【hvv2022】溯源反制案例学习笔记,建议收藏!

admin 2022年6月27日01:52:35评论83 views字数 2696阅读8分59秒阅读模式

0x01 前言

某护马上要开始了,这几天会疯狂产出学习笔记,学习做一名合格的蓝队,如果可以的话,点个关注,不要掉队哦,关注破千,免费开放知识星球,内含各种溯源反制兵器以及独家技巧!


0x02 某金融主管的案例分享

来源:SecOps急行军

(下面夹带了我自己的私货)


蜜罐选择

  • 外网用重型蜜罐

    (作为得分手段,能抓攻击者社交ID、主机信息、甚至反制)

  • 内网用HIDS全量全量轻蜜罐

    (灵敏度高,原理是socket监听,有连接就告警)

原因解读:红队一般难打到内网,避免头重脚轻,拿不到分。


设计了三类诱饵

  • 已知漏洞蜜罐:

        shiro(二级域名直接重定向到shiro页面)

        fastjson

        springboot(伪造actuator监控接口)

  • 热门漏洞蜜罐:

        域名复用(old.xx.com)

        欺骗域名(vpn.xx.com)

        常见目录(/admin)

  • 反制型蜜罐:

        端口暴露(3389RDP反制)

        github泄露(3306MYSQL反制)

tips:其实像我们这些打工人就不需要管了,蜜罐都是厂商安排好了的。


蜜罐能捕获到什么

通过蜜罐捕获攻击者设备信息:

  • 设备指纹:蜜罐厂商的标识符ID

  • 操作系统:如win10

  • CPU核心数:如8

  • 显卡设备:如google swiftshader

  • 游览器:如chrome(win)

  • 设备类型:如PC

  • 语言:中文

  • 音频设备:如ext speaker

  • 游览器UA:如...Chrome/85.0.4183.102


将设备指纹ID提交给蜜罐厂商,厂商会在自己的“蜜罐指纹情报库”检索,给你返回以下信息:

  • 地址(攻击源IP、公网IP、内网IP)

  • 网络ID

  • 开始攻击时间——最近攻击时间

  • 攻击次数


也可以将红队IP提供给厂商情报中心,对方可能会给你返回红队的历史攻击样本,我方不仅可以提取C2域名,还可以逆向,看是否包含物理路径信息,甚至是一些敏感字符串,如ID和安全团队。

tips:建议红队收藏,这样就记得蓝队蜜罐能捕获到你们什么信息了,做针对性防护。


常见反制红队手段:

  • CSDN老用户漏洞,爆破手机号

  • phpmyadmin弱口令爆破

  • 数据库写webshell

  • phpstudy后门漏洞

  • Tomcat RCE

  • Shiro反序列化

  • 常见配置文件读取

  • chrome UAF漏洞上线cs

  • 微信目录找微信ID

  • 在红队webshell加js探针


!以下是我补充的

  • redis未授权

  • tomcat/mysql/redis/ssh爆破

tips:兄弟们点个关注,下一期推文更新以上所有漏洞的复现


javascript探针

该案例中返回了两个操作系统,win10和win7,其中一个应该是虚拟机,另一个是宿主机,怎么判断当前用的是哪个系统?

通过下面的第二个探针,若返回硬件信息,说明是win10,否则是win7

[1]xssprobe #主要捕获操作系统和游览器版本信息,refer,cookie,语言https://github.com/evilcos/xssprobe/blob/master/probe.js [2]Get CPU/GPU/memory information #判断游览器厂商和硬件信息https://stackoverflow.com/questions/15464896/get-cpu-gpu-memory-information[3]canvas探针,计算游览器标识符指纹https://jsbin.com/qisodaz/edit?html,js,output


钓鱼怎么应对

  • 对附件进行逆向,看附件是否包含红队物理路径信息,会暴露其用户名ID

  • 把附件放进云沙箱,提取C2域名

  • 邮件导出为eml格式,提取发信人IP

  • 尽可能多的诱导对方提供攻击样本和链接

  • 通过SIEM策略加快查找:

        同一个发件人,给超5个人发邮件的,筛出来

        同一个标题邮件,日志数超过10条的,筛出来

        所有对外公开的邮箱,逐一排查

        所有带附件的邮箱,考虑到免杀,再人工排查一遍


nmap反扫端口新思路

如果什么高危端口都没开,别泄气,看看filter策略、os、traceroute信息,这些都是重要线索,你有可能在其他IP找到与上面类似的信息,说明它们可能是同一个红队所为。

tips:除此之外,有些IP端口指纹可能是HWXX_VM_XX,或者是在微步情报社区被打上了标签2022你懂的,说明就是红队真实IP。


注意事项

一定要证明该红队对我方资产攻击成功,我们才进行的溯源反制,如果单纯只是对扫描IP进行溯源,可能给很少分,甚至不给分。有一个技巧,就是对蜜罐页面改造,最后利用数据包重放,证明该红队“攻击成功”。


拿到邮箱后,做什么

  • WHOIS反查域名

  • 邮箱前缀可能是红队ID,搜索引擎反查

  • 天眼查、企查查反查公司

  • reg007.com查注册过的网站,通过找回密码,进一步找信息


拿到手机号后,做什么

查脉脉、领英,得到毕业院校、工作经历

查微博、知乎、github等社交账号

微信、支付宝转账,得到部分真实姓名


拿到域名后,做什么

WHOIS反查注册人,要是开启了隐私保护,就查域名历史IP解析,然后根据查到的IP,再继续查IP历史解析域名,总之套娃。

tips:将IP,域名什么的都放到搜索引擎看看,说不定有历史的在线病毒分析报告


0x03 溯源总结

IP

首先丢微步情报社区,看其是否归属IDC机房或者云主机,如果是,就考虑查域名历史解析记录(微步有),如果不是,就继续判断,其是否为肉鸡或者代理IP,如果是肉鸡的话,微步情报社区会有历史攻击记录,或者被打上傀儡机标签,如果是代理IP的话,扫描它的端口,一般代理服务都会有端口指纹,例如ccproxy,如果上面都没有,就有可能是真实的国内ip,可以尝试用高精度定位网站进行定位

#300米内定位https://chaipip.com/aiwen.html


域名

反查注册人,如果开启了隐私保护政策,就通过微步情报社区,查看历史解析IP,用同样的套路,记录反查域名和注册人信息

#历史解析IPhttps://securitytrails.com/


社交账号

一般是通过蜜罐的JSONP跨域来获得


恶意样本

上传微步云沙箱获得C2地址,利用微软的strings.exe工具解析铭感字符串,此外还要关注调试信息、有无pdb文件,可能会泄露物理路径,其中的计算机名可能是黑客ID


ID

搜索引擎(百度,谷歌),社交网站(微博,贴吧),技术博客(csdn,博客园),src平台(补天),社工库(telegram社工机器人),论坛(吾爱破解),尝试加微信(ID可能就是微信ID)



原文始发于微信公众号(韬光养晦安全):【hvv2022】溯源反制案例学习笔记,建议收藏!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日01:52:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【hvv2022】溯源反制案例学习笔记,建议收藏!https://cn-sec.com/archives/1144445.html

发表评论

匿名网友 填写信息