INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》

  • A+
所属分类:安全文章


本文转载自公众号【SecOps急行军】,文章由郭威原创,整理自INSEC WORLD CSO论坛郭威分享的议题《红蓝对抗中的溯源反制实战》。


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》

正文:


这是我们第二次参加大型攻防真人实战。


上一次,我们在不到一个月的准备时间里,匆忙应战,最终实现了内部网络“零失分”。作为一线负责人,全面负责组织、管理和技术工作,跟打了鸡血似的战斗了两个月(可以参见我在金融群的分享)。但因为加分较少,最终排名并不理想。演练结束的时候,我发了一条朋友圈,内心OS是疲惫大于激动。


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


这一次,我们作为证券行业唯一“二次出征”的队伍,领导层对排名有了新要求。于是,我决定挑战“加分项”,希望能有所突破。


在此之前,笔者参加过众多的攻防演练交流活动,但很少见到人分享“溯源反制加分”这一主题。往往是厂商在介绍产品、服务时提到,谁用了我家某某产品获得了多少加分。但站在甲方角度,除了产品,还要考虑内部组织、系统部署、加分规则、报告编写等等工作。

 

总之,目前缺少对“溯源反制”系统化梳理的文章。本文是笔者对这段工作经历的小结,希望能对读者有所帮助。当然,任何人都有知识盲区,本文也不例外,不足之处还请大家多多批评指正。


为了完整还原此次经历,本文将按四个部分展开:

  • 战前准备

  • 战中对抗

  • 战后反思

  • 总结




Part1  战前准备


在介绍准备工作之前,我们先来看两个2019年的案例。


1.1 案例1>QQ群社工事件


第一个是社工案例。

   

INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


如图所示,攻击流程如下:


1、攻击者在官网找到了技术支持QQ群号,在加群申请里面写上了“xx证券”,顺利通过管理员认证。

2、攻击者提前搜集到了某离职员工A的个人信息,包括姓名、职位等,进入到QQ群之后,伪装成员工A,潜伏了下来。

3、2天之后,攻击者在群里发了一则消息 -- “关于xx网络安全整改事项说明”,并附上了一个链接。

4、30s 后被管理员发现,立即T出了群聊。

5、随后,我方重新添加其为好友,通过反社工,确定了攻击队员的身份。

6、溯源这边,将链接里面的执行文件通过沙箱分析了行为,确定恶意,根据IP进行了攻击队员定位。

7、我方提交报告。


按理说,都抓到人了,这报告应该能加很多分吧?其实不然,才二百分。问题出在哪儿呢?


1.2 案例2>钓鱼邮件


接着来看第二个案例 -- 钓鱼邮件


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


攻击流程如下:


1、某员工B收到了名为董事长A的邮件,内容是要求建立QQ群,且不能自行拉人。一看就是典型的诈骗邮件,估计和演习无关。


2、趁着风平浪静,好奇的分析了下发件人,属于某地政府机构。看来多半是邮箱被盗。这种被盗,有可能是钓鱼,也有可能是弱口令。


3、考虑到小的政府机构一般没有专职安全人员,是弱口令的概率更大。于是找到该政府机构办公室座机号,尝试登录。发现居然进去了,OMG!


4、在邮件系统里面找到了真实发件人IP,发现来自越南,无法继续进行溯源,遂中止。


5、提交报告。同时电话联系对方单位,告知邮箱被盗,请尽快修改密码。听对方口气,估计觉得我才是骗子。


这份报告和演习无关,也没抓到人,所以没抱得分希望,想不到最后也给了二十五分,很意外。


1.3 2019年的困惑


后来和银行的大佬们交流,发现大家都是一千两千的上分,动不动还加满了分,非常困惑,到底咋做到的呢?


