0x01 前言

某护马上要开始了，这几天会疯狂产出学习笔记，学习做一名合格的蓝队，如果可以的话，点个关注，不要掉队哦，关注破千，免费开放知识星球，内含各种溯源反制兵器以及独家技巧！

0x02‍ 某金融主管的案例分享

来源：SecOps急行军

（下面夹带了我自己的私货）

蜜罐选择

• 外网用重型蜜罐

  （作为得分手段，能抓攻击者社交ID、主机信息、甚至反制）

• 内网用HIDS全量全量轻蜜罐

  （灵敏度高，原理是socket监听，有连接就告警）

原因解读： 红队一般难打到内网，避免头重脚轻，拿不到分。

设计了三类诱饵

• 已知漏洞蜜罐：

  shiro（二级域名直接重定向到shiro页面）

  fastjson

  springboot（伪造actuator监控接口）

• 热门漏洞蜜罐：

  域名复用（old.xx.com）

  欺骗域名（vpn.xx.com）

  常见目录（/admin）

• 反制型蜜罐：

  端口暴露（3389RDP反制）

  github泄露（3306MYSQL反制）

tips： 其实像我们这些打工人就不需要管了，蜜罐都是厂商安排好了的。

蜜罐能捕获到什么

通过蜜罐捕获攻击者设备信息：

• 设备指纹：蜜罐厂商的标识符ID
• 操作系统：如win10
• CPU核心数：如8
• 显卡设备：如google swiftshader
• 游览器：如chrome（win）
• 设备类型：如PC
• 语言：中文
• 音频设备：如ext speaker
• 游览器UA：如...Chrome/85.0.4183.102

将设备指纹ID提交给蜜罐厂商，厂商会在自己的“蜜罐指纹情报库”检索，给你返回以下信息：

• 地址（攻击源IP、公网IP、内网IP）
• 网络ID
• 开始攻击时间——最近攻击时间
• 攻击次数

也可以将红队IP提供给厂商情报中心，对方可能会给你返回红队的历史攻击样本，我方不仅可以提取C2域名，还可以逆向，看是否包含物理路径信息，甚至是一些敏感字符串，如ID和安全团队。

tips： 建议红队收藏，这样就记得蓝队蜜罐能捕获到你们什么信息了，做针对性防护。

常见反制红队手段：

• CSDN老用户漏洞，爆破手机号
• phpmyadmin弱口令爆破
• 数据库写webshell
• phpstudy后门漏洞
• Tomcat RCE
• Shiro反序列化
• 常见配置文件读取
• chrome UAF漏洞上线cs
• 微信目录找微信ID
• 在红队webshell加js探针

！以下是我补充的

• redis未授权
• tomcat/mysql/redis/ssh爆破

tips： 兄弟们点个关注，下一期推文更新以上所有漏洞的复现

javascript探针

该案例中返回了两个操作系统，win10和win7，其中一个应该是虚拟机，另一个是宿主机，怎么判断当前用的是哪个系统？

通过下面的第二个探针，若返回硬件信息，说明是win10，否则是win7

[1]xssprobe #主要捕获操作系统和游览器版本信息，refer，cookie，语言
https://github.com/evilcos/xssprobe/blob/master/probe.js
[2]Get CPU/GPU/memory information #判断游览器厂商和硬件信息
https://stackoverflow.com/questions/15464896/get\-cpu-gpu-memory-information
[3]canvas探针，计算游览器标识符指纹
https://jsbin.com/qisodaz/edit?html,js,output

钓鱼怎么应对

• 对附件进行逆向，看附件是否包含红队物理路径信息，会暴露其用户名ID

• 把附件放进云沙箱，提取C2域名

• 邮件导出为eml格式，提取发信人IP

• 尽可能多的诱导对方提供攻击样本和链接

• 通过SIEM策略加快查找：

  同一个发件人，给超5个人发邮件的，筛出来

  同一个标题邮件，日志数超过10条的，筛出来

  所有对外公开的邮箱，逐一排查

  所有带附件的邮箱，考虑到免杀，再人工排查一遍

nmap反扫端口新思路

如果什么高危端口都没开，别泄气，看看filter策略、os、traceroute信息，这些都是重要线索，你有可能在其他IP找到与上面类似的信息，说明它们可能是同一个红队所为。

tips： 除此之外，有些IP端口指纹可能是HWXX_VM_XX，或者是在微步情报社区被打上了标签2022你懂的，说明就是红队真实IP。

注意事项

一定要证明该红队对我方资产攻击成功，我们才进行的溯源反制，如果单纯只是对扫描IP进行溯源，可能给很少分，甚至不给分。有一个技巧，就是对蜜罐页面改造，最后利用数据包重放，证明该红队“攻击成功”。

拿到邮箱后，做什么

• WHOIS反查域名
• 邮箱前缀可能是红队ID，搜索引擎反查
• 天眼查、企查查反查公司
• reg007.com查注册过的网站，通过找回密码，进一步找信息

拿到手机号后，做什么

查脉脉、领英，得到毕业院校、工作经历

查微博、知乎、github等社交账号

微信、支付宝转账，得到部分真实姓名

拿到域名后，做什么

WHOIS反查注册人，要是开启了隐私保护，就查域名历史IP解析，然后根据查到的IP，再继续查IP历史解析域名，总之套娃。

tips： 将IP，域名什么的都放到搜索引擎看看，说不定有历史的在线病毒分析报告

0x03 溯源总结

IP

首先丢微步情报社区，看其是否归属IDC机房或者云主机，如果是，就考虑查域名历史解析记录（微步有），如果不是，就继续判断，其是否为肉鸡或者代理IP，如果是肉鸡的话，微步情报社区会有历史攻击记录，或者被打上傀儡机标签，如果是代理IP的话，扫描它的端口，一般代理服务都会有端口指纹，例如ccproxy，如果上面都没有，就有可能是真实的国内ip，可以尝试用高精度定位网站进行定位

#300米内定位
https://chaipip.com/aiwen.html

域名

反查注册人，如果开启了隐私保护政策，就通过微步情报社区，查看历史解析IP，用同样的套路，记录反查域名和注册人信息

#历史解析IP
https://securitytrails.com/

社交账号

一般是通过蜜罐的JSONP跨域来获得

恶意样本

上传微步云沙箱获得C2地址，利用微软的strings.exe工具解析铭感字符串，此外还要关注调试信息、有无pdb文件，可能会泄露物理路径，其中的计算机名可能是黑客ID

ID

搜索引擎（百度，谷歌），社交网站（微博，贴吧），技术博客（csdn，博客园），src平台（补天），社工库（telegram社工机器人），论坛（吾爱破解），尝试加微信（ID可能就是微信ID）