HW平安夜 09/21 死磕到底

  • A+
所属分类:安全文章

“满当当的昨天,
富意义的今天~”

今日主题:01 HW日记、02 蓝队实战溯源反制手册



01 HW日记


HW平安夜 09/21 死磕到底


HW日记

2020921日  周一  小雨(这个城市,每天都是一场雨~)

HW进入倒计时阶段,还有三天!起初时间过的很慢,多日静悄悄无人理。而后时间过的很快,火力集中过来,一次应急就是一天🤦‍♀️。

两周时间很快就要过去了,攻击队伍大多已经成果满满,然而领导交代的任务只完成了一半:防守与溯源👀👀


经验分享:

如何发现攻击队伍踩点:半夜正常访问一次网站进行资产收集,和正常业务访问是一样的,无法触发报警。可以从蜜罐被踩量来判断👀

蜜罐访问量变大,但是整体流量并不大。可以看出来攻击队伍确实脚步很轻。而且都是在后半夜的操作,还是要友好的提醒:别太拼、命重要👵

==========================================

昨天有人留言说,整个HW期间他们并不是很安静,一直都是持续性应急状态。嗯。。。部分单位还是被打的很惨,一周出局。

当然还有很多单位防守的很严,死磕到底

还有三天,胜利就在眼前🤪🤪🤪


HW平安夜 09/21 死磕到底

往年防守方不扣分就是赢,今年防守方不抓到人就如同输。

蜜罐成了今年的重头反制武器,攻击方小心翼翼,清空浏览器缓存、不敢用自己电脑。防守方也因为蜜罐的部署解决了往年被疯狂扫描的想象,由被动变为主动。蜜罐溯源反制终将成为一个常态化趋势~~~



以下来自本人即兴而发(不喜勿喷🧐):


“其实我没有拖延症,

闹钟一响我就会按,

蜜罐告警我可以不吃饭立马报道。


看着你爆破3389、22端口上万次却迟迟不成功,

我就像一个用尽花季等待壮士迟迟未归的少女,

你一出现我就会笑。


看着你终于远程登录了3389、22,

并留下了你的联系ID,

你让我安了心,

我喜欢你超过半小时,不能撤回了,

开心这种东西,捂住嘴巴,也会从眼睛里跑出来,

我崇拜你像个英雄,勇往直前的踩中蜜罐。


我与你相识于蜜罐,终结于溯源,

我得到你所有的信息,

你的过去、你的现在,

但我不会参与你的未来,

谢谢你的出现,让我苦苦等等的日子终于有了结果,

谢谢你的出现,蜜罐告警终于一片红,

我的生活因你的出现而开心了三小时,

我们匆匆告别,祝你别再踩蜜罐留ID。


别让别人徘徊的脚步踩碎你明天美好的梦想,

人间真的只有朦朦胧胧才是真,

我依旧站在原地,看着告警,迎接下一份缘。


愿你有一天,从攻击转防守,从钓鱼转溯源。

愿有一天,我们再次相见,是战友,而非敌人。”



总之,最后三天,死磕到底~

深情,有个魔鬼般的名字,叫做死磕



02 蓝队实战溯源反制手册


HW平安夜 09/21 死磕到底


以下思路来源于Timeline Sec


前两天登录了一下防守方报告提交平台,看了一下提交报告模版并整理给下面各子公司方便整理上报(毕竟只能上报50个事件,还要整合筛选),发现比去年最大的区别就是追踪溯源类提交及分数的变化。

HW平安夜 09/21 死磕到底


粗略的总结了一下规则里所谓的描述详细/思路清晰、虚拟身份、真实身份等细节的一个模版,并举例给大家参考。

溯源结果如下:

HW平安夜 09/21 死磕到底


我们拿到的数据:

HW平安夜 09/21 死磕到底




HW平安夜 09/21 死磕到底
流·程

1、针对IP通过开源情报+开放端口分析查询
可利用网站:
https://x.threatbook.cn/(主要)
https://ti.qianxin.com/
https://ti.360.cn/
https://www.venuseye.com.cn/
https://community.riskiq.com/

2、查询定位
通过蜜罐等设备获取真实IP,对IP进行定位,可定位具体位置。
定位IP网站:
https://www.opengps.cn/Data/IP/ipplus.aspx

3、得到常用ID信息收集:
(1) 百度信息收集:“id” (双引号为英文)
(2) 谷歌信息收集
(3) src信息收集(各大src排行榜,如果有名次交给我套路)
(4) 微博搜索(如果发现有微博记录,可使用tg查询weibo泄露数据)
(5) 微信ID收集:微信进行ID搜索(直接发钉钉群一起查)
(6) 如果获得手机号(可直接搜索支付宝、社交账户等)
注意:获取手机号如果自己查到的信息不多,直接上报钉钉群(利用共享渠道对其进行二次社工)
(7) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台,进行信息收集

4、预警设备信息取证:
上方数据一无所获,可考虑对其发起攻击的行为进行筛查,尝试判断其是否有指纹特征。
如上传webshell : 
http://www.xxx.com/upload/puppy.jsp
可针对:puppy昵称进行信息收集。

5、跳板机信息收集(触发):
进入红队跳板机查询相关信息
 如果主机桌面没有敏感信息,可针对下列文件进行信息收集
last:查看登录成功日志cat ~/.bash_history  :查看操作指令ps -aux  #查看进程cat /etc/passwd
查看是否有类似ID的用户
重点关注 uid 为500以上的登录用户
nologin为不可登录
HW平安夜 09/21 死磕到底

注意:手机号、昵称ID均为重点数据,如查不到太多信息,直接上报指挥部。

放一张前天文章的图:HW平安夜 09/19 攻击溯源

HW平安夜 09/21 死磕到底

====最高端的黑客,往往采用最朴素的溯源方式。
====防守方:这个人你认识不?微信,手机号多少?


HW平安夜 09/21 死磕到底


HW平安夜 09/21 死磕到底

HW平安夜: 09/12 漏洞PAYlOAD

HW平安夜: 09/14 漏洞PAYlOAD

HW平安夜: 09/15  红队渗透手册之弹药篇

HW平安夜: 09/17 红队手册之代理转发与隧道

HW平安夜 09/18 新一轮的踩点(一)

HW平安夜 09/19 攻击溯源

HW平安夜 09/20 前一阶段漏洞情报总结



扫描关注LemonSec

HW平安夜 09/21 死磕到底


HW平安夜 09/21 死磕到底


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: