蓝队溯源与反制
本文簡單寫下紅藍對抗過程中藍隊的一些溯源與反制方法。
一、蜜罐反制
(1)商用型
近年來越來越多的廠商選擇部署商用蜜罐來誘導攻擊者,衡量蜜罐好壞的關鍵因素為誘捕能力,即為誘惑捕捉能力。
利用蜜罐可以做到:獲取攻擊者的P(真實IP,代理IP等)、ID、操作系統、設備信息等,也可通過誘餌進行釣魚反制。
蜜罐常見形式可以直觀的分為web頁面型,命令行型,windows型等。
web頁面例如weblogic、phpmyadmin、crm等,攻擊者可進行弱口令登陸,暴力破解,歷史漏洞,后臺shell等,蜜罐頁面中會插入溯源jsonp,例如百度、163、騰訊、新浪的對攻擊者的ID進行溯源藍隊也可以根據這個思路自己收集一些jsonp用于自制蜜罐中。web型蜜罐的識別方法為查看數據包,如果數據包中出現了很多的不屬于該網站的js信息,很大程度上為蜜罐。另外溯源js經常會在頁面上產生一個細小的像素點,通過像素點也可以來判斷是否踩到了蜜罐。
命令行的例如redis(最常見也是攻擊者最容易踩到的)、ssh等,此類獲取到的信息偏向于IP,對于ID有一定難度。
windows蜜罐例如win7,xp等,其中包含一些歷史漏洞,可以對攻擊者進行反制。
現在的蜜罐除了上述的基本功能外,都有一些自己的花樣,例如誘餌(郵件誘餌,github等),反制誘餌等。
這里的反制誘可以理解為紅隊的釣魚文件,例如在某網站下載鏈接嵌入一個反制exe,當攻擊者點開始便可獲得攻擊者電腦權限,利用查看文件等操作溯源,從而達到反制的目的。
?
(2)開源型
比較出名的開源蜜罐有beef、hfish等,beef自帶功能強大,可以部署出一套完整的蜜網來進行迷惑攻擊者。
二、釣魚郵件溯源
紅隊有時會采用釣魚郵件的方式來進行攻擊,一些安全意識薄弱的員工便會打開該郵件從而上鉤,如果釣到了運維,并且運維電腦上存有未加密的公司服務器信息等,可以說差不多是淪陷。攻擊者在偽造釣魚郵件時,有時出于疏忽,會泄露自己的郵件服務器地址,從而被溯源,下邊來看一個例子。
?
?
紅隊在發送郵件誘餌時,沒有進行偽造,導致自己的郵件服務器泄露,從而被藍隊溯源到真人。
三、IP進行溯源
在對入侵IP進行分類時發現一個IP,應該為攻擊者的代理斷掉了,通過微步等工具進行信息查詢發現其備案域名,域名指向某公司
?
接下來對域名進行whois
?
根據郵箱手機號進行社工庫查詢,從而獲取攻擊者信息。
四、紅隊遺留工具進行溯源
案例1、某單位服務器淪陷,登上服務器對其進行溯源,在e盤找到了紅隊人員自己編寫的工具
?
?
上邊留有攻擊者qq
?
?
在社工庫中進行查詢從而溯源獲取紅隊真實身份信息
案例2、對攻擊者上傳的工具進行分析,物理路徑中包含了文件的名稱
?
?
在github進行搜索找到該項目和攻擊者ID
在知乎,微博等平臺對該用戶進行搜索綜合,或者利用支付寶微信轉賬的方式獲取攻擊者真實信息。
五、反制紅隊服務器
藍隊可以對紅隊IP進行收集,批量進行掃描
攻擊者踩到了蜜罐,并嘗試進行反彈shell
?
發現攻擊者使用的為cs的服務器
?
服務器存在目錄遍歷漏洞,其中存有攻擊者的攻擊日志
?
?
有一條日志暴露了攻擊者的teamserver密碼
?
?
登錄攻擊者teamserver,找到被攻擊主機的外網地址
?
一段時間后teamserver上線了一臺新的主機
?
上線日志如下,可能是攻擊者反彈shell后自己訪問的登錄信息
?
定位成功
總結
- 上一篇: 优秀渗透工具资源整理(持续更新)
- 下一篇: 实战|记一次绕过宝塔防火墙的BC站渗透