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


从大佬们的只言片语,以及厂家的交流中,大概知道了两点:

1、要部署蜜罐;

2、要成立专门的溯源反制小组。


1.4 组织结构调整


想来也是可怜,我们当时只有防守能力,压根没想着要溯源反制,所以组织结构长这样:(括号内数字是人数)


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


可以看到,大量人力都在监控上。当时没预算没人,只能借助 PoC 的形式,NTA部署了4套,内网蜜罐部署了3套,通过这种方式借了7个人。分析组有 2 个人也是借的,更别谈拉人做溯源反制了。


痛定思痛,今年先把人给凑齐了。(跟上图比,数字变化了,毕竟准备更为充分)


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


加上笔者,一共3个人专职溯源反制。


紧接着问题来了,3个人怎么分工协作呢?

演练头两天确实有点乱,3个人基本没有协作,分析组丢过来的溯源信息,大家重复进行反打,反打的结果没有记录,无法统计,导致存在重复工作,且无法交付日报。经过摸索,我们逐渐理清了思路,在Part2会进行介绍。


1.5 蜜罐部署


有了人,就要开始部署工具了。


2019年,我们把蜜罐部署在内网,结果内网”零失分“,蜜罐连个告警都没有,监控的小伙伴每天愁死了。


所以今年我先明确了一点 -- 互联网用重型蜜罐,内网全量部署轻型蜜罐。

就像这张图,重型蜜罐(红色)是对互联网防御手段的补足(主动防御),一定要部署在攻击者直接能接触的位置。


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


而内网轻型蜜罐呢?就应该是灵敏度高、一触碰就告警,用HIDS启全量轻蜜罐最合适不过(HIDS的蜜罐原理很简单,就是socket监听,有连接就告警):


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


(说明:这两张黄底的图片来自张福@青藤CEO的某篇媒体报道)


互联网重型蜜罐作为得分手段,在告警准的情况下,还要得分“简单粗暴”,给IP还不够,最好能抓到社交ID、攻击者主机信息,甚至反制攻击者。


OK,蜜罐也买回来了,怎么部署?诱饵是关键。


对此,我们设计了三大类诱饵:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


1、已知漏洞:演习之前,我们做了众测、红蓝对抗,发现了一些安全问题。相信这些问题,可能提前被某些攻击者已经掌握,于是将计就计,我们把这类漏洞做成诱饵。例如 shiro漏洞,springboot 的 actuator 监控等。


2、热门漏洞:今年演习一波三折,第一天爆出了几十个0day,何不将计就计?利用这些漏洞来做诱饵呢,配上一些历史域名、欺骗域名服用,效果更佳。例如用 vpn.b.cn 运行某服 VPN 程序。


3、产品特性:蜜罐厂家都有各自的特色。比如 A 家有Mysql 反制蜜罐,B家有RDP反制蜜罐,这些都可以合理搭配使用。


好了,现在“万事俱备,只等开战”了。


Part2 战中对抗



本以为演习开始,会是狂风骤雨,没曾想,却是风平浪静。


头几天,NTA 设备发现了很多扫描行为,mysql 蜜罐偶尔有人登录,分析下来也都是扫描行为。一个真人攻击都没发现。


溯源反制小组很“忧伤”。


下雨天打孩(鞋)子,闲着也是闲着,于是决定将所有扫描的IP全部反打一遍。


2.1 案例3>和菠菜不期而遇


很快,我们发现一个 MySQL 蜜罐的扫描 IP 存在漏洞:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


经过分析,确定:

1、IP注册地为香港特别行政区
2、存在 phpmyadmin 弱口令
3、数据库写文件拿到 webshell
4、获取系统system权限


很明显,攻击者没有对这台失陷的“肉鸡”加固。我们只是顺着“黑客”的路又走了一遍。


拿下服务器之后,要弄清楚两件事:

1、找到发起攻击的程序源头。

2、看能否进一步找到攻击者信息。


很快,在 C:wmpubwmiislog 目录下找到了扫描器程序。


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


程序主要是bat脚本,分析起来比较容易,为方便理解,我大致画出了该程序的运行流程图:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


从横向和纵向两个方向来看。


纵向,是扫描器工作流:

1、攻击者运行 start.bat 文件

2、调用 检测.bat 检查肉鸡上是否已经运行该程序,存在就干掉

3、读取 gd123.txt 中的 C 段IP,调用 scan1 进行多线程扫描

4、将发现的存在 mysql 弱口令的IP、用户名和密码保存在 ALLHost.txt 文件中。


横向,是后门植入工作流,具体不展开。最后利用 sql.bat 将 tok2.exe 和 sv8.exe 植入肉鸡中。


顺着这台服务器,我们一口气拿下了 5 台攻击者服务器,如下图所示:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


流程如下:


1、以 58.82.cc.ddd 这台机器为据点,找到了攻击者登录用的IP。在D盘发现了一份配置文件,从中找到了 45.192.ee.fff 这台服务器的数据库密码,发现该网站是博彩网站。


2、两台 103 的木马下载器网站也存在常规漏洞被拿下,在里面发现了 新x京 博彩建站程序。(相关程序已保留备份作为证据)


3、随后从对 tok2.exe 和 sv8.exe 进行分析,发现了 C2 域名,该服务器的tomcat 存在漏洞,也被拿下。


4、C2 上运行了木马的客户端,发现有600+终端在线。


整个程序和逻辑基本分析清楚了,接下来怎么溯源到攻击者真实身份呢?


突破口就在这个 C2 域名 -- ref.attacker.com (已做模糊化处理,非真实域名)。


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


通过微步在线情报社区(https://x.threatbook.cn/,免费)查询,得到该域名的历史解析IP。对第一个IP aaa.bbb.ccc.ddd 查找其历史解析域名。域名中最后一条 qq177xxxx 看起来可能是攻击者的QQ号码。但是,这几个域名之间是否有关联,是否属于同一个人?现在没法确认。


巧合的是,在搜索引擎中找到一份19年的在线病毒分析报告,从中发现了 ref.attacker.com 曾经解析到了 119.xxx.xxx.xxx,查找 119 这个IP的历史解析域名,有了新的收获。


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


仔细观察上图中两个红框的部分,发现以下4个域名是同时出现IP解析变动的:

  • aaf.attacker.com

  • bref.attacker.com

  • bodyres.attacker.net

  • qq1779xxxx.f3322.org


于是我们可以合理的得出以下结论:

  1. 两个IP原先有正常业务:victim.cn和 victim2.cn

  2. 最晚在2020年3月,黑客入侵了119.xxx.xxx.xxx (victim2.cn),将域名3、4、5、6指向了该服务器,直到 2020-06-18日。

  3. 预计在2020年9月,黑客入侵了211.xxx.xxx.xxx(victim.cn), 将域名3、4、5、6指向了该服务器,目前仍然有效。

  4. 域名qq177xxxxx.attakcer.org泄露了QQ号码 177xxxxxx。

  5. 利用QQ号码溯源到了身份证、手机号信息。

最终,利用该QQ号码,锁定了攻击者的真实身份,并向公安机关报案。


溯源花了2天,再用1天整理报告,按照加分规则,这种不算攻击队的行为,能加多少分,真不好说。


几天之后,报告审核完毕,加了500分。


当时就想,这加分也太难了吧,那些动不动2000多分的报告,得有多牛B!


2.2 案例4>谜一样的得分


就在我们觉得加分难,难于上青天的时候,另外一份报告却给了我们一丝希望。


这份报告的内容很简单:

INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》

过程如下:

1、从NTA设备发现了一个扫描IP

2、whois查询IP信息,找到注册人邮箱

3、利用邮箱找到了当当网账号和支付宝账号

4、提交报告


可以说,这是一份常规到不能再常规,普通到不能再普通的报告,但是!它,加分了,加了200。


与此同时,类似的报告我们提交了5-6份,其他全部驳回,只有这一份加了分,可以对比下这两段评语:


