攻防对抗中最核心的就是溯源和反制,将学习的相关内容进行了汇总,希望对没有接触过反制的同学所有帮助
溯源与反制一般攻击者都包括四部分:攻击者工具、公网IP、个人PC和攻击者自身,因此对攻击者的四部分进行讨论
反渗透一个好的攻击者未必是一个好的防守员 渗透过程中经常使用反向连接功能(从目标服务连接攻击者的公网IP,因为正向连接基本上会被防火墙阻断,而且有些有漏洞机器没有公网IP或者端口未直接映射到外网),因为攻击者一般都需要有一台公网IP VPS当做控制端或者代理转发机器 当发现对方使用的公网服务器IP, 则可以对该IP进行反渗透操作(其实就是渗透),使用方法如常见的渗透方法:
- 针对IP的域名反查 确认是否有多个域名信息
- 域名的备案信息查询 如果有域名,则查询备案信息,确认是否可以定位到人,有很多攻击者习惯使用自己平时的测试机器进行攻击
- IP开放服务查询 确认开放的服务,是否存在弱口令,攻击者平时进行测试,习惯性将防火墙进行关闭,导致所有服务暴露在公网
- DDoS杀手锏 大部分的攻击者使用的机器,都是国内外云厂商的VPS,基本上不会购买抗D服务,因此如果对攻击者机器进行DDoS攻击,3G就会让运营商将该Ip摘掉,使用VPS被攻击过的老铁,一定都很苦恼过,云服务商不会帮你抗,解决不了攻击者就解决使用者。当然当攻击者反应过来,还是可以修复的,只是为了帮防守人员赢得宝贵的时间
主要想办法获得客户端权限,更多的类似社工或者诱骗的方式
- 攻击者的粗心 比如攻击者使用RDP连接是,将本地文件映射到了服务器上,在服务器上直接可以操作本地文件 攻击者的真实IP地址(通过网安是可以定位到人的), 一般的代理都会将原始的IP地址加入XFF中,最后那个XFF也许就是攻击者的真实IP地址
- 攻击者攻入蜜服务 伪造mysql服务读取本地文件 比如是伪造的mysql服务,Mysql Client 任意文件读取攻击链拓展 和 伪造的MySQL Server 对应实战过程,思路优秀,方式不错 ,能够读取攻击者电脑上文件,可能非常重要,如读取IM 微信id或者QQ号码等 因此在真实的攻防实战的红队,一定不要用个人电脑进行相关操作,弄个虚拟机是必须的 在这种思路的指引下,其他的方式类似,比如伪造的java rmi 网页挂马 这个是比较古老的方法,目前浏览器相关漏洞也是比较多,如果能够知道攻击者浏览器相关版本,找到对应漏洞,进行挂马攻击,可能是最简单的拿下对方电脑的方法
- 信息收集中的密文件 针对攻击过程,针对的放置密文件或者反制程序 办公软件漏洞,比如在真实服务器上防一个运维操作手册.docx,攻击者下载回去是最新的word 0day,或者在网站的 robots.txt 防一个 disallow: /backup/ ,然后backup目录可以列目录,然后下面有个源代码安装包是个exe文件(远程木马或者是个勒索病毒) 或者是个安装手册.doc 等待攻击者运行
-
攻击者社交信息 攻击者在编译的exe木马等中留下的联系方式,比如邮箱,QQ等信息 ,攻击者webshell设置的密码特征 攻击者使用本地电脑访问目标时,如果网页中有JSONP劫持漏洞,可以定位攻击者的微博id等
-
威胁情报 通过攻击者使用的木马特征或者代码片段,定位攻击者 或者通过监控特定交流群发现可疑攻击者
攻击者想要实施完整攻击,必须使用工具,在反制中可以用到对方使用的工具进行特定的反制与定位 比如攻击者使用的webshell ,如果对方使用的浏览器进行连接,则可以在webshell中插入js 收集客户端信息,包括客户端IP地址
参考文献GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范 GB/T 28827.3-2012 信息技术服务 运行维护 第3部分:应急响应规范 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 上海市网络安全事件应急预案 2019 应急响应笔记非常优秀 溯源和反制总结
