奇安信攻防社区-【hvv2022】溯源反制案例学习笔记，建议收藏！

【hvv2022】溯源反制案例学习笔记，建议收藏！

某护马上要开始了，这几天会疯狂产出学习笔记，学习做一名合格的蓝队，如果可以的话，点个关注，不要掉队哦。

0x01 前言
=======

某护马上要开始了，这几天会疯狂产出学习笔记，学习做一名合格的蓝队，如果可以的话，点个关注，不要掉队哦，关注破千，免费开放知识星球，内含各种溯源反制兵器以及独家技巧！

0x02‍ 某金融主管的案例分享
================

来源：SecOps急行军

（下面夹带了我自己的私货）

**蜜罐选择**

- 外网用重型蜜罐
    
    （作为得分手段，能抓攻击者社交ID、主机信息、甚至反制）
- 内网用HIDS全量全量轻蜜罐
    
    （灵敏度高，原理是socket监听，有连接就告警）

**原因解读：** 红队一般难打到内网，避免头重脚轻，拿不到分。

**设计了三类诱饵**

- 已知漏洞蜜罐：
    
     shiro（二级域名直接重定向到shiro页面）
    
     fastjson
    
     springboot（伪造actuator监控接口）
- 热门漏洞蜜罐：
    
     域名复用（old.xx.com）
    
     欺骗域名（vpn.xx.com）
    
     常见目录（/admin）
- 反制型蜜罐：
    
     端口暴露（3389RDP反制）
    
     github泄露（3306MYSQL反制）

**tips：** 其实像我们这些打工人就不需要管了，蜜罐都是厂商安排好了的。

**蜜罐能捕获到什么**

通过蜜罐捕获攻击者设备信息：

- 设备指纹：蜜罐厂商的标识符ID
- 操作系统：如win10
- CPU核心数：如8
- 显卡设备：如google swiftshader
- 游览器：如chrome（win）
- 设备类型：如PC
- 语言：中文
- 音频设备：如ext speaker
- 游览器UA：如...Chrome/85.0.4183.102

将设备指纹ID提交给蜜罐厂商，厂商会在自己的“蜜罐指纹情报库”检索，给你返回以下信息：

- 地址（攻击源IP、公网IP、内网IP）
- 网络ID
- 开始攻击时间——最近攻击时间
- 攻击次数

也可以将红队IP提供给厂商情报中心，对方可能会给你返回红队的历史攻击样本，我方不仅可以提取C2域名，还可以逆向，看是否包含物理路径信息，甚至是一些敏感字符串，如ID和安全团队。

**tips：** 建议红队收藏，这样就记得蓝队蜜罐能捕获到你们什么信息了，做针对性防护。

**常见反制红队手段：**

- CSDN老用户漏洞，爆破手机号
- phpmyadmin弱口令爆破
- 数据库写webshell
- phpstudy后门漏洞
- Tomcat RCE
- Shiro反序列化
- 常见配置文件读取
- chrome UAF漏洞上线cs
- 微信目录找微信ID
- 在红队webshell加js探针
-

！以下是我补充的

- redis未授权
- tomcat/mysql/redis/ssh爆破

**tips：** 兄弟们点个关注，下一期推文更新以上所有漏洞的复现

**javascript探针**

该案例中返回了两个操作系统，win10和win7，其中一个应该是虚拟机，另一个是宿主机，怎么判断当前用的是哪个系统？

通过下面的第二个探针，若返回硬件信息，说明是win10，否则是win7

```php
[1]xssprobe #主要捕获操作系统和游览器版本信息，refer，cookie，语言
https://github.com/evilcos/xssprobe/blob/master/probe.js
[2]Get CPU/GPU/memory information #判断游览器厂商和硬件信息
https://stackoverflow.com/questions/15464896/get\-cpu-gpu-memory-information
[3]canvas探针，计算游览器标识符指纹
https://jsbin.com/qisodaz/edit?html,js,output
```

**钓鱼怎么应对**

- 对附件进行逆向，看附件是否包含红队物理路径信息，会暴露其用户名ID
- 把附件放进云沙箱，提取C2域名
- 邮件导出为eml格式，提取发信人IP
- 尽可能多的诱导对方提供攻击样本和链接
- 通过SIEM策略加快查找：
    
     同一个发件人，给超5个人发邮件的，筛出来
    
     同一个标题邮件，日志数超过10条的，筛出来
    
     所有对外公开的邮箱，逐一排查
    
     所有带附件的邮箱，考虑到免杀，再人工排查一遍

**nmap反扫端口新思路**

如果什么高危端口都没开，别泄气，看看filter策略、os、traceroute信息，这些都是重要线索，你有可能在其他IP找到与上面类似的信息，说明它们可能是同一个红队所为。

**tips：** 除此之外，有些IP端口指纹可能是HWXX\_VM\_XX，或者是在微步情报社区被打上了标签2022你懂的，说明就是红队真实IP。

**注意事项**

一定要证明该红队对我方资产攻击成功，我们才进行的溯源反制，如果单纯只是对扫描IP进行溯源，可能给很少分，甚至不给分。有一个技巧，就是对蜜罐页面改造，最后利用数据包重放，证明该红队“攻击成功”。

**拿到邮箱后，做什么**

- WHOIS反查域名
- 邮箱前缀可能是红队ID，搜索引擎反查
- 天眼查、企查查反查公司
- reg007.com查注册过的网站，通过找回密码，进一步找信息

**拿到手机号后，做什么**

查脉脉、领英，得到毕业院校、工作经历

查微博、知乎、github等社交账号

微信、支付宝转账，得到部分真实姓名

**拿到域名后，做什么**

WHOIS反查注册人，要是开启了隐私保护，就查域名历史IP解析，然后根据查到的IP，再继续查IP历史解析域名，总之套娃。

**tips：** 将IP，域名什么的都放到搜索引擎看看，说不定有历史的在线病毒分析报告

0x03 溯源总结
=========

**IP**

首先丢微步情报社区，看其是否归属IDC机房或者云主机，如果是，就考虑查域名历史解析记录（微步有），如果不是，就继续判断，其是否为肉鸡或者代理IP，如果是肉鸡的话，微步情报社区会有历史攻击记录，或者被打上傀儡机标签，如果是代理IP的话，扫描它的端口，一般代理服务都会有端口指纹，例如ccproxy，如果上面都没有，就有可能是真实的国内ip，可以尝试用高精度定位网站进行定位

```php
#300米内定位
https://chaipip.com/aiwen.html
```

**域名**

反查注册人，如果开启了隐私保护政策，就通过微步情报社区，查看历史解析IP，用同样的套路，记录反查域名和注册人信息

```php
#历史解析IP
https://securitytrails.com/
```

**社交账号**

一般是通过蜜罐的JSONP跨域来获得

**恶意样本**

上传微步云沙箱获得C2地址，利用微软的strings.exe工具解析铭感字符串，此外还要关注调试信息、有无pdb文件，可能会泄露物理路径，其中的计算机名可能是黑客ID

**ID**

搜索引擎（百度，谷歌），社交网站（微博，贴吧），技术博客（csdn，博客园），src平台（补天），社工库（telegram社工机器人），论坛（吾爱破解），尝试加微信（ID可能就是微信ID）

发表于 2022-06-28 09:39:55
阅读 ( 6659 )
分类：其他

【hvv2022】溯源反制案例学习笔记，建议收藏！

0 条评论