1、红蓝对抗无关。对于红蓝对抗无关的追踪溯源完整还原攻击链条,溯源到xxxxx,根据程度阶梯给分。本次溯源到疑似攻击者的虚拟身份,给XXX分


2、发现的攻击IP是非有效IP。入侵是得分的前提,对扫描探测(进行信息探测踩点,并未攻击成功)的追踪溯源不得分。请明确是否入侵成功,并提供入侵成功证据。


建议读者把上面两段评语再细读一遍。


发现了什么没有?对,裁判尺度不一致。


所以啊,加分这事儿,有时候是个“玄学”。不过摆正心态,咱们重在对抗,能找到对抗的乐趣,比“加分”更重要。


2.3 案例5>利用蜜罐设备指纹捕获攻击者


蜜罐部署之后,本以为攻击者会“犹如过江之鲫”,纷纷落入我方陷阱之中。可是5天过去了,几乎没有收获……


对抗进行到第二周的时候,听闻金融单位表现不错,开始进入到大的攻击池,将面临更多攻击队的攻击。


果不其然,某一天开始,突然发现蜜罐捕获到社交ID的攻击者数量,从每天1-2 个上升到了5-6个,量上来了,“自我防护意识”不强的攻击者也就来了。


下图是蜜罐捕获到的某攻击者设备指纹信息

INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


在蜜罐的页面,并没有捕获到攻击者社交ID,但是识别为真人攻击。于是将该设备指纹ID提交给了蜜罐厂商,厂家在自己的“蜜罐指纹情报库”检索后,很快给出了反馈:


演习第六天,该设备指纹曾在某部委的蜜罐中被捕获到,且留下了社交ID



INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


那所谓的“蜜罐指纹情报库”是什么呢?原理大致如下图所示:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


基本流程说明:


1、我方发现了攻击者的设备指纹ID

2、某参演单位1也部署了该厂家蜜罐,捕获到某攻击者设备指纹ID和百度ID

3、某参演单位2也部署了该厂家蜜罐,捕获到某攻击者设备指纹ID和新浪ID

4、某参演单位N也部署了该厂家蜜罐,捕获到某攻击者设备指纹ID和优酷ID

5、厂家经过查询比对,将相关社交ID反馈给我方


这下就简单了,利用该社交ID,我们很快溯源到了真实攻击者,如图所示:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


大致流程:

1、利用百度ID,在搜索引擎查找,发现了同名的CSDN ID。

2、利用CSDN老用户的一个漏洞,爆破了该ID的手机号。

3、利用手机号找到了攻击者的脉脉账号

4、获得攻击者完整的工作信息、教育经历、个人头像等内容。

5、提交报告。


很不幸,该报告第一次提交被驳回了,要求证明“攻击成功”。


所以这里用到了一点trick,对蜜罐页面进行改造,具体不展开,最后利用数据包重放证明攻击者“攻击成功",第二次提交的报告通过,加1500分。


2.4 案例6>别人家的钓鱼邮件


红蓝对抗期间,我们也一直在和其他参演单位保持沟通。听说某证券公司一份报告拿了2000+,很崇拜,赶紧要来脱敏的得分报告进行学习。(说实话,脱敏挺难的,即便是做了部分信息隐藏,稍微花点功夫,还是能完整还原)


根据得分报告,笔者绘制了整个分析过程:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


1、攻击者向参演单位员工发送了100+钓鱼邮件,标题为《关于申报xx杰出员工的通知》。

2、通过分析附件,找到了木马的回连地址:111.222.333.xx。对该IP用nmap扫描端口,在3389端口发现了指纹:XXXX_VM_XX 字样(敏感词打码,请脑补),基本确定属于攻击队。

3、从邮件头找到真实发件人信息:[email protected]

4、bbb.cn 的域名持有人是CC,联系人邮箱是 [email protected]

5、利用邮箱ID dddd找到了CSDN博客,确认其具备攻击能力。

6、利用邮箱在 天眼查/企查查 找到公司注册人信息,其中包括手机号码。

7、利用这些信息,进一步找到脉脉、linked in、社交和其他信息。

8、提交报告。


在复盘整个溯源的过程中,笔者发现该IP的返回信息和原报告中截图已经不一样,没有找到 XXXX_VM_XX 字样:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


