安服笔记:蓝队溯源反制技术分享

admin 2021年11月29日16:38:16安全闲碎评论53 views1946字阅读6分29秒阅读模式

0x01 前言

从今年开始,各个防守单位不满足于不失分的现状并且领导要求服务的乙方能够溯源到攻击者并得到分数,这无疑是增大了蓝队队员的工作量。因此决定输出一篇HW蓝队溯源反制技术文章,仅供大家参考。

0x02 数据的来源

一般来说,蓝队队员获取的数据不外乎有以下几种:
1、蜜罐
2、流量监测设备
3、WAF、IPS、IDS
4、钓鱼邮件

0x03 数据分析思路

在我们拿到数据之后需要对数据进行分析,针对不同的设备有不同的分析思路以及关注点。

(一)WAF、流量监测设备

1、请求数据包 -> 可能包含攻击反弹的C2地址或者DNSLOG地址
2、某些可注册的网站,通过流量分析 -> 获取攻击者注册手机号,甚至身份证等信息
3、IP地址 - > 分析攻击行为,过滤掉国外肉鸡攻击IP。
4、重点关注来自阿里、腾讯等云服务器过来的攻击流量

(二) 钓鱼邮件

1、分析附件中样本外联的C2地址
2、获取邮件发送方的IP地址 -> 显示邮件原文

安服笔记:蓝队溯源反制技术分享

(三)巧借脚本帮助分析

假如流量监测设备上告警数量较多,我们可以借助脚本帮助蓝队队员分析。脚本编写思路:
1、调用监测设备接口获取互联网攻击IP
2、调用威胁情报分析平台和FOFA结构对攻击IP进行分析 -> 获取域名解析记录、端口
3、如果域名中包含”.cn”的域名,直接输出Whois反查的结果。

重点关注信息

在数据分析的过程中我们应该重点关注以下信息:

1、IP地址
2、DNSLOG C2地址
3、钓鱼邮件中的信息
4、蜜罐抓取到的Hacker ID

0x04 溯源反制

针对以上我们获取到的不同信息,有着不同的溯源思路。

IP地址分析

地理位置查询
红队攻击者会借用手机热点发起攻击,我们可以通过地理位置查询到他所处的位置,如果和攻防演练的比赛场地接近,可以暂时不封该IP,并重点进行关注分析。300米误差 地址:https://chaipip.com/aiwen.html

安服笔记:蓝队溯源反制技术分享

威胁情报分析
拿到攻击IP后我们可以在威胁情报平台中进行搜索,获取如主机信息、近期活动情况、域名解析等信息。这个就不多讲了。
主机信息
那么主机信息我们要重点关注端口信息

1、存在WEB应用端口 -> 反制
2、CS TeamServer(50050)
-> 爆破
脚本地址:https://github.com/LubyRuffy/csbruter
-> DDOS搅屎:批量上线钓鱼马,启几百个进程,DDOS 红方的cs 端
脚本地址:https://github.com/Tk369/pluginS/blob/master/ll.py
注意:隔离环境中使用!!!
实际测试结果:双方DDOS emmmm

域名解析记录
重点关注.cn域名

1、最近解析到该IP上的域名
存在 -> 继续分析
不存在,并且ping该域名的结果非攻击IP,则停止分析
2、域名 = Hacker ID
3、.cn的域名
直接获取域名注册信息 WHY?-> cnnic强制显示真实个人信息
地址:https://sg.godaddy.com/zh/whois/results.aspx?checkAvail=1&domain=

QQ号码溯源思路
拿到QQ号码之后重点应该是去社工库去查Q绑、地址等信息,其次就是在各大搜索引擎以及社交平台搜索其信息。

1、社工库  -> 手机号、身份证(运气好)等信息
2、搜索引擎 -> 推荐谷歌
3、社交平台 -> 百度贴吧、微博等
4、加好友,

加好友聊天去套单位,伪装成学弟,可以去贴吧搜点学校照片发朋友圈,再加好友。

安服笔记:蓝队溯源反制技术分享

HackerID溯源思路
假如我们获取到了攻击者的HackerID,我们可以通过以下几种思路进行分析:

1、搜索引擎
2、各大SRC
3、问xxx你认识吗?emmmm

手机号码
拿到手机号码,我们可以做的事情就更多了。可以通过社工库获取到QQ信息,微博地址;其次可以通过支付宝确认攻击者的姓名等等。

1、支付宝转账 - > 确定姓名,甚至获取照片
2、微信搜索 -> 微信ID可能是攻击者的ID,甚至照片
3、社工库

微博账号
思路:

微博Oid -> TG社工库反查手机号码(微博5e数据)

百度账号
思路:

1、贴吧搜索
2、根据头像在GOOGLE中搜索

DNSLOG地址

1、思路和上述一致,不再赘述
2、搅屎:批量PING攻击机的DNSLOG地址,制造大量垃圾数据。
3、注意:
地址为以下地址可停止分析:*.dnslog.cn 、*.burpcollaborator.net、*.bxss.me

0x05 总结

其实在溯源过程中最重要的是社工库,其次才是上述的溯源分析思路。蓝队的队员在HW防守的过程中,如果有蜜罐设备,尽量设置成高交互的,有意想不到的发现。



初冬时节,落叶飘零,天气转凉,各位师傅们注意防寒保暖哦~更多干货等着我们在这个冬季一起解锁,欢迎关注~

监制:船长、铁子   策划:格纸   文案:ahu   美工:青柠

原文始发于微信公众号(我是安服):安服笔记:蓝队溯源反制技术分享

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月29日16:38:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  安服笔记:蓝队溯源反制技术分享 https://cn-sec.com/archives/653174.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: