这是我们第二次参加大型攻防真人实战。

上一次,我们在不到一个月的准备时间里,匆忙应战,最终实现了内部网络“零失分”。作为一线负责人,全面负责组织、管理和技术工作,跟打了鸡血似的战斗了两个月(可以参见我在金融群的分享)。但因为加分较少,最终排名并不理想。演练结束的时候,我发了一条朋友圈,内心OS是疲惫大于激动。

这一次,我们作为证券行业唯一“二次出征”的队伍,领导层对排名有了新要求。于是,我决定挑战“加分项”,希望能有所突破。

在此之前,笔者参加过众多的攻防演练交流活动,但很少见到人分享“溯源反制加分”这一主题。往往是厂商在介绍产品、服务时提到,谁用了我家某某产品获得了多少加分。但站在甲方角度,除了产品,还要考虑内部组织、系统部署、加分规则、报告编写等等工作。

总之,目前缺少对“溯源反制”系统化梳理的文章。本文是笔者对这段工作经历的小结,希望能对读者有所帮助。当然,任何人都有知识盲区,本文也不例外,不足之处还请大家多多批评指正。

为了完整还原此次经历,本文将按四个部分展开:

  • 战前准备

  • 战中对抗

  • 战后反思

  • 总结

Part1 战前准备

在介绍准备工作之前,我们先来看两个2019年的案例。

1.1 案例1>QQ群社工事件

第一个是社工案例。

如图所示,攻击流程如下:

1、攻击者在官网找到了技术支持QQ群号,在加群申请里面写上了“xx证券”,顺利通过管理员认证。

2、攻击者提前搜集到了某离职员工A的个人信息,包括姓名、职位等,进入到QQ群之后,伪装成员工A,潜伏了下来。

3、2天之后,攻击者在群里发了一则消息 -- “关于xx网络安全整改事项说明”,并附上了一个链接。

4、30s 后被管理员发现,立即T出了群聊。

5、随后,我方重新添加其为好友,通过反社工,确定了攻击队员的身份。

6、溯源这边,将链接里面的执行文件通过沙箱分析了行为,确定恶意,根据IP进行了攻击队员定位。

7、我方提交报告。

按理说,都抓到人了,这报告应该能加很多分吧?其实不然,才二百分。问题出在哪儿呢?

1.2 案例2>钓鱼邮件

接着来看第二个案例 -- 钓鱼邮件

攻击流程如下:

1、某员工B收到了名为董事长A的邮件,内容是要求建立QQ群,且不能自行拉人。一看就是典型的诈骗邮件,估计和演习无关。

2、趁着风平浪静,好奇的分析了下发件人,属于某地政府机构。看来多半是邮箱被盗。这种被盗,有可能是钓鱼,也有可能是弱口令。

3、考虑到小的政府机构一般没有专职安全人员,是弱口令的概率更大。于是找到该政府机构办公室座机号,尝试登录。发现居然进去了,OMG!

4、在邮件系统里面找到了真实发件人IP,发现来自越南,无法继续进行溯源,遂中止。

5、提交报告。同时电话联系对方单位,告知邮箱被盗,请尽快修改密码。听对方口气,估计觉得我才是骗子。

这份报告和演习无关,也没抓到人,所以没抱得分希望,想不到最后也给了二十五分,很意外。

1.3 2019年的困惑

后来和银行的大佬们交流,发现大家都是一千两千的上分,动不动还加满了分,非常困惑,到底咋做到的呢?

从大佬们的只言片语,以及厂家的交流中,大概知道了两点:

1、要部署蜜罐;

2、要成立专门的溯源反制小组。

1.4 组织结构调整

想来也是可怜,我们当时只有防守能力,压根没想着要溯源反制,所以组织结构长这样:(括号内数字是人数)

可以看到,大量人力都在监控上。当时没预算没人,只能借助 PoC 的形式,NTA部署了4套,内网蜜罐部署了3套,通过这种方式借了7个人。分析组有 2 个人也是借的,更别谈拉人做溯源反制了。

痛定思痛,今年先把人给凑齐了。(跟上图比,数字变化了,毕竟准备更为充分)

加上笔者,一共3个人专职溯源反制。

紧接着问题来了,3个人怎么分工协作呢?

