《红队攻击公开课-溯源与反制》笔记
[视频作者] MS08067安全实验室-yuppt
[视频时长] 107:54
[视频创建] 2022--06-09
溯源的基本技巧与方法
溯源目标:明确的身份信息,找到人。名字、社交账号、唯一身份
溯源工具:社工库tg(注意法律风险)
溯源途径:痕迹-可识别的网络资产-联系到人/计算机
由事件触发
事件场景例子1 文件被修改
可溯源3要素——日志、应用程序 进程PID、攻击者网络痕迹
路径1》异常应用程序;资源管理器-网络-TCP连接;程序对应的端口号及远程地址
路径2 》IPS告警 抓取恶意网络数据包;根据端口号x找到PID
netstat -ano | findstr x
;任务管理器 根据PID 找到进程,打开文件所在位置
路径3 》计算机管理-windows日志-应用程序-记录时间、来源 谁做了什么操作
路径4 》组件本身的日志 log、安全设备记录
搞清楚攻击者的C2 然后想方法绕过
Team server
1、vps 不用绕过 直接干
2、cdn
耗尽攻击者的流量、钱,放大攻击,流量费用,多次访问payload、DDos;
真实地址看解析记录 如果有域名,域名解析记录 最早的 历史第一条 找到ip地址
3、nginx
4、云网关
虽然是隐藏的IP,数据流量和内容是我们自己可以控制的
构造内容,尝试影响攻击方真实环境
假设已经获取了攻击者的shell、机器权限,需要找什么?
HackebrowsePata 工具获取其浏览记录、cookie、账号、密码、社交身份、
Get-Wechat-DB 应用程序 微信id/Msg/ChatMsg.db db文件内有微信聊天记录 需用工具解密 可获取其团队其他成员
office文件
资产联系
https ssl证书 找到人
云服务商 客服
只有攻击者的IP怎么办?
诱敌深入
信息收集:判断端口、服务-识别工具手段-判断下一步可能的行动
端口扫描
服务识别
工具
权限维持阶段无法反制-下一步 提权-横向 横向时反制
要反制要先懂攻击
红队攻击:信息收集-漏洞扫描-漏洞利用-权限维持-提权-横向- 痕迹清理
虚拟机机器部署 oa远程系统 假文档 指导客户端诱导下载 触发dll
生成payload时用debug模式,没有删除pdb文件时
pdb文件内搜tmp visual studio编译时生成缓存文件 文件链接默认保存到用户目录下
泄漏用户名、id 社交平台、src、github搜索
社交账号、加好友、加群
灵活
社工
平时多加群
反制的基本思路
技术手段
1、工具本身是否存在漏洞
如
工具-编程语言
python web ssti模版注入 反序列化
brup java 盗版、new scan 抓包后默认扫描 老版本 v8 js扫描 触发漏洞
goby xss
sqlmap 使用方式 · linux 绝对执行命令 get请求
nmap 老版本 suid 提权 ui界面 -i suid
CVE-2019-5624
2、工具本身存在信息泄漏
指纹 工具 版本
3、蜜罐
单一页面容易被识别
不影响正常请求
4、资产中的服务存在漏洞
工具 CobaltSpam
非技术手段
钓鱼与反钓鱼
从目的思考反向获取攻击者信息
msdt 数据库查看exe 安装包msi
敏感数据相关的标题 吸引
word 本次导入数据 备注全部信息请到exe查看 exe内部数据库联接器 打开报错 不允许打开
越真实越好 文件要多 有可信度
桌面模拟真实普通员工文件
响应码 200 302 跳转到蜜罐
steam 游戏名 文件恶意
反制与溯源的相关开发
1、环境模拟
虚拟资产的构建:设备(外设)、网络(vlan 无线)、数据(数据脱敏、生成)
vmawar 太明显
游戏多开环境 反识别虚拟机可用
2、信息收集
计算机内的行为
网络相关的识别(多层、不报警
DMZ-防火墙-7、8多层网络 诱导其因为卡舍弃代理 lcx
工具——acunetix_0day
3、反制的手段
直接反制
钓鱼反制
Q&A
攻击者是linux机器 使用跳板机 如何溯源
答:
1、 who /var/log/wtmp
可以看到谁使用ssh登录过这个机器
2、netstat -pantu
看可疑反向链接
widows肉鸡
答:
被动 谁连接过这台机器的3389端口 找 Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operatinnal
主动 这台机器连接过其他3389 找到 默认保存在文档 下default.rdp 远程连接 存在ip信息
评论区