首页 文章 巅峰极客 红蓝对抗-防守溯源的基本思路

红蓝对抗-防守溯源的基本思路

0收藏

0点赞

浏览量:209

2021-10-08

举报

1. 概述

『红蓝对抗』Cobalt Strike 特征隐藏与流量混淆


攻击源捕获。
溯源信息
输出攻击者画像
攻击源的捕获是为了获得攻击者的ip、黑客id、手机号、邮箱等信息。
溯源信息是为了定位黑客到具体的人。
输出攻击者画像是为了给这个人一个格式化的档案方便下次查找与信息存储。
2. 攻击源捕获
攻击源捕获主要分为以下几个方法:
安全设备报警,如EDR告警等。
日志分析,获取攻击者指纹信息与攻击方式。
服务器资源异常,如服务器上多了webshell文件或者计划任务。
蜜罐告警,获取攻击者指纹信息。
邮件钓鱼,其中一般有木马文件,通过对木马文件逆向分析获取攻击者信息。
如果直接得到攻击者ip,那么直接到溯源信息阶段,如果无法得到攻击者ip则选择上机排查。
上机排查的时候如果是linux电脑,则查看history信息还有文件修改信息,这就涉及到了linux应急响应的知识。
如果是windows电脑,就查看登录日志4625,通过logontype的类型来分辨攻击者如何登陆的机器并回推攻击方法。
logontype对照表如下:


local WINDOWS_RDP_INTERACTIVE = “2”local WINDOWS_RDP_UNLOCK = “7”local WINDOWS_RDP_REMOTEINTERACTIVE = “10”local WINDOWS_SMB_NETWORK = “3”
得到攻击者基础信息的方式:
看恶意邮件的邮件头获取恶意域名
逆向分析恶意木马获取恶意ip或者域名
查看机器回连ip获取恶意ip地址
查看日志获取恶意ip
查看蜜罐或其他安全设备告警信息获取恶意ip
如果黑客使用近源渗透如直接用手机号打电话,则可直接得到手机号
查看webshell的编写方式有可能直接获取黑客id,因为不少黑客喜欢将自己的id设为webshell链接密码
3. 溯源信息阶段
获得攻击者真实ip或者域名之后我们进行溯源信息阶段。
第一步:针对IP或者域名通过公网已有的开放信息进行查询
https://x.threatbook.cn/
https://ti.qianxin.com/
https://ti.360.cn/
https://www.reg007.com/ #通过手机号或者邮箱获取用户注册过的网站
https://www.venuseye.com.cn/
https://community.riskiq.com/
第二步:定位目标
利用精确ip定位进行目标的位置定位。
第三步:收集互联网侧的用户ID
收集手机号与互联网上的各种ID信息(利用google hacking)。
通过黑客ID进行信息收集:
(1) 百度信息收集:“id” (双引号为英文)
(2) 谷歌信息收集
(3) src信息收集(各大src排行榜)
(4) 微博搜索(如果发现有微博记录,可使用tg查询weibo泄露数据)
(5) 微信ID收集:微信进行ID搜索
(6) 如果获得手机号(可直接搜索支付宝、社交账户等)
注意:获取手机号如果自己查到的信息不多,直接上报工作群(利用共享渠道对其进行二次社工)
(7) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台,进行信息收集
(8) CSDN ID,利用CSDN老用户的一个漏洞,爆破ID手机号
第四步:通过蜜罐设备指纹进行识别
前提是我方部署了蜜罐并且攻击者踩了蜜罐且获取到攻击者的设备指纹。
基本流程说明:
1、我方发现了攻击者的设备指纹ID
2、某参演单位1也部署了该厂家蜜罐,捕获到某攻击者设备指纹ID和百度ID
3、某参演单位2也部署了该厂家蜜罐,捕获到某攻击者设备指纹ID和新浪ID
4、某参演单位N也部署了该厂家蜜罐,捕获到某攻击者设备指纹ID和优酷ID
5、厂家经过查询比对,将相关社交ID反馈给我方
第五步:进入跳板机进行信息收集
如果有能力控制了红队的跳板机,则可进入跳板机进行信息收集,查看命令执行的历史记录与日志等。
如果主机桌面没有敏感信息,可针对下列文件进行信息收集:
last:查看登录成功日志cat ~/.bash_history :查看操作指令
ps -aux #查看进程
cat /etc/passwd
(查看是否有类似ID的用户
重点关注 uid 为500以上的登录用户
nologin为不可登录)
4. 输出攻击者画像与攻击路径
攻击者画像模版如下:
姓名/ID:
攻击IP:
地理位置:
QQ:
IP地址所属公司:
是否挂代理:
IP地址关联域名:
邮箱:
手机号:
微信/微博/src/id证明:
人物照片:
跳板机(可选):
关联攻击事件:
攻击路径模版:
攻击目的:拿到权限、窃取数据、获取利益、DDOS等
网络代理:代理IP、跳板机、C2服务器等
攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等
5. 参考文章
https://www.cnblogs.com/xiaozi/p/13817637.html
作者:shanfenglan7博客:blog.csdn.net/qq_41874930


(来源:黑白之道)

(原文链接:https://mp.weixin.qq.com/s/xfLqHhOHHkZJyQ2N2qCy2Q

发表评论

发表评论

发布者

洛奇

+关注

点击排行

钓鱼邮件-如何快速成为钓鱼达人

一、前言在大型企业边界安全做的越来越好的情况下,不管是 APT 攻击还是红蓝对抗演练,钓鱼邮件攻击使用的...

【渗透实战系列】| 1 -一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

本次渗透实战主要知识点:1.app抓包,寻找后台地址2.上传绕过,上传shell3.回shell地址的分析4.中国蚁剑工...

HTTPS - 如何抓包并破解 HTTPS 加密数据?

HTTPS 在握手过程中,密钥规格变更协议发送之后所有的数据都已经加密了,有些细节也就看不到了,如果常规的...

无线电安全攻防之GPS定位劫持

一、需要硬件设备HackRFHackRF 连接数据线外部时钟模块(TCXO 时钟模块)天线(淘宝套餐中的 700MHz-2700MH...

记一次Fastadmin后台getshell的渗透记录

1.信息搜集先来看看目标站点的各种信息后端PHP,前端使用layui,路由URL规则看起来像ThinkPHP,那自然想到...

华为防火墙实战配置教程,太全了

防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系...

ADCS系列之ESC1、ESC8复现

对原理感兴趣的可以去https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf看原文,这里只...

【干货分享】利用MSF上线断网主机的思路分享

潇湘信安 Author 3had0w潇湘信安一个不会编程、挖SRC、代码审计的安全爱好者,主要分享一些安全经验、...

查看更多>
CopyRight © 2021 All Right Reserved 网安客 版权所有 | 蜀ICP备12004148号-4

扫描二维码下载APP