演练头两天确实有点乱,3个人基本没有协作,分析组丢过来的溯源信息,大家重复进行反打,反打的结果没有记录,无法统计,导致存在重复工作,且无法交付日报。经过摸索,我们逐渐理清了思路,在Part2会进行介绍。

1.5 蜜罐部署

有了人,就要开始部署工具了。

2019年,我们把蜜罐部署在内网,结果内网”零失分“,蜜罐连个告警都没有,监控的小伙伴每天愁死了。

所以今年我先明确了一点 --互联网用重型蜜罐,内网全量部署轻型蜜罐。

就像这张图,重型蜜罐(红色)是对互联网防御手段的补足(主动防御),一定要部署在攻击者直接能接触的位置。

而内网轻型蜜罐呢?就应该是灵敏度高、一触碰就告警,用HIDS启全量轻蜜罐最合适不过(HIDS的蜜罐原理很简单,就是socket监听,有连接就告警):

(说明:这两张黄底的图片来自张福@青藤CEO的某篇媒体报道)

互联网重型蜜罐作为得分手段,在告警准的情况下,还要得分“简单粗暴”,给IP还不够,最好能抓到社交ID、攻击者主机信息,甚至反制攻击者。

OK,蜜罐也买回来了,怎么部署?诱饵是关键。

对此,我们设计了三大类诱饵:

1、已知漏洞:演习之前,我们做了众测、红蓝对抗,发现了一些安全问题。相信这些问题,可能提前被某些攻击者已经掌握,于是将计就计,我们把这类漏洞做成诱饵。例如 shiro漏洞,springboot 的 actuator 监控等。

2、热门漏洞:今年演习一波三折,第一天爆出了几十个0day,何不将计就计?利用这些漏洞来做诱饵呢,配上一些历史域名、欺骗域名服用,效果更佳。例如用 vpn.b.cn 运行某服 VPN 程序。

3、产品特性:蜜罐厂家都有各自的特色。比如 A 家有Mysql 反制蜜罐,B家有RDP反制蜜罐,这些都可以合理搭配使用。

好了,现在“万事俱备,只等开战”了。

Part2 战中对抗

本以为演习开始,会是狂风骤雨,没曾想,却是风平浪静。

头几天,NTA 设备发现了很多扫描行为,mysql 蜜罐偶尔有人登录,分析下来也都是扫描行为。一个真人攻击都没发现。

溯源反制小组很“忧伤”。

下雨天打孩(鞋)子,闲着也是闲着,于是决定将所有扫描的IP全部反打一遍。

2.1 案例3>和菠菜不期而遇

很快,我们发现一个 MySQL 蜜罐的扫描 IP 存在漏洞:

经过分析,确定:

1、IP注册地为香港特别行政区

2、存在 phpmyadmin 弱口令

3、数据库写文件拿到 webshell

4、获取系统system权限

很明显,攻击者没有对这台失陷的“肉鸡”加固。我们只是顺着“黑客”的路又走了一遍。

拿下服务器之后,要弄清楚两件事:

1、找到发起攻击的程序源头。

2、看能否进一步找到攻击者信息。

很快,在 C:\wmpub\wmiislog 目录下找到了扫描器程序。

程序主要是bat脚本,分析起来比较容易,为方便理解,我大致画出了该程序的运行流程图:

从横向和纵向两个方向来看。

纵向,是扫描器工作流:

1、攻击者运行 start.bat 文件

2、调用 检测.bat 检查肉鸡上是否已经运行该程序,存在就干掉

3、读取 gd123.txt 中的 C 段IP,调用 scan1 进行多线程扫描

4、将发现的存在 mysql 弱口令的IP、用户名和密码保存在 ALLHost.txt 文件中。

横向,是后门植入工作流,具体不展开。最后利用 sql.bat 将 tok2.exe 和 sv8.exe 植入肉鸡中。

顺着这台服务器,我们一口气拿下了 5 台攻击者服务器,如下图所示:

流程如下:

1、以 58.82.cc.ddd 这台机器为据点,找到了攻击者登录用的IP。在D盘发现了一份配置文件,从中找到了 45.192.ee.fff 这台服务器的数据库密码,发现该网站是博彩网站。

2、两台 103 的木马下载器网站也存在常规漏洞被拿下,在里面发现了 新x京 博彩建站程序。(相关程序已保留备份作为证据)

3、随后从对 tok2.exe 和 sv8.exe 进行分析,发现了 C2 域名,该服务器的tomcat 存在漏洞,也被拿下。

4、C2 上运行了木马的客户端,发现有600+终端在线。

整个程序和逻辑基本分析清楚了,接下来怎么溯源到攻击者真实身份呢?

