让你的红队操作更安全

BounceBack 是一款功能强大、高度可定制和可配置的反向代理，具有 WAF 功能，可隐藏您的 C2/网络钓鱼/等基础设施，使其免受蓝队、沙箱、扫描仪等的攻击。它通过各种过滤器及其组合进行实时流量分析来隐藏您的工具来自非法访客。

该工具附带了预先配置的阻止单词、阻止和允许的 IP 地址列表。

特征

• 高度可配置和可定制的过滤器管道以及基于布尔的规则串联将能够隐藏您的基础设施，让最敏锐的蓝眼睛不被察觉。

• 易于扩展的项目结构，每个人都可以为自己的C2添加规则。

• 集成和策划的大量已知与 IT 安全供应商相关的 IPv4 池和范围黑名单，与 IP 过滤器相结合，禁止他们使用/攻击您的基础设施。

• Malleable C2 配置文件解析器能够根据 Malleable 的配置验证入站 HTTP(s) 流量并拒绝无效数据包。

• 开箱即用的域前端支持允许您更多地隐藏您的基础设施。

• 能够根据 IP 地理位置/反向查找数据检查请求的 IPv4 地址，并将其与指定的正则表达式进行比较，以排除连接到允许的公司、国家、城市、域等之外的对等方。

• 任何时间段内所有传入请求都可能被允许/禁止，因此您可以配置工作时间过滤器。

• 在一个 BounceBack 实例上支持具有不同过滤器管道的多个代理。

• 详细日志记录机制允许您跟踪所有传入请求和事件，以分析蓝队行为和调试问题。

规则

规则的主要思想是BounceBack如何匹配流量。该工具目前支持以下规则类型：

• 基于布尔（and、or、not）的规则组合

• IP和子网分析

• IP地理定位字段检查

• 反向查找域探测

• 原始数据包正则表达式匹配

• 可延展的 C2 配置文件流量验证

• 工作（或不工作）时间规则

代理

代理部分用于配置侦听和代理流量的位置、使用哪种协议以及如何将规则链接在一起以进行流量过滤。目前，BounceBack 支持以下协议：

• 适用于您的 Web 基础设施的 HTTP

• 您的 DNS 隧道的 DNS

• 用于自定义协议的原始 TCP（带或不带 tls）和 UDP

用法

（可选）更新banned_ips.txt列表：

bash scripts/collect_banned_ips.sh > data/banned_ips.txt

1. 根据您的需要进行修改config.yml。配置规则以匹配流量，配置代理以使用规则和全局变量来分析流量以进行深层规则配置。

2. 运行反弹：

   ./bouncebackBounceBack 的用法：-c, --config string YAML 格式的配置文件路径（默认“config.yml”）-l, --log string 日志文件路径（默认“bounceback.log”）-v, --verbose count 详细日志记录（0 = 信息，1 = 调试，2+ = 跟踪）

项目地址：

https://github.com/D00Movenok/BounceBack

原文始发于微信公众号（Khan安全攻防实验室）：让你的红队操作更安全