作为一名合格的攻击者,如何保护自己以免被溯源
通过公安部的护网行动,将大部分中大型企业的网络安全防御能力提升了很多,因此防守方的很多时间都花费在溯源反制上,方法也是多种多种,思路层出不穷。 因此对担任攻击方的红队/安全工程师/渗透测试工程师来说,要求的能力就越来越过,最核心的能力就是底线思维,不被找到… ,因此本文将从反溯源的角度思考一下,怎样做才能尽可能保护自己,不会找到,主要包括意识、基础环境、工具开发
意识意识一定是第一位的,在渗透/演练的过程中一定要知道对方可能会进行反渗透攻击,在进行每一步操作前都应该思考,是否是蜜罐,是否是陷阱,如果被套住怎么办? 渗透的保密性,不要在公开的交流群,讨论目标相关的场景,防止被威胁情报搜集到
基础环境测试中需要两个核心的工具,一个是自己的个人pc,一个是远端的回连公网IP地址
个人PC 建议使用一个干净的Windows虚拟机 虚拟机软件用最新版,windows系统补丁尽可能打全了 不要登录个人的IM如微信、QQ、微博等账号 不要保留个人的相关的文件,如简历等 要装office,如看对方发来的文档等 采集到的信息,记录到虚拟机外部,可定期恢复虚拟机快照,防止PC被攻陷后长期被控制 此方法并不能保证一定不被溯源,只是说大大提高了被溯源的难度
VPS IP地址 尽可能新申请一台VPS作为回连地址,这样比较干净的IP,可以躲过各种监控设备的防御机制 不要绑定备案的域名,域名使用绝对是大忌,如果非要使用可以找网上的共享域名,但可能很容易进入安全监控的黑名单中,容易暴露 如果可以尽可能使用无固定公网IP的回连方案,具体可参考NKN链接方案 ,相信不久的将来类似的工具会越来越多
工具工具源代码/编译过程中不要留下个人基本信息,防止被溯源 尽可能使用自研的工具,如果是开源的工具尽可能修改相关代码 代理服务的使用:通过自身pc,跳到拨号VPS上,连接目标,目标回连是通过NKN,在到拨号VPS上,定期在拨号,更换IP地址,防止自身出口被封禁
针对常见的攻防演练溯源进行针对性的反溯源,以达到在攻防演练中获胜,希望对大家有所帮助
参考文献未知防 嫣知攻,要想做好反溯源,必须知道防御体系,可以看看常见的防御思路,应急思路 GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范 GB/T 28827.3-2012 信息技术服务 运行维护 第3部分:应急响应规范 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 国家网络安全事件应急预案 奇安信 2020年网络安全应急响应分析报告 2021 上海市网络安全事件应急预案 2019
