红队行动守则

admin 2024年8月20日00:37:32评论34 views字数 1645阅读5分29秒阅读模式

攻击注意事项

  • 使用免杀Webshell(文件特征、流量特征),禁止使用开源社区通用Webshell,这些是我过去常用的

  • 尽可能的删除依赖工具的软件特征、流量特征

  • 打点后先进行权限维持(并且最好都额外打一个内存马) 原因:单个Webshell即使免杀,也有可能被防守方发现,一旦被删除就失去了服务器控制权

  • 不执行敏感的操作(如反弹Shell)

  • 获取权限后的信息收集,通过网络、应用业务、服务器登录日志、命令执行日志判断当前机器是否是蜜罐

  • 核心关键隧道:使用规避内存扫描的C2解决方案

  • 端口反连使用常见端口,伪装正常应用流量(25,110,80,443,993,995,8080,8443)

  • C2基础设施配置为HTTPS/DNS上线,最好勿用HTTP,证书采用CDN服务商或Let’s Encrypt

  • 搭建正向的Web代理后,应当先研究如何提升隧道传输质量,避免多人扫描

    本篇文章,主要是记录工作中遇到一个在不出网的机器上,构建正向代理尝试出的一个其他办法。

    Web正向代理的思考 | 倾旋的博客(https://payloads.online/article/43796610-6483-4904-8402-9c246fa1f4bd)

  • 内网探测工具的选择尽可能脚本化、去特征、低频率

  • 隧道建立:采用开源魔改工具实现,避免流量和样本特征与公开的重合

  • 弱口令扫描:低频、小字典、优先尝试SSH/RDP/MySQL/MSSQL等弱口令(分两类:有数据的服务器、有管理端口的服务器)

  • 登录Linux服务器,应当避免Bash History被记录可使用sh来执行命令,或设置环境变量避免Bash记录历史命令。

python -c 'import pty;pty.spawn("/bin/sh")'
# or
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; 
export HISTFILE=/dev/null; 
export HISTSIZE=0;
export HISTFILESIZE=0
  • 操作合规:非必要情况下,不修改任何服务器用户密码

  • 操作合规:非必要情况下,不使用破坏性较强的Exploit或者工具

  • 操作合规:非必要情况下,不要对内网进行大规模探测 例如不要/8

  • 操作合规:非必要情况下,切勿上来就进行扫描探测,先应对当前主机做详细的信息搜集和分析

  • 工具存放:工具统一存放在隐藏目录下,文件名称命名为服务进程(tomcat/nginx)等,有AV/EDR情况,工具应先本地测试免杀之后,再落地到目标服务器,最好有多个平替工具

反溯源注意事项

  • 外网攻击时:尽量使用虚拟机进行渗透,并且测试时不提交包含个人特征信息的手机号码、QQ、微信、其他信息,最好日常工作的浏览器和渗透攻击的浏览器用两个。一般我会创建攻击机的虚拟机快照,项目结束恢复初始状态,干干净净。

  • 内网攻击时:攻击结束必须进行痕迹清理,及时删除自用软件,如Webshell、免杀上线马、0day工具、扫描工具、自研工具,甚至包含系统日志。

  • 短线社工钓鱼:尽量避开技术人员,从非技术人员入手,钓鱼信息为非实名信息

  • 短线社工钓鱼:远程获取的可执行文件,谨慎点击(尤其是VPN客户端,谨防蜜罐),可以上传各类沙箱进行检测,同时运行可以采用虚拟机的方式。

  • 在开源社区获得系统或工具源代码后,谨慎打开,防止IDE的编译、加载、调试选项内藏上线命令。

职业操守

  • 禁止下载、更改业务数据(企业数据),修改业务系统密码(如路由器、Web站点后台、VPN)降低业务影响。

  • 禁止使用会造成不良后果的攻击方式(如DDOS攻击)。

  • 测试结束后删除Webshell等恶意文件或记住固定存放位置。

  • 禁止使用境外跳板机、VPN。

  • 使用统一攻击资源与授权攻击工具。

  • 对项目、行动内容在公开场合进行保密,不产生任何舆论影响。

原文地址: https://payloads.online/article/0ba7791c-bb0f-42e7-8623-22fe07b59fa8

原文始发于微信公众号(白帽子左一):红队行动守则

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月20日00:37:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红队行动守则https://cn-sec.com/archives/1993798.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息