防溯源總結

小新07發表於2024-09-07

防溯源

參考文章:https://mp.weixin.qq.com/s/OXJYBd0bKbauSsi7ia5IDA
基本是在參考文章裡摘抄總結出來的個人筆記。

總結:

1、使用識別蜜罐外掛

2、指紋瀏覽器(無痕瀏覽器)或者獨立瀏覽器,防止JSONP蜜罐溯源

3、掛代理,防止出口ip被溯源

4、儘量虛擬機器操作,特別是連資料庫需要注意,防止mysql蜜罐等抓個人資訊

5、更新bp等工具,防止rce反制

6、伺服器儘可能保持乾淨,服務儘量少開,防止被nday/0day反制

例子:

  • JSONP蜜罐溯源

1、紅隊隊員曾使用瀏覽器登入自己的X度網盤,瀏覽器已經快取了X度網盤的cookie;

2、紅隊隊員誤點JSONP蜜罐,JSONP蜜罐利用X度網盤存在的JSONP跨域請求漏洞,使用瀏覽器已儲存的cookie去請求獲取使用者資訊的介面,獲得了紅隊隊員的X度賬號ID;

3、蜜罐獲取了紅隊隊員的X度賬號ID後,在內建的社工庫中匹配,獲得了紅隊隊員的姓名,再使用該姓名在X英、X脈等職業平臺上查到了紅隊隊員的個人資訊和職業資訊,成功溯源。

  • 紅隊釣魚郵服被反制

1、紅隊註冊了一個仿冒域名,然後使用Ewomail軟體部署了一個郵箱伺服器,SMTP對映了仿冒域名,向目標單位僱員傳送釣魚郵件;
2、藍隊收到僱員舉報的釣魚郵件,開始調查,藍隊檢視郵件頭的X-Originating-IP欄位,找到郵件傳送來源IP;

3、藍隊對這個IP地址進行埠掃描,發現開放了SMTP埠,也開放了8081埠,使用瀏覽器訪問後發現是一個Ewomail郵箱管理後臺

4、Ewomail軟體存在預設的口令,紅隊的基礎設施一般是即用即棄的,可能會疏於管理,沒有修改預設口令,於是藍隊使用預設口令登陸了郵箱管理後臺,獲取了郵箱伺服器的控制權。

  • 紅隊用BurpSuite滲透被RCE反制

1、紅隊找到了一個站點,發現“屬於”目標單位的管理後臺(是藍隊的蜜罐)
2、紅隊掛上BurpSuite代理開始點選蜜罐站點的各種按鈕
3、BurpSuite預設開啟了JavaScript分析引擎掃描蜜罐站點的介面,但紅隊使用的BurpSuite不常更新,使用的是低版本的內建chromium,藍隊的蜜罐站點上的POC觸發chromium的漏洞,成功RCE反制紅隊的攻擊機

  • 紅隊在公司遠端攻擊被溯源

1、紅隊在公司使用公司的寬頻網路出口遠端實施某攻防演練(IP未報備)
2、藍隊在邊界安全裝置上抓到了紅隊的攻擊來源IP,透過IP資料查到IP所在的大廈(公司固定寬頻定位精準度是很高的)
3、透過網際網路搜尋,這座大廈只有一家安全公司
4、藍隊讓甲方聯絡該公司的銷售人員,謊稱要了解技術能力,套出正在進行此攻防演練的紅隊人員資訊,溯源成功。

  • MySQL蜜罐讀取微訊號

MySQL蜜罐正是利用MySQL中的load data local infile函式實現客戶端任意檔案讀取,如果想要實現讀取微訊號,則可以先讀取C:\Windows\PFRO.log檔案,在這個檔案中尋獲客戶端的使用者名稱,再讀取C:\Users\username\Documents\WeChat Files\All Users\config\config.data檔案,在這個檔案中尋獲攻擊者的微訊號。
針對這種MySQL蜜罐,對抗的方式還是採用專機專用的策略,使用獨立的虛擬機器來進行攻擊,且不在這臺虛擬機器上儲存任何與個人相關的檔案。

  • 內網全域性代理洩露QQ號/郵箱地址

我們以最常用的反向代理為例,通常是在外網或者內網點位上執行FRP或者類似的工具,將隧道對映至一臺公網VPS上,紅隊連線這臺公網VPS,即可將本機流量走向目標內網,實現內網應用的訪問,但有部份經驗尚淺的紅隊人員,可能會直接開啟全域性代理的功能,將攻擊機全部流量走向內網,而攻擊機上登陸著自己的公司郵箱或者QQ。
在這種情況下,郵箱應用在同步郵件時所流經的未經加密IMAP/POP3報文就會被目標內網的全流量裝置所捕獲,在報文中可以找到攻擊者的郵箱地址和密碼

如果有登陸QQ,那麼QQ所使用的OICQ報文也會洩露紅隊的QQ號,而被藍隊溯源

相關文章