突破口就在这个 C2 域名 -- ref.attacker.com (已做模糊化处理,非真实域名)。

通过微步在线情报社区(https://x.threatbook.cn/,免费)查询,得到该域名的历史解析IP。对第一个IP aaa.bbb.ccc.ddd 查找其历史解析域名。域名中最后一条 qq177xxxx 看起来可能是攻击者的QQ号码。但是,这几个域名之间是否有关联,是否属于同一个人?现在没法确认。

巧合的是,在搜索引擎中找到一份19年的在线病毒分析报告,从中发现了 ref.attacker.com 曾经解析到了 119.xxx.xxx.xxx,查找 119 这个IP的历史解析域名,有了新的收获。

仔细观察上图中两个红框的部分,发现以下4个域名是同时出现IP解析变动的:

  • aaf.attacker.com

  • bref.attacker.com

  • bodyres.attacker.net

  • qq1779xxxx.f3322.org

于是我们可以合理的得出以下结论:

  1. 两个IP原先有正常业务:victim.cn和 victim2.cn

  2. 最晚在2020年3月,黑客入侵了119.xxx.xxx.xxx (victim2.cn),将域名3、4、5、6指向了该服务器,直到 2020-06-18日。

  3. 预计在2020年9月,黑客入侵了211.xxx.xxx.xxx(victim.cn), 将域名3、4、5、6指向了该服务器,目前仍然有效。

  4. 域名qq177xxxxx.attakcer.org泄露了QQ号码 177xxxxxx。

  5. 利用QQ号码溯源到了身份证、手机号信息。

最终,利用该QQ号码,锁定了攻击者的真实身份,并向公安机关报案。

溯源花了2天,再用1天整理报告,按照加分规则,这种不算攻击队的行为,能加多少分,真不好说。

几天之后,报告审核完毕,加了500分。

当时就想,这加分也太难了吧,那些动不动2000多分的报告,得有多牛B!

2.2 案例4>谜一样的得分

就在我们觉得加分难,难于上青天的时候,另外一份报告却给了我们一丝希望。

这份报告的内容很简单:

过程如下:

1、从NTA设备发现了一个扫描IP

2、whois查询IP信息,找到注册人邮箱

3、利用邮箱找到了当当网账号和支付宝账号

4、提交报告

可以说,这是一份常规到不能再常规,普通到不能再普通的报告,但是!它,加分了,加了200。

与此同时,类似的报告我们提交了5-6份,其他全部驳回,只有这一份加了分,可以对比下这两段评语:

1、红蓝对抗无关。对于红蓝对抗无关的追踪溯源完整还原攻击链条,溯源到xxxxx,根据程度阶梯给分。本次溯源到疑似攻击者的虚拟身份,给XXX分

2、发现的攻击IP是非有效IP。入侵是得分的前提,对扫描探测(进行信息探测踩点,并未攻击成功)的追踪溯源不得分。请明确是否入侵成功,并提供入侵成功证据。

建议读者把上面两段评语再细读一遍。

发现了什么没有?对,裁判尺度不一致。

所以啊,加分这事儿,有时候是个“玄学”。不过摆正心态,咱们重在对抗,能找到对抗的乐趣,比“加分”更重要。

2.3 案例5>利用蜜罐设备指纹捕获攻击者

蜜罐部署之后,本以为攻击者会“犹如过江之鲫”,纷纷落入我方陷阱之中。可是5天过去了,几乎没有收获……

对抗进行到第二周的时候,听闻金融单位表现不错,开始进入到大的攻击池,将面临更多攻击队的攻击。

果不其然,某一天开始,突然发现蜜罐捕获到社交ID的攻击者数量,从每天1-2 个上升到了5-6个,量上来了,“自我防护意识”不强的攻击者也就来了。

下图是蜜罐捕获到的某攻击者设备指纹信息

在蜜罐的页面,并没有捕获到攻击者社交ID,但是识别为真人攻击。于是将该设备指纹ID提交给了蜜罐厂商,厂家在自己的“蜜罐指纹情报库”检索后,很快给出了反馈:

演习第六天,该设备指纹曾在某部委的蜜罐中被捕获到,且留下了社交ID

那所谓的“蜜罐指纹情报库”是什么呢?原理大致如下图所示:

基本流程说明:

1、我方发现了攻击者的设备指纹ID

2、某参演单位1也部署了该厂家蜜罐,捕获到某攻击者设备指纹ID和百度ID

3、某参演单位2也部署了该厂家蜜罐,捕获到某攻击者设备指纹ID和新浪ID

4、某参演单位N也部署了该厂家蜜罐,捕获到某攻击者设备指纹ID和优酷ID

5、厂家经过查询比对,将相关社交ID反馈给我方

这下就简单了,利用该社交ID,我们很快溯源到了真实攻击者,如图所示:

大致流程:

1、利用百度ID,在搜索引擎查找,发现了同名的CSDN ID。

2、利用CSDN老用户的一个漏洞,爆破了该ID的手机号。

3、利用手机号找到了攻击者的脉脉账号

4、获得攻击者完整的工作信息、教育经历、个人头像等内容。

5、提交报告。

很不幸,该报告第一次提交被驳回了,要求证明“攻击成功”。

所以这里用到了一点trick,对蜜罐页面进行改造,具体不展开,最后利用数据包重放证明攻击者“攻击成功",第二次提交的报告通过,加1500分。

2.4 案例6>别人家的钓鱼邮件

红蓝对抗期间,我们也一直在和其他参演单位保持沟通。听说某证券公司一份报告拿了2000+,很崇拜,赶紧要来脱敏的得分报告进行学习。(说实话,脱敏挺难的,即便是做了部分信息隐藏,稍微花点功夫,还是能完整还原)

根据得分报告,笔者绘制了整个分析过程:

1、攻击者向参演单位员工发送了100+钓鱼邮件,标题为《关于申报xx杰出员工的通知》。

2、通过分析附件,找到了木马的回连地址:111.222.333.xx。对该IP用nmap扫描端口,在3389端口发现了指纹:XXXX_VM_XX 字样(敏感词打码,请脑补),基本确定属于攻击队。

3、从邮件头找到真实发件人信息:aaa@bbb.cn

4、bbb.cn 的域名持有人是CC,联系人邮箱是 dddd@qq.com

5、利用邮箱ID dddd找到了CSDN博客,确认其具备攻击能力。

6、利用邮箱在 天眼查/企查查 找到公司注册人信息,其中包括手机号码。

7、利用这些信息,进一步找到脉脉、linked in、社交和其他信息。

8、提交报告。

在复盘整个溯源的过程中,笔者发现该IP的返回信息和原报告中截图已经不一样,没有找到 XXXX_VM_XX 字样:

这样就放弃了吗?才不是。看看这些 filter 策略、OS信息、traceroute信息也是线索啊,这不,我们就发现了一个扫描IP,返回的 filter 信息一模一样:

基本也能确定这个IP来自真实攻击者。可惜的是,这哥们并没有对我们做进一步的攻击,想继续溯源也没机会了。

这个分析过程并不复杂,但前提是要收到了这封钓鱼邮件。

于是在演习的倒数第二天,我们在集团内开始疯狂的翻看邮件,通过SIEM的策略来加快查找:

1、同一个发件人,给超过10个人发邮件的,全部拉出来看一遍。(后来策略调整到5)

2、同一个标题的邮件,日志数超过10条的,告警。

找了一圈,没发现,然后扩大范围:

1、所有对外的公用邮箱(在官网、或者公开渠道有公布的),去收件人现场进行逐封排查。

2、所有带附件的邮件,虽然此前已经在沙箱运行过了,但考虑到免杀,再人工排查一遍。

花了一整天,一无所获……连个鱼都没人钓,太不给面子了。

2.5 案例7>别人家的水坑案例

又一日,听到某单位的报告拿了3000+,一番软磨硬泡,总算拿到了脱敏版本。焚香沐浴,喝了一口祖仪牌奶茶,赶紧学习。

3000+就是3000+,果然不一样。看完大开眼界。读者快坐好,咱们一起开车了。

事情的起因是这样的,该单位监控发现,某一台服务器 A 突然在对其他服务进行扫描,显然不是A该干的事儿,看来A失陷了。

经过排查,推测是A服务器存在弱口令,被爆破之后,攻击者利用后台的计划任务写入了免杀webshell(syst.jsp),和魔改的冰蝎(monitor.jsp)。流程如下:

快速止血之后,防守方开展了两项工作:

1、溯源

2、反制

先看溯源:

1、先通过访问该服务器特定地址这一特征,筛选出了一批可疑IP,姑且叫做IP池吧

2、将IP池在厂商的情报中心进行匹配,发现有2个IP存在可疑标签

3、其中一个IP上曾经捕获到过 C2 样本,通过二进制分析,找到了编译时的物理路径,里面泄露了攻击者的用户名。

4、利用该用户名溯源到攻击者信息。

(笔者认位该信息不一定准确,因为这个IP上的C2样本不一定属于该攻击者,从反制的结果也说明了这一点)

