防溯源
参考文章:https://mp.weixin.qq.com/s/OXJYBd0bKbauSsi7ia5IDA
基本是在参考文章里摘抄总结出来的个人笔记。
总结:
1、使用识别蜜罐插件
2、指纹浏览器(无痕浏览器)或者独立浏览器,防止JSONP蜜罐溯源
3、挂代理,防止出口ip被溯源
4、尽量虚拟机操作,特别是连数据库需要注意,防止mysql蜜罐等抓个人信息
5、更新bp等工具,防止rce反制
6、服务器尽可能保持干净,服务尽量少开,防止被nday/0day反制
例子:
- JSONP蜜罐溯源
1、红队队员曾使用浏览器登录自己的X度网盘,浏览器已经缓存了X度网盘的cookie;
2、红队队员误点JSONP蜜罐,JSONP蜜罐利用X度网盘存在的JSONP跨域请求漏洞,使用浏览器已保存的cookie去请求获取用户信息的接口,获得了红队队员的X度账号ID;
3、蜜罐获取了红队队员的X度账号ID后,在内置的社工库中匹配,获得了红队队员的姓名,再使用该姓名在X英、X脉等职业平台上查到了红队队员的个人信息和职业信息,成功溯源。
- 红队钓鱼邮服被反制
1、红队注册了一个仿冒域名,然后使用Ewomail软件部署了一个邮箱服务器,SMTP映射了仿冒域名,向目标单位雇员发送钓鱼邮件;
2、蓝队收到雇员举报的钓鱼邮件,开始调查,蓝队查看邮件头的X-Originating-IP字段,找到邮件发送来源IP;
3、蓝队对这个IP地址进行端口扫描,发现开放了SMTP端口,也开放了8081端口,使用浏览器访问后发现是一个Ewomail邮箱管理后台
4、Ewomail软件存在默认的口令,红队的基础设施一般是即用即弃的,可能会疏于管理,没有修改默认口令,于是蓝队使用默认口令登陆了邮箱管理后台,获取了邮箱服务器的控制权。
- 红队用BurpSuite渗透被RCE反制
1、红队找到了一个站点,发现“属于”目标单位的管理后台(是蓝队的蜜罐)
2、红队挂上BurpSuite代理开始点击蜜罐站点的各种按钮
3、BurpSuite默认开启了JavaScript分析引擎扫描蜜罐站点的接口,但红队使用的BurpSuite不常更新,使用的是低版本的内置chromium,蓝队的蜜罐站点上的POC触发chromium的漏洞,成功RCE反制红队的攻击机
- 红队在公司远程攻击被溯源
1、红队在公司使用公司的宽带网络出口远程实施某攻防演练(IP未报备)
2、蓝队在边界安全设备上抓到了红队的攻击来源IP,通过IP数据查到IP所在的大厦(公司固定宽带定位精准度是很高的)
3、通过互联网搜索,这座大厦只有一家安全公司
4、蓝队让甲方联系该公司的销售人员,谎称要了解技术能力,套出正在进行此攻防演练的红队人员信息,溯源成功。
- MySQL蜜罐读取微信号
MySQL蜜罐正是利用MySQL中的load data local infile函数实现客户端任意文件读取,如果想要实现读取微信号,则可以先读取C:\Windows\PFRO.log文件,在这个文件中寻获客户端的用户名,再读取C:\Users\username\Documents\WeChat Files\All Users\config\config.data文件,在这个文件中寻获攻击者的微信号。
针对这种MySQL蜜罐,对抗的方式还是采用专机专用的策略,使用独立的虚拟机来进行攻击,且不在这台虚拟机上保存任何与个人相关的文件。
- 内网全局代理泄露QQ号/邮箱地址
我们以最常用的反向代理为例,通常是在外网或者内网点位上运行FRP或者类似的工具,将隧道映射至一台公网VPS上,红队连接这台公网VPS,即可将本机流量走向目标内网,实现内网应用的访问,但有部份经验尚浅的红队人员,可能会直接开启全局代理的功能,将攻击机全部流量走向内网,而攻击机上登陆着自己的公司邮箱或者QQ。
在这种情况下,邮箱应用在同步邮件时所流经的未经加密IMAP/POP3报文就会被目标内网的全流量设备所捕获,在报文中可以找到攻击者的邮箱地址和密码
如果有登陆QQ,那么QQ所使用的OICQ报文也会泄露红队的QQ号,而被蓝队溯源
标签:总结,浏览器,蜜罐,IP,蓝队,红队,溯源 From: https://www.cnblogs.com/xiaoxin07/p/18401573