用高精度定位网站进行定位 ```php #300米内定位 https://chaipip.com/aiwen.html ``` **域名** 反查注册人,如果开启了隐私保护政策,就通过微步情报社区,查看历史解析IP,用同样的套路,记录反查域名和注册人信息 ```php #历史解析IP https://securitytrails.com/ ``` **社交账号** 一般是通过蜜罐的JSONP跨域来获得 **恶意样本** 上传微步云沙箱获得C2地址,利用微软的strings.exe工具解析铭感字符串,此外还要关注调试信息、有无pdb文件,可能会泄露物理路径,其中的计算机名可能是黑客ID **ID** 搜索引擎(百度,谷歌),社交网站(微博,贴吧),技术博客(csdn,博客园),src平台(补天),社工库(telegram社工机器人),论坛(吾爱破解),尝试加微信(ID可能就是微信ID)
发表于 2022-06-28 09:39:55
阅读 ( 8698 )
分类:
其他
3 推荐
收藏
0 条评论
请先
登录
后评论
pokeroot
6 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!