溯源反制思路奇思妙想

admin
admin
admin
138775
文章
114
评论
2023年3月17日12:26:30溯源反制思路奇思妙想已关闭评论269 views字数 2396阅读7分59秒阅读模式
图片
免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

公众号现在只对常读和星标的公众号才展示大图推送,

建议大家把听风安全设为星标,否则可能就看不到啦!

----------------------------------------------------------------------

0x00一次溯源反打实战经历

在某集团hw行动中,溯源人员发现了有一个ip尝试漏洞利用,微步查询为恶意。

图片
图片

首先查看解析的域名,发现都是很久以前解析的,基本上都是无效的。

使用微步社区的graph功能,发现这台攻击服务器有搭载过ARL和Viper。至此可以确定,该ip是黑客的VPS。

图片
图片

历史探测的端口都关闭了,灯塔和Viper都没有办法访问。

尝试对攻击IP进行全端口扫描,发现该服务器对外开放了5818端口,通过访问发现该端口部署了内网穿透工具NPS。

图片
图片
图片
图片

首先尝试用NPS的弱口令登录,未成功。

NPS存在历史漏洞,可以利用脚本绕过登录认证,获取该登录页面的用户名密码

脚本地址为https://github.com/carr0t2/nps-auth-bypass

利用该漏洞,获得了攻击者NPS账号密码xxxsec/xxxsec@2021,其账号和密码中都包含了黑客的id。

图片
图片

在微信公众号上搜索,发现了有一个相同id的用户在某个大厂的SRC排行榜上

图片
图片

于是通过客服,加入了官方微信群,询问客服,未果。

又在谷歌进行搜索,发现该攻击者github账号。在github账号中发现此人发布过很多漏洞利用工具。

图片
图片
图片
图片

在github上寻找和黑客有关系的人并且询问,无果

然后尝试通过github的接口获得攻击者的邮箱,发现该攻击者的邮箱账号为[email protected],为github默认邮箱,后续再未发现该攻击者的其他信息。

通过这个案例,又深入学习了一下溯源和反溯源的姿势,在这里做个总结。

0x01反溯源的思路与奇思妙想

1.VPS的防范

攻击vps尽量不要做其他的事情。比如搭建靶场,或者自己的博客。同时,使用的工具要及时更新,防止因为老旧版本的漏洞被反制。

注意远程登录避免使用弱口令,linux可以直接换成密钥登录,避免使用口令登录,防止被爆破。

ip,邮箱,域名之类的基础设施不能混用,做一次项目用新的。防止被溯源人员发现攻击行为之间的关联。

2.蜜罐反钓溯源人员

可以通过部署蜜罐的方式,来去尝试获取到防守队的信息。

最好在蜜罐上部署一个捆绑木马的工具下载(致远OA最新漏洞利用脚本)之类的,或者远程连接软件。如果被防守队下载运行,就可以获取防守队员的信息。

HFISH

官网奉上 hfish.net

图片

按照官网的教程,下载适合你自己系统版本的

图片

直接获取尝试爆破账号密码

图片

还有jspon蜜罐,后续等待继续发掘,搭建教程自己搜索

3.攻击机如何设置

最好虚拟机,用完就销毁

虚拟机基本相对更加方便,可以利用快照等方式销毁和还原状态。

可以在一台特别干净的虚拟机上保存所有有用的工具,然后照个快照,渗透行为结束了之后,直接恢复快照,不保留任何文件。

虚拟机不要登录自己的账号,尤其是各种社交账号,避免留下有关自己的信息。

虚拟机的网络怎么设置

可以用另一台干净的虚拟机作为网关挂着代理,另外一台攻击机通过内网的方式连接到网关。保证流量完全经过代理。不走代理的时候就断网。防止各种代理软件因为代理服务器断网的的原因而导致主机连自己的真实ip

也可以断开物理机的网络,通过usb无线网卡,直接连接到虚拟机,用完虚拟机直接恢复快照,基本上能做好很好的匿名。

此外再用一台干净的断网的虚拟机来做文件分析。从对方服务器下载的文件都要在这里处理。避免下载的文件存在后门。

4.关于木马

去除调试信息。

创建快捷方式钓鱼的时候不要右键创建,会留下自己的信息。可以通过调用api的方式创建。

5.关于习惯

不要使用自己的id或者和id相关的东西(比如手机号)当作注册的账号用户名密码等。

最重要的就是注意不要在攻击机上暴露自己的id就好!切记!

0x02溯源思路奇思妙想收集汇总

1.研判可疑IP

判断真正的攻击IP还是扫描器。

如果对存在的真实路径进行高危操作,基本上可以判定为真实攻击。

2.溯源反制手段-查询篇

IP分析

1.IP类型:云服务器?代理?宽带?专线?手机热点?

2.历史解析域名:是否存在可疑域名。

3.历史开放服务/端口:是否存在攻击工具端口。

4.威胁情报:是否有被标记过的攻击行为。

5.定位:通过相关网站查询ip定位(仅供参考)

社工溯源

1.通过黑客的id

google,微信,github,gitee上搜黑客的id,也许能发现一些信息。如果实在找不到可以在各大微信群QQ群问,但一般会打草惊蛇。

2.手机号码:

支付宝转账,确定姓名,甚至获取照片

微信搜索,微信ID可能是攻击者的ID,加好友甚至可以拿到pyq照片

一定得厚脸皮加人家,没准能套话,救说我好羡慕你啊大佬求带

sgk搜索手机号码,基本可以得到很多信息。

3.CSDN可以爆破手机号

图片

如果发现了攻击者在csdn上的账号,可以从csdn的找回密码功能,爆破一下手机号。

3.溯源反制手段-反打篇

直接通过寻找攻击机上搭载的服务有没有漏洞,或者是有没有弱密码。

4.微信小号培养思路

社工或者钓鱼的时候总得先养着一个小号。不同的身份对应不同的人分不同的分组,朋友圈内容相对应,提高可信度。

0x03写在最后

守则不足,攻则有余

善守者,藏于九地之下

善攻者,动于九天之上

故能自保而全胜也

--《孙子兵法》

溯源和反溯源永远是相辅相成的。不知攻焉知防?

· END ·

点击下方名片,关注我们

觉得内容不错,就点下在看

如果不想错过新的内容推送可以设为星标图片

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月17日12:26:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   溯源反制思路奇思妙想https://cn-sec.com/archives/1611154.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.