本文简单写下红蓝对抗过程中蓝队的一些溯源与反制方法。
一、蜜罐反制
(1)商用型
近年来越来越多的厂商选择部署商用蜜罐来诱导攻击者,衡量蜜罐好坏的关键因素为诱捕能力,即为诱惑捕捉能力。
利用蜜罐可以做到:获取攻击者的P(真实IP,代理IP等)、ID、操作系统、设备信息等,也可通过诱饵进行钓鱼反制。
蜜罐常见形式可以直观的分为web页面型,命令行型,windows型等。
web页面例如weblogic、phpmyadmin、crm等,攻击者可进行弱口令登陆,暴力破解,历史漏洞,后台shell等,蜜罐页面中会插入溯源jsonp,例如百度、163、腾讯、新浪的对攻击者的ID进行溯源蓝队也可以根据这个思路自己收集一些jsonp用于自制蜜罐中。web型蜜罐的识别方法为查看数据包,如果数据包中出现了很多的不属于该网站的js信息,很大程度上为蜜罐。另外溯源js经常会在页面上产生一个细小的像素点,通过像素点也可以来判断是否踩到了蜜罐。
命令行的例如redis(最常见也是攻击者最容易踩到的)、ssh等,此类获取到的信息偏向于IP,对于ID有一定难度。
windows蜜罐例如win7,xp等,其中包含一些历史漏洞,可以对攻击者进行反制。
现在的蜜罐除了上述的基本功能外,都有一些自己的花样,例如诱饵(邮件诱饵,github等),反制诱饵等。
这里的反制诱可以理解为红队的钓鱼文件,例如在某网站下载链接嵌入一个反制exe,当攻击者点开始便可获得攻击者电脑权限,利用查看文件等操作溯源,从而达到反制的目的。

(2)开源型
比较出名的开源蜜罐有beef、hfish等,beef自带功能强大,可以部署出一套完整的蜜网来进行迷惑攻击者。
二、钓鱼邮件溯源
红队有时会采用钓鱼邮件的方式来进行攻击,一些安全意识薄弱的员工便会打开该邮件从而上钩,如果钓到了运维,并且运维电脑上存有未加密的公司服务器信息等,可以说差不多是沦陷。攻击者在伪造钓鱼邮件时,有时出于疏忽,会泄露自己的邮件服务器地址,从而被溯源,下边来看一个例子。

红队在发送邮件诱饵时,没有进行伪造,导致自己的邮件服务器泄露,从而被蓝队溯源到真人。
三、IP进行溯源
在对入侵IP进行分类时发现一个IP,应该为攻击者的代理断掉了,通过微步等工具进行信息查询发现其备案域名,域名指向某公司

接下来对域名进行whois

根据邮箱手机号进行社工库查询,从而获取攻击者信息。
四、红队遗留工具进行溯源
案例1、某单位服务器沦陷,登上服务器对其进行溯源,在e盘找到了红队人员自己编写的工具

上边留有攻击者qq

在社工库中进行查询从而溯源获取红队真实身份信息
案例2、对攻击者上传的工具进行分析,物理路径中包含了文件的名称

在github进行搜索找到该项目和攻击者ID

在知乎,微博等平台对该用户进行搜索综合,或者利用支付宝微信转账的方式获取攻击者真实信息。
五、反制红队服务器
蓝队可以对红队IP进行收集,批量进行扫描
攻击者踩到了蜜罐,并尝试进行反弹shell

发现攻击者使用的为cs的服务器

服务器存在目录遍历漏洞,其中存有攻击者的攻击日志

有一条日志暴露了攻击者的teamserver密码

登录攻击者teamserver,找到被攻击主机的外网地址

一段时间后teamserver上线了一台新的主机

上线日志如下,可能是攻击者反弹shell后自己访问的登录信息

定位成功

点击收藏 | 5 关注 | 1
登录 后跟帖