这样就放弃了吗?才不是。看看这些 filter 策略、OS信息、traceroute信息也是线索啊,这不,我们就发现了一个扫描IP,返回的 filter 信息一模一样:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


基本也能确定这个IP来自真实攻击者。可惜的是,这哥们并没有对我们做进一步的攻击,想继续溯源也没机会了。


这个分析过程并不复杂,但前提是要收到了这封钓鱼邮件。


于是在演习的倒数第二天,我们在集团内开始疯狂的翻看邮件,通过SIEM的策略来加快查找:


1、同一个发件人,给超过10个人发邮件的,全部拉出来看一遍。(后来策略调整到5)

2、同一个标题的邮件,日志数超过10条的,告警。

找了一圈,没发现,然后扩大范围:

1、所有对外的公用邮箱(在官网、或者公开渠道有公布的),去收件人现场进行逐封排查。

2、所有带附件的邮件,虽然此前已经在沙箱运行过了,但考虑到免杀,再人工排查一遍。


花了一整天,一无所获……连个鱼都没人钓,太不给面子了。


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


2.5 案例7>别人家的水坑案例


又一日,听到某单位的报告拿了3000+,一番软磨硬泡,总算拿到了脱敏版本。焚香沐浴,喝了一口祖仪牌奶茶,赶紧学习。


3000+就是3000+,果然不一样。看完大开眼界。读者快坐好,咱们一起开车了。


事情的起因是这样的,该单位监控发现,某一台服务器 A 突然在对其他服务进行扫描,显然不是A该干的事儿,看来A失陷了。


经过排查,推测是A服务器存在弱口令,被爆破之后,攻击者利用后台的计划任务写入了免杀webshell(syst.jsp),和魔改的冰蝎(monitor.jsp)。流程如下:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》

INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


快速止血之后,防守方开展了两项工作:

1、溯源

2、反制


先看溯源:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


1、先通过访问该服务器特定地址这一特征,筛选出了一批可疑IP,姑且叫做IP池吧

2、将IP池在厂商的情报中心进行匹配,发现有2个IP存在可疑标签

3、其中一个IP上曾经捕获到过 C2 样本,通过二进制分析,找到了编译时的物理路径,里面泄露了攻击者的用户名。

4、利用该用户名溯源到攻击者信息。

(笔者认位该信息不一定准确,因为这个IP上的C2样本不一定属于该攻击者,从反制的结果也说明了这一点)


准不准没关系,反制抓到人了肯定准:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


反制过程如下:

1、在攻击者访问记录中发现,该攻击者频繁在请求 syst.jsp 文件。


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


2、在该webshell中植入 probe.js[1] 探针,对攻击对⼿进⾏反向⽔坑,在攻击者再次访问webshell时获取其OS和浏览器信息。


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》

INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》

(获取到两个操作系统信息,可能host是win10,跑了win7的虚拟机)


3、增加Canvas探针,获取CPU、主板等硬件信息,如果有返回,表明是win10,否则是win7。成功返回,说明是win10。


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


原报告终并未给出代码,但我估计和这个类似[2],也希望有大佬能给出参考代码。


<html>
<body> <canvas id="glcanvas" width="0" height="0"></canvas> <script> var performance = window.performance || window.mozPerformance || window.msPerformance || window.webkitPerformance || {};
document.write("<br>"); for (var value in performance) { document.write(value + "<br>"); }
document.write("<br><br><br>");
var canvas; canvas = document.getElementById("glcanvas"); var gl = canvas.getContext("experimental-webgl");
document.write(gl.getParameter(gl.RENDERER) + "<br>"); document.write(gl.getParameter(gl.VENDOR) + "<br>"); document.write(getUnmaskedInfo(gl).vendor + "<br>"); document.write(getUnmaskedInfo(gl).renderer + "<br>");

function getUnmaskedInfo(gl) { var unMaskedInfo = { renderer: '', vendor: '' };
var dbgRenderInfo = gl.getExtension("WEBGL_debug_renderer_info"); if (dbgRenderInfo != null) { unMaskedInfo.renderer = gl.getParameter(dbgRenderInfo.UNMASKED_RENDERER_WEBGL); unMaskedInfo.vendor = gl.getParameter(dbgRenderInfo.UNMASKED_VENDOR_WEBGL); }
return unMaskedInfo; }</script></body>