准不准没关系,反制抓到人了肯定准:

反制过程如下:

1、在攻击者访问记录中发现,该攻击者频繁在请求 syst.jsp 文件。

2、在该webshell中植入 probe.js[1] 探针,对攻击对⼿进⾏反向⽔坑,在攻击者再次访问webshell时获取其OS和浏览器信息。

(获取到两个操作系统信息,可能host是win10,跑了win7的虚拟机)

3、增加Canvas探针,获取CPU、主板等硬件信息,如果有返回,表明是win10,否则是win7。成功返回,说明是win10。

原报告终并未给出代码,但我估计和这个类似[2],也希望有大佬能给出参考代码。

    <html>
    <body><canvasid="glcanvas"width="0"height="0"></canvas><script>var performance =window.performance ||window.mozPerformance ||window.msPerformance ||window.webkitPerformance || {};
    document.write("<br>");for (var valuein performance) {document.write(value +"<br>"); }
    document.write("<br><br><br>");
    var canvas; canvas =document.getElementById("glcanvas");var gl = canvas.getContext("experimental-webgl");
    document.write(gl.getParameter(gl.RENDERER) +"<br>");document.write(gl.getParameter(gl.VENDOR) +"<br>");document.write(getUnmaskedInfo(gl).vendor +"<br>");document.write(getUnmaskedInfo(gl).renderer +"<br>");
    functiongetUnmaskedInfo(gl) {var unMaskedInfo = {renderer:"",vendor:"" };
    var dbgRenderInfo = gl.getExtension("WEBGL_debug_renderer_info");if (dbgRenderInfo !=null) { unMaskedInfo.renderer = gl.getParameter(dbgRenderInfo.UNMASKED_RENDERER_WEBGL); unMaskedInfo.vendor = gl.getParameter(dbgRenderInfo.UNMASKED_VENDOR_WEBGL); }
    return unMaskedInfo; }</script></body>

    4、通过2和3,防守方确定了攻击者环境为 win10+chrome 47。接着,掏出珍藏已久的 chrome UAF 0day两枚,先不急,在本地做了一个复现:

    (假装能看懂,堆上红色内存区域为可控制字节)

    5、验证通过后,防守方利用浏览器UAF作为exploit,将免杀过的CobaltStrike木马作为payload投放到了攻击者机器,顺利拿到权限:

    6、利用CS的目录管理功能,在host机器的微信安装目录找到了攻击者微信ID。并成功添加。

    7、提交报告

    掏出了两枚Chrome UAF 0Day,学不来学不来。也不知道是哪家公司做的协防,麻烦下次介绍给我们。

    Part3 战后总结

    3.1 2019年案例反思

    再回过头来看2019年的两个案例,是不是发现存在很多问题?

    随便列举一些:

    1、没有对附件文件进行逆向分析,看是调试信息中包含了物理路径信息。

    2、没有利用社工库进一步挖掘到攻击者的真实身份信息

    3、报告中缺少对软件行为的细致分析。

    4、钓鱼邮件完全可以将计就计,建个QQ群骗出对方的木马文件、钓鱼链接。从而进一步进行溯源分析。

    3.2 红蓝对抗中溯源反制的局限性

    前面虽然讲了7个案例,但是,必须承认一点

    红蓝对抗期间的溯源反制存在其局限性

    因为时间、演练规则、攻击人员水平等等原因,红蓝对抗期间的溯源反制和真实的APT攻击相去甚远。例如,现在常见的 C2 隐藏技术[3],在CDN和应用上进行双重判断,可以实现真实域名的完美隐藏,对溯源造成极大的困难。但在前面的案例中均未涉及。

    3.3 报告标题优化

    由于大部分溯源反制工作都依赖厂商人员开展,而厂商的小伙伴普遍“不爱写报告”,在情况介绍、问题分析、反制过程描述等方面,可能过于简略。所以在报告的编制上,还需要甲方自己把关。

    作为“命题作文”,报告标题的重要性毋庸置疑。

    记得前不久有一篇很火的微信文章,原作者标题是《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》28个字,不带标点,连断句都有困难。后来有公众号转发的时候,标题改成了《一部手机失窃引发的惊心动魄的战争》,引起了一阵热议。再后来,我发现单位领导转了一篇文章,叫做《手机一丢,倾家荡产》,尝试对比一下,哪个更会让评委有兴趣读下去呢?

