红队笔记|反溯源技术在攻防实战中的应用

admin 2022年6月24日10:59:16安全文章 应急响应评论26 views1850字阅读6分10秒阅读模式

反溯源是攻防过程中的重要一环,其主要目的为防止防守方快速找出屏幕后,正在抠脚的你。渗透过程中有没有"事了拂衣去"的洒脱,很大程度在于过程中反溯源技术的应用程度。下文为笔者对于溯源技术总结。


主机加固术


理想条件可以准备一个虚拟机来专门进行攻击操作。虚拟机中只装渗透需要工具,并设置快照,每次攻击前重置攻击机。其他通用加固手段如下;


1、攻击机中不要保存任何可以用来分析个人或公司身份的特征的文件;

如条件有限可以将具备个人或个人特征的数据放在加密磁盘内,加大溯源难度,当然前提你自己不要用弱密码管理磁盘加密软件。常用加密软件如VeraCrypt,EasyFileLocker。


2、打全补丁,只对外开放必要端口,危险服务或软件,并安装有效杀毒软件;

最好设置补丁自动更新,避免人工打补丁造成疏漏


3、不连接特征明显的热点,如以公司命名的wifi,个人名字的热点;

电脑会记录WiFi连接记录,记录中具备特征的记录一定要进行删除


4、电脑用户名不要使用可能识别特征的用户名;


5、不登录任何社交软件与社交平台;


6、保持浏览器中不会储存任何个人相关信息;

细节操作有:开启无痕模式(或开启退出清空Cookie),关闭⾃动填充功能,控制网站操作权限。


7、停用mic与摄像头等设备;

如笔记本可以卸载其驱动,并使用不透明贴纸覆盖覆盖摄像头


特征隐藏术


工具特征隐藏

1、扫描器、Payload以及其他工具要去除特征,不要带有任何id,git,博客连接等;


2、DNSLOG、XSS等平台不要使用网上在线版本,在线版本特征过于明现容易被流量设备识别;


3、尽量减少文件的落地,落地的文件需要注意隐藏,

与目标其他文件名称和时间属性进行同化,并设置隐藏;


4、植⼊Webshell⼀句话脚本时,尽量选择⾸⻚index⾥被包含的⽂件;


5、拿到shell后,开启命令⽆痕模式;


6、c2,内网穿透等工具不要使用默认端口,并定期修改密码;


交互特征隐藏

1、渗透过程中任何需要交互认证的地⽅,都不要⽤个⼈、公司有关的名词 ;

涉及手机号和邮箱接时,可以考虑使⽤匿名接收平台 。


2、社⼯过程中不要使用自己的真实社交账号,有条件的情况最好每次注册或购买新的账号;


3、漏扫自动打点时,尽量使用动态随机UA头,避免被浏览设备识别并拦截 ;


4、域名或服务器在创建时不要使用自己名字;


流量特征隐藏

1、攻击机的出口IP,不要使⽤个⼈、公司IP, 尽量使用物联⽹卡、或代理池IP ;


2、C2或其他工具的流量特征需要进行对应的去除或者修改 ;


3、各种攻击资源尽量不要放在一套服务器上,最好使用短期或定时重置ip以预防危险情报标记;


4、尽量不要直接暴露c2的ip,要使用隐藏技术保障c2的安全性;

比较常用的隐藏技术如云函数,域前置,cdn等技术。


5、在服务器上开启⽂件服务,需⽤完即关,严禁开启各种⽆⽤的⾼危端⼝;


6、尽量使用加密协议传输请求


溯源反制术


蜜罐简单识别

1、网站是否存在大量请求其他域资源;


2、网站是否对于各大社交网站发送请求;


3、网站是否存在大量请求资源报错,克隆其他站时没有修改完成;


4、存在⾮常多漏洞的站点,拿到shell后处于docker等虚拟环境,开放⼤量⾼危端⼝的;


5、获取到PC机器后,PC机器⽤户⻓时间划⽔摸⻥;


6、从目标获取的文件需要在沙箱或断网虚拟机运行,避免被反制;

也可以使用蜜罐识别插件进行识别如:anti-honeypot


溯源反制思路与手段

攻防的过程本为一体两面,上文介绍了反溯源的基本思路,溯源的反制其实也是溯源技术的一种另类应用,所谓溯源反制大体可以分为两类;


1、通过伪造特征,导致溯源到其他人身上,达到祸水东引的效果;

如将电脑名称或是工具文件名称伪造为其他单位或者是人员的名称


2、通过追查溯源方的特性,反向溯源出对方;

特殊情况下也可以诱导溯源方在本地执行木马文件,从而控制对方主机

————————————————

作者:方寸明光

原文链接:https://blog.csdn.net/CoreNote/article/details/122328787

加我好友进2022护网交流群

红队笔记|反溯源技术在攻防实战中的应用


精彩推荐

1.某地级市HW攻防演练红队渗透总结

2.Bypass文件上传绕过-Getshell

3.一个全新的敏感文件发现工具

4.一款使用webshell进行流量转发的出网工具

5.干货 | 2022HVV必备攻防渗透工具总结

6.内网自动化快速打点工具

7.shiro综合利用工具

8.推荐一套攻防演练前期准备工作总结


红队笔记|反溯源技术在攻防实战中的应用

原文始发于微信公众号(HACK之道):红队笔记|反溯源技术在攻防实战中的应用

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月24日10:59:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  红队笔记|反溯源技术在攻防实战中的应用 https://cn-sec.com/archives/1139581.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: