溯源反制-自搭建蜜罐到反制攻击队
前言
本篇文章结合最近的ps比赛和之前的案例总结了一些作为蓝队的经验,希望能对蓝队溯源得分有所帮助,如果还有其他奇招妙法欢迎师傅们多多交流
溯源反制一直是老生常谈的话题,是红蓝双方的对抗博弈,即便是专业的红队也会有犯错的时刻,大致总结为下面这些原因:
- 比赛提供的机器太过于卡顿,使用虚拟机操作影响效率,心情浮躁直接真机操作
- 红队操作习惯不好,未使用干净的虚拟机操作,机器上存有可溯源身份的文件或信息
- ”淹死的大多是会游泳的人“,因为有经验所以轻敌,抱有自己不会犯错的心理
- 对蜜罐判别不准确,未使用无痕模式或者识别蜜罐插件,甚至把蜜罐当作成果分享给队友
反制的大致流程
蜜罐部署
部署一个高仿真的虚拟环境,这里有一些事项需要注意的
- 部署的蜜罐需提前向裁判报备,避免后续扯皮,且蜜罐需单独隔离,防止横向扩散
- 蜜罐不能太假,如多端口开启不同的web服务,系统要给攻击人员一种是靠自己努力获取成果的假象
如果直接使用xx厂商的云蜜罐,特征十分明显,还很容易在测绘平台上打上蜜罐标签,并且常规反制功能很鸡肋,触发条件很苛刻
这次直接使用之前用来漏洞调试的致远OA环境,考虑到攻击队有学生队,保留一个存在nday的漏洞环境,让其能直接工具一键化getshell进行后渗透利用
镜像导入云服务器需要到下面这个地址下载驱动进行安装,再导出镜像,不然在云服务器会导入失败
https://cloud.tencent.com/document/product/213/17815
搭建成功后把域名解析到IP上,域名命名最好以 demo、crm常见字典内字符为主,确保能被子域名扫描器识别到
另外可以通过waf自定义重定向页面至蜜罐地址,加快fofa、hunter等测绘平台的收录速度
蜜罐部署好了,接下来就是木马的投放选择,文件内容可以选择密码本、内部VPN程序、公司通讯录等吸引攻击者的东西
这次我选择的是伪装内部vpn程序,并配合文档指导增加可信度和点击率
由于攻击队点击蜜罐充满随机性,为了能及时反制可设置上线提醒,具体参考 https://xz.aliyun.com/t/10698
接下来就可以静候佳音,等待攻击者上钩,主打的就是一手姜太公钓鱼
溯源反制
常规溯源
溯源得分规则需要交叉举证、同时举证攻击者具备网络安全攻击能力,可从态势感知或防火墙上收集攻击者IP
对IP去重后进行指纹识别,例如安全博客、扫描器等等,从这些资产中溯源可以提高效率,这里推荐使用ehole
https://github.com/EdgeSecurityTeam/EHole
举个例子,根据IP进行端口扫描发现到其搭建了灯塔系统
并通过态势感知平台发现其最近有扫描行为,很大概率是攻击队ip
去微步进行Ip查询,发现IP绑定了域名,国内域名需要备案实名
通过查询该域名whois信息,获取攻击者姓名:沈xx,qq邮箱:578xxxxxx@qq.com
反制攻击队成员1
案例来源于最近的ps比赛,寂静的夜晚突然响起了上线告警,正准备收拾东西下班的我顿时不困了
在反制过程中由于翻东西速度过快,可能会遗漏部分重要内容,建议边录屏边进行操作
通过机器上的录屏文件推测为现场攻击队成员,但由于视频过大不方便拷贝取证,只能另寻方法确认攻击队
攻击者操作习惯不错,使用的是虚拟机,在各个文件夹搜索许久并未找到个人信息相关的文件,正当一筹莫展之际突然翻到浏览器历史记录有这么一条
username居然是个手机号,一开始还以为只是普通的攻击成果没注意,百度一波发现是来自浙江温州的手机,明显与本次hw对应不上,猜测为攻击者本人手机
于是通过手机号反查个人信息,获取到了名字陈xx,就读于浙江xxxx学校,通过谷歌语法查询关键字,成功定位其任职于xx信息公司
通过内部通讯录二次确认攻击队队员身份,确定为在职实验室人员,这么一来所有的信息都对上了,结束收工
小插曲:从浏览器历史记录还获取到了灯塔系统的账密,攻击队应该感激我没有把任务删掉哈哈