    • 一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链

    • 一部手机失窃引发的惊心动魄的战争

    • 手机一丢,倾家荡产

    Part2的案例5,笔者在食堂吃饭的时候,脑海里面闪过了好几个标题,最终改为《初探第三代蜜罐,xxx精准溯源攻击者身份》,这里面有几层用意:

    1、突出第三代,说明这个技术新。

    2、精准溯源,说明新技术在抓人上效率高。

    3、攻击者身份,说明这份报告抓到了攻击队,必须给分必须审。

    而Part2的案例3,笔者取名为《警民联动、共建美好网络空间-- xxx联合xx网监在国庆前夕铲除一伙网络博彩组织》,里面也有几层意思:

    1、警民联动:突出是合成作战,这也是考点。

    2、国庆前夕:为重保维稳做出贡献,是演练的初衷。

    3、网络博彩:重点打击对象。

    4、组织:说明意义重大。

    不用主观认位标题都是假大空,咱们要内外兼修,事情要做的扎实,报告也要写的好看。

    Part4 总结

    行文至此,我们对溯源反制工作做一个总结。

    首先是溯源反制的意义。说到溯源反制,大家第一反应估计是,“这不是公安的事情吗?”。企业既没有攻击者的个人信息,又不能实施抓捕,做这些事情收益何在?通过与网监部门打交道,以及红蓝对抗的经历,笔者总结出以下几点价值:

    1、为警民联动奠定基础。站在属地网警的角度,每年需要面对大量的网络犯罪案件,在侦破率的考核指标下,如果企业能提供更全面、更深入的信息,将更加有利于案件的侦破。反过来讲,有溯源反制能力的企业,他们也更喜欢合作,倾斜更多资源。

    2、对攻击者造成威慑。举个例子,某快递企业如果联合警方抓获了非法窃取数据的攻击团伙,在媒体进行了大肆报道。作为攻击者,在对该企业进行攻击之前,肯定会三思而后行,尤其是一些“脚本小子”,可能就主动放弃了。

    3、提升安全实战化防护水平。所谓“攻防相长”,防守者如果想比攻击者更懂攻击,就需要不断提升实战化的攻防能力,对攻击者的隐藏手段、常见漏洞的利用方式、主动防御工具部署进行深入研究,不断迭代更新知识库。以事件为契机,以成就感为驱动,鞭策团队不断前进。

    其次是溯源反制组织架构。人力投入由目标决定,你是要拿名次,还是只想随便玩玩?不同的目标,做法不一样。如果想完整体会一次,建议配置三个人一人负责整体组织,报告编制,以及部分反打工作;一人负责web方向,能进行常规反打、获取社工库信息;一人负责二进制和主机分析,熟悉应急响应套路三人之间还要互相补位,比如寻找上传点分析登录行为、搭建CS服务端等等。在把握好度的基础上,如果发现了高价值线索,可以让厂家临时调拨更高级资源予以协助。例如需要高级木马分析、0Day投放等等。

    再者是建立完备的协作机制。对外:1)和公安部门保持顺畅的沟通渠道,由价值线索尽快联动;2)依托厂家的情报信息,包括威胁情报、蜜罐情报等。对内:和分析组、夜班做好衔接,确保所有攻击线索都完成反打。利用共享文档进行信息记录。

    最后是常用技术手段。本质上和红队没有太大区别,是对“攻击者"发起攻击,所以工具大体类似:

    • 常见漏洞:弱口令、DB写webshell、phpstudy后门、Tomcat RCE、Shiro反序列化等。

    • 常见工具:CobaltStrike、冰蝎、哥斯拉、菜刀、代理等等。对抗过程中我们还发现了一款SRC漏洞自动挖掘工具 Bayonet ,推荐给由需要的朋友。

    最后的最后,作为一场比赛,希望大家辩证的看待加分与排名,保持平常心。毕竟加分的不确定性因素太多,是否有人攻击你?攻击者水平如何?裁判尺度大小?等等,都不是咱们能决定的。所以,享受过程就好

    参考:

    [1]xssprobe,https://github.com/evilcos/xssprobe/blob/master/probe.js

    [2]Get CPU/GPU/memory information. https://stackoverflow.com/questions/15464896/get-cpu-gpu-memory-information

    [3]<红队基础建设:隐藏你的C2 server>https://xz.aliyun.com/t/4509

    注:本文根据笔者在第二届世界信息安全大会(INSEC WORLD)CSO论坛分享的议题整理。

    对于本文内容有问题的读者,欢迎在评论区留言,或者加笔者微信交流:

    声明:本文来自SecOps急行军,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。