4、通过2和3,防守方确定了攻击者环境为 win10+chrome 47。接着,掏出珍藏已久的 chrome UAF 0day两枚,先不急,在本地做了一个复现:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》

(假装能看懂,堆上红色内存区域为可控制字节)


5、验证通过后,防守方利用浏览器UAF作为exploit,将免杀过的CobaltStrike木马作为payload投放到了攻击者机器,顺利拿到权限:


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


6、利用CS的目录管理功能,在host机器的微信安装目录找到了攻击者微信ID。并成功添加。


7、提交报告


掏出了两枚Chrome UAF 0Day,学不来学不来。也不知道是哪家公司做的协防,麻烦下次介绍给我们。



Part3 战后总结



3.1 2019年案例反思


再回过头来看2019年的两个案例,是不是发现存在很多问题?


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


随便列举一些:

1、没有对附件文件进行逆向分析,看是调试信息中包含了物理路径信息。

2、没有利用社工库进一步挖掘到攻击者的真实身份信息

3、报告中缺少对软件行为的细致分析。

4、钓鱼邮件完全可以将计就计,建个QQ群骗出对方的木马文件、钓鱼链接。从而进一步进行溯源分析。


3.2 红蓝对抗中溯源反制的局限性

前面虽然讲了7个案例,但是,必须承认一点


红蓝对抗期间的溯源反制存在其局限性


因为时间、演练规则、攻击人员水平等等原因,红蓝对抗期间的溯源反制和真实的APT攻击相去甚远。例如,现在常见的 C2 隐藏技术[3],在CDN和应用上进行双重判断,可以实现真实域名的完美隐藏,对溯源造成极大的困难。但在前面的案例中均未涉及。


INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


3.3 报告标题优化


由于大部分溯源反制工作都依赖厂商人员开展,而厂商的小伙伴普遍“不爱写报告”,在情况介绍、问题分析、反制过程描述等方面,可能过于简略。所以在报告的编制上,还需要甲方自己把关。


作为“命题作文”,报告标题的重要性毋庸置疑。


记得前不久有一篇很火的微信文章,原作者标题是《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》28个字,不带标点,连断句都有困难。后来有公众号转发的时候,标题改成了《一部手机失窃引发的惊心动魄的战争》,引起了一阵热议。再后来,我发现单位领导转了一篇文章,叫做《手机一丢,倾家荡产》,尝试对比一下,哪个更会让评委有兴趣读下去呢?


  • 一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链

  • 一部手机失窃引发的惊心动魄的战争 

  • 手机一丢,倾家荡产

Part2的案例5,笔者在食堂吃饭的时候,脑海里面闪过了好几个标题,最终改为《初探第三代蜜罐,xxx精准溯源攻击者身份》,这里面有几层用意:


1、突出第三代,说明这个技术新。

2、精准溯源,说明新技术在抓人上效率高。

3、攻击者身份,说明这份报告抓到了攻击队,必须给分必须审。


而Part2的案例3,笔者取名为《警民联动、共建美好网络空间-- xxx联合xx网监在国庆前夕铲除一伙网络博彩组织》,里面也有几层意思:


1、警民联动:突出是合成作战,这也是考点。

2、国庆前夕:为重保维稳做出贡献,是演练的初衷。

3、网络博彩:重点打击对象。

4、组织:说明意义重大。


不用主观认位标题都是假大空,咱们要内外兼修,事情要做的扎实,报告也要写的好看。



Part4 总结



行文至此,我们对溯源反制工作做一个总结。


首先是溯源反制的意义。说到溯源反制,大家第一反应估计是,“这不是公安的事情吗?”。企业既没有攻击者的个人信息,又不能实施抓捕,做这些事情收益何在?通过与网监部门打交道,以及红蓝对抗的经历,笔者总结出以下几点价值:


1、为警民联动奠定基础。站在属地网警的角度,每年需要面对大量的网络犯罪案件,在侦破率的考核指标下,如果企业能提供更全面、更深入的信息,将更加有利于案件的侦破。反过来讲,有溯源反制能力的企业,他们也更喜欢合作,倾斜更多资源。


2、对攻击者造成威慑。举个例子,某快递企业如果联合警方抓获了非法窃取数据的攻击团伙,在媒体进行了大肆报道。作为攻击者,在对该企业进行攻击之前,肯定会三思而后行,尤其是一些“脚本小子”,可能就主动放弃了。


3、提升安全实战化防护水平。所谓“攻防相长”,防守者如果想比攻击者更懂攻击,就需要不断提升实战化的攻防能力,对攻击者的隐藏手段、常见漏洞的利用方式、主动防御工具部署进行深入研究,不断迭代更新知识库。以事件为契机,以成就感为驱动,鞭策团队不断前进。


其次是溯源反制组织架构。人力投入由目标决定,你是要拿名次,还是只想随便玩玩?不同的目标,做法不一样。如果想完整体会一次,建议配置三个人一人负责整体组织,报告编制,以及部分反打工作;一人负责web方向,能进行常规反打、获取社工库信息;一人负责二进制和主机分析,熟悉应急响应套路三人之间还要互相补位,比如寻找上传点分析登录行为、搭建CS服务端等等。在把握好度的基础上,如果发现了高价值线索,可以让厂家临时调拨更高级资源予以协助。例如需要高级木马分析、0Day投放等等。



INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


再者是建立完备的协作机制。对外:1)和公安部门保持顺畅的沟通渠道,由价值线索尽快联动;2)依托厂家的情报信息,包括威胁情报、蜜罐情报等。对内:和分析组、夜班做好衔接,确保所有攻击线索都完成反打。利用共享文档进行信息记录。


最后是常用技术手段。本质上和红队没有太大区别,是对“攻击者"发起攻击,所以工具大体类似:

  • 常见漏洞:弱口令、DB写webshell、phpstudy后门、Tomcat RCE、Shiro反序列化等。

  • 常见工具:CobaltStrike、冰蝎、哥斯拉、菜刀、代理等等。对抗过程中我们还发现了一款SRC漏洞自动挖掘工具 Bayonet ,推荐给由需要的朋友。


最后的最后,作为一场比赛,希望大家辩证的看待加分与排名,保持平常心。毕竟加分的不确定性因素太多,是否有人攻击你?攻击者水平如何?裁判尺度大小?等等,都不是咱们能决定的。所以,享受过程就好


参考:

[1]xssprobe,https://github.com/evilcos/xssprobe/blob/master/probe.js

[2]Get CPU/GPU/memory information. https://stackoverflow.com/questions/15464896/get-cpu-gpu-memory-information

[3]<红队基础建设:隐藏你的C2 server>https://xz.aliyun.com/t/4509


对于本文内容有问题的读者,欢迎在评论区留言,或者加笔者微信交流:

INSEC WORLD CSO论坛 | 郭威《红蓝对抗中的溯源反制实战》


相关推荐: 中新金盾信息安全管理系统 默认超级管理员密码漏洞

一:漏洞描述🐑中新网络信息安全股份有限公司中新金盾信息安全管理系统存在默认弱口令,登录身份为超级管理员 目前大部分使用的都受到了影响二:  漏洞影响🐇中新金盾信息安全管理系统三:  漏洞复现🐋FOFA:title="中新金盾信息安全管理系统…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: