做红队你需要学习如何挖掘战壕（二）

0x00 前言

在这个系列的上一篇文章中，我们主要讲了什么是红队基础设施以及红队基础设施的架构与设计思路。最后我们分析了构成红队基础设施的几个元素：ip和域名、C2工具、前置器。今天我们主要分析的是IP和域名，也就是如何选择域名和IP，在攻防对抗中域名和IP是非常重要的元素，在防御上基于域名和IP数据来追踪攻击是非常重要的手段。因此作为公鸡队一定要选好域名和IP，这样会事半功倍。

0x01 域名的选择

这个方法公鸡队小伙伴应该都知道，主要利用的是https://www.expireddomains.net/expired-domains/ 的数据。这个网站实时更新着快要过期的域名列表。虽然如此，但是目前你很难抢到好域名了，因为这个方法太出名，全世界的公鸡队都在抢，就是八仙过海各显神通了。

虽然这个方法现在不太好用了，我还是写出来的原因是，我们要明白背后的原理，我们为什么要抢注过期域名。这是和防御手段对抗密切相关的，很多流量网关设备对出网的域名有限制，这些防御设备会根据域名的一些维度来综合判断允不允许出网，例如：注册时间、被访问量、网站类型、是否是https、ssl证书是否合法等等。因此过期域名成了一个香饽饽。

expireddomains这个网站我一度认为是为公鸡队量身打造的，因为他基本列出了公鸡队关注的域名的各种属性，例如：年龄、反链数、第一个网站快照日期、快照数、还有alexa排名。详细的如图：

当然了，有人的世界天然存在阶级，上面是穷人方案，靠手艺抢注。富人可以靠钱解决，这2个付费的网站，给钱你就能搞到好的域名，https://www.freshdrop.com/， https://www.domcop.com/ 我没测试过，我穷。

言归正传，域名的选择大部分思考是围绕的怎么突破流量网关设备的拦截。我们搞不到过期域名，我们可以做时间的朋友，自己养啊！自己养就涉及到注册域名，这有几个tips，也是我血淋淋的教训：

• 注册域名不要包含世界大厂和杀毒厂商关键字（比如：McAfee、Google等等）

• 谨慎注册和目标相似的域名（比如：g00gle和Mc4fee）

• 注册目标相关地区常见软件相似的域名（比如：xunleidown）

• 注册域名的时候不要忘记开隐私保护

有些网上文章让你注册和目标相似域名或者大厂相似域名，你要区分好钓鱼域名和c2域名的区别，钓鱼域名迷惑的是人，c2域名过的是网关设备，设备都是规则，你搞这种相似域名，就是对牛弹琴，它看不懂，反而直接被告警。但是呢，你可以注册些包含目标相关地区当地比较有名的企业域名，这样工具规则肯定是不可能识别为恶意，同时如果人工介入分析，也会被迷惑。最后隐私保护一定要开。

上面说到我们搞这么多都是为了过流量网关出网，这就涉及到流量网关的一些防控机制。对于流量网关来说它怎么来判断一个域名的好坏呢？白名单？这样员工估计要造反了，极度影响工作效率。真实情况是，这些防控设备厂商维护了一套域名信誉系统，就是给一个域名分类，评信誉等级。如下图所示，是麦咖啡的域名信誉系统。

比如：这个域名就被分类到了business类，信誉等级是Minimal Risk。网关设备就是根据这些来判断一个域名允不允许访问的。那么问题来了，我们怎么让这些厂商给我们注册的域名分好类呢？上图中也有，就是你提交自己的域名，点击Check URL，当然在来提交前，你的域名肯定要解析到一个网站。这有几个tips：

• 建的网站最好是：金融、医疗、电商、航空等类别，因为国外隐私罚款很重，涉及到大量用户信息的网站流量网关不敢搞流量解密，不然罚款到破产。那么问题来了，我怎么建这些类的网站呢？用关键字，改改title，可以研究下SEO手法。还有一个方法是反向代理到不是太出名的这些类网站。切记不要反代到世界知名网站，后面我会讲一个血淋淋的故事。

• 根据经验使用知名CMS建站效果比较好。

• 一般1-2周就能被分类，各个厂商情况不同。

常见的域名信誉评级网站：

• www.talosintelligence.com

• exchange.xforce.ibmcloud.com

• fortiguard.com

• sitereview.bluecoat.com

• cymon.io

• global.sitesafety.trendmicro.com

• domain.opendns.com

• tools.zvelo.com

• www.watchguard.com

• www.trustedsource.org

因为信誉评级厂商较多，手动肯定是不行了，于是要工具：（不清楚现在这些项目还能用不，我自己写的一个工具肯定是不能用了，就不发了）

• github.com/mdsecactivebreach/Chameleon

• github.com/threatexpress/domainhunter

• github.com/GhostManager/DomainCheck

• github.com/Mr-Un1k0d3r/CatMyPhish

因为整理这个资料的时候是19年，所以不清楚这些经验当下是否能用。各位只能自己判断了。

方法1：把域名A记录解析到大厂IP，需要回连的时候再解析到C2。

方法2：有些设备是根据VT上的打分来作为一个判断维度的，就有2个猥琐操作（这个我没实践过）

• 注册一批VT账户，在VT上给自己域名点绿标

• SEO、刷Alexa排名

0x02 IP的选择

IP这块儿没啥说的，唯一注意的是威胁情报系统，不要被打标成恶意IP了，因为很有可能你买的vps，有前辈已经使用过了，说到这儿，上边的域名同样要去威胁情报系统查下是否被标注恶意了，特别是抢注的过期域名。

0x03 我的SB故事

有一次我去买了一个域名做培养，域名中包含了McAfee字符串，心想，我再解析到McAfee相关的IP，最后McAfee网关一定把我当自己人，不拦截我，但是没有找到能够直接IP访问的McAfee相关网站，不能直接解析A记录。因此我想那就使用cobaltstrike的网站克隆功能。最后效果就是访问我这个包含McAfee字符串的域名，就显示的是正常的McAfee的一个网站。我心里正美滋滋的得意的时候，一周过后，我去登录我注册的域名服务商网站，发现用户不存在，这我就纳闷了，我TM不是转穿越了吧，怎么可能用户不存在，用户输入的是邮箱，尼玛不可能错的。我再去访问我的域名也不存在了。最后我看到了下图，似乎明白了什么。

还有API，我推测是麦咖啡应该有监控新注册域名，我太招摇里面包含McAfee字符串，又解析到麦咖啡自己的网站，被识别成钓鱼域名，然后一个API过去，我就GG了。大家有不同见解可以加群讨论。这个故事中我犯了很多错，所以一定不要聪明反被聪明误。

今天就到这儿吧，下次是C2工具了，也就是cobaltstrike，我不会完整讲CS，也讲不完，只说和流量相关的东西。大部分内容应该都不稀奇，最多就是包含了一些个人经验。

这个系列就叫“如何挖掘战壕”系列：

• 架构设计和简述

• IP和域名

• C2工具（CobaltStrike）

• 前置器

• 自动化部署

---

原文始发于微信公众号（我需要的是坚持）：做红队你需要学习“如何挖掘战壕”（二）