【2022HVV系列】溯源反制案例(建议收藏)
Editor's Note
继续分享蓝队溯源相关文章,祝师傅们HVV坚不可破
The following article is from 韬光养晦安全 Author 韬光养晦
0x01 前言
某护马上要开始了,这几天会疯狂产出学习笔记,学习做一名合格的蓝队,如果可以的话,点个关注,不要掉队哦,关注破千,免费开放知识星球,内含各种溯源反制兵器以及独家技巧!
0x02 某金融主管的案例分享
来源:SecOps急行军
(下面夹带了我自己的私货)
蜜罐选择
外网用重型蜜罐
(作为得分手段,能抓攻击者社交ID、主机信息、甚至反制)
内网用HIDS全量全量轻蜜罐
(灵敏度高,原理是socket监听,有连接就告警)
原因解读:红队一般难打到内网,避免头重脚轻,拿不到分。
设计了三类诱饵
已知漏洞蜜罐:
shiro(二级域名直接重定向到shiro页面)
fastjson
springboot(伪造actuator监控接口)
热门漏洞蜜罐:
域名复用(old.xx.com)
欺骗域名(vpn.xx.com)
常见目录(/admin)
反制型蜜罐:
端口暴露(3389RDP反制)
github泄露(3306MYSQL反制)
tips:其实像我们这些打工人就不需要管了,蜜罐都是厂商安排好了的。
蜜罐能捕获到什么
通过蜜罐捕获攻击者设备信息:
设备指纹:蜜罐厂商的标识符ID
操作系统:如win10
CPU核心数:如8
显卡设备:如google swiftshader
游览器:如chrome(win)
设备类型:如PC
语言:中文
音频设备:如ext speaker
游览器UA:如...Chrome/85.0.4183.102
将设备指纹ID提交给蜜罐厂商,厂商会在自己的“蜜罐指纹情报库”检索,给你返回以下信息:
地址(攻击源IP、公网IP、内网IP)
网络ID
开始攻击时间——最近攻击时间
攻击次数
也可以将红队IP提供给厂商情报中心,对方可能会给你返回红队的历史攻击样本,我方不仅可以提取C2域名,还可以逆向,看是否包含物理路径信息,甚至是一些敏感字符串,如ID和安全团队。
tips:建议红队收藏,这样就记得蓝队蜜罐能捕获到你们什么信息了,做针对性防护。
常见反制红队手段:
CSDN老用户漏洞,爆破手机号
phpmyadmin弱口令爆破
数据库写webshell
phpstudy后门漏洞
Tomcat RCE
Shiro反序列化
常见配置文件读取
chrome UAF漏洞上线cs
微信目录找微信ID
在红队webshell加js探针
!以下是我补充的
redis未授权
tomcat/mysql/redis/ssh爆破
tips:兄弟们点个关注,下一期推文更新以上所有漏洞的复现
javascript探针
该案例中返回了两个操作系统,win10和win7,其中一个应该是虚拟机,另一个是宿主机,怎么判断当前用的是哪个系统?
通过下面的第二个探针,若返回硬件信息,说明是win10,否则是win7
[1]xssprobe #主要捕获操作系统和游览器版本信息,refer,cookie,语言
https://github.com/evilcos/xssprobe/blob/master/probe.js
[2]Get CPU/GPU/memory information #判断游览器厂商和硬件信息
https://stackoverflow.com/questions/15464896/get-cpu-gpu-memory-information
[3]canvas探针,计算游览器标识符指纹
https://jsbin.com/qisodaz/edit?html,js,output
钓鱼怎么应对
对附件进行逆向,看附件是否包含红队物理路径信息,会暴露其用户名ID
把附件放进云沙箱,提取C2域名
邮件导出为eml格式,提取发信人IP
尽可能多的诱导对方提供攻击样本和链接
通过SIEM策略加快查找:
同一个发件人,给超5个人发邮件的,筛出来
同一个标题邮件,日志数超过10条的,筛出来
所有对外公开的邮箱,逐一排查
所有带附件的邮箱,考虑到免杀,再人工排查一遍
nmap反扫端口新思路
如果什么高危端口都没开,别泄气,看看filter策略、os、traceroute信息,这些都是重要线索,你有可能在其他IP找到与上面类似的信息,说明它们可能是同一个红队所为。
tips:除此之外,有些IP端口指纹可能是HWXX_VM_XX,或者是在微步情报社区被打上了标签2022你懂的,说明就是红队真实IP。
注意事项
一定要证明该红队对我方资产攻击成功,我们才进行的溯源反制,如果单纯只是对扫描IP进行溯源,可能给很少分,甚至不给分。有一个技巧,就是对蜜罐页面改造,最后利用数据包重放,证明该红队“攻击成功”。
拿到邮箱后,做什么
WHOIS反查域名
邮箱前缀可能是红队ID,搜索引擎反查
天眼查、企查查反查公司
reg007.com查注册过的网站,通过找回密码,进一步找信息
拿到手机号后,做什么
查脉脉、领英,得到毕业院校、工作经历
查微博、知乎、github等社交账号
微信、支付宝转账,得到部分真实姓名
拿到域名后,做什么
WHOIS反查注册人,要是开启了隐私保护,就查域名历史IP解析,然后根据查到的IP,再继续查IP历史解析域名,总之套娃。
tips:将IP,域名什么的都放到搜索引擎看看,说不定有历史的在线病毒分析报告
0x03 溯源总结
IP
首先丢微步情报社区,看其是否归属IDC机房或者云主机,如果是,就考虑查域名历史解析记录(微步有),如果不是,就继续判断,其是否为肉鸡或者代理IP,如果是肉鸡的话,微步情报社区会有历史攻击记录,或者被打上傀儡机标签,如果是代理IP的话,扫描它的端口,一般代理服务都会有端口指纹,例如ccproxy,如果上面都没有,就有可能是真实的国内ip,可以尝试用高精度定位网站进行定位
#300米内定位
https://chaipip.com/aiwen.html
域名
反查注册人,如果开启了隐私保护政策,就通过微步情报社区,查看历史解析IP,用同样的套路,记录反查域名和注册人信息
#历史解析IP
https://securitytrails.com/
社交账号
一般是通过蜜罐的JSONP跨域来获得
恶意样本
上传微步云沙箱获得C2地址,利用微软的strings.exe工具解析铭感字符串,此外还要关注调试信息、有无pdb文件,可能会泄露物理路径,其中的计算机名可能是黑客ID
ID
搜索引擎(百度,谷歌),社交网站(微博,贴吧),技术博客(csdn,博客园),src平台(补天),社工库(telegram社工机器人),论坛(吾爱破解),尝试加微信(ID可能就是微信ID)
欢迎关注,领取资料↓↓↓
申明:WIN哥学安全发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!