2021年护网行动演练中的一些攻击溯源与反制

一、护网行动的蜜罐反制

(1)商用型

近年来越来越多的厂商选择部署商用蜜罐来诱导攻击者,衡量蜜罐好坏的关键因素为诱捕能力,即为诱惑捕捉能力。利用蜜罐可以做到:获取攻击者的P(真实IP,代理IP等)、ID、操作系统、设备信息等,也可通过诱饵进行钓鱼反制。蜜罐常见形式可以直观的分为web页面型,命令行型,windows型等。

web页面例如weblogic、phpmyadmin、crm等,攻击者可进行弱口令登陆,暴力破解,历史漏洞,后台shell等,蜜罐页面中会插入溯源jsonp,例如百度、163、腾讯、新浪的对攻击者的ID进行溯源蓝队也可以根据这个思路自己收集一些jsonp用于自制蜜罐中。web型蜜罐的识别方法为查看数据包,如果数据包中出现了很多的不属于该网站的js信息,很大程度上为蜜罐。另外溯源js经常会在页面上产生一个细小的像素点,通过像素点也可以来判断是否踩到了蜜罐。


命令行的例如redis(最常见也是攻击者最容易踩到的)、ssh等,此类获取到的信息偏向于IP,对于ID有一定难度。windows蜜罐例如win7,xp等,其中包含一些历史漏洞,可以对攻击者进行反制。

现在的蜜罐除了上述的基本功能外,都有一些自己的花样,例如诱饵(邮件诱饵,github等),反制诱饵等。这里的反制诱可以理解为红队的钓鱼文件,例如在某网站下载链接嵌入一个反制exe,当攻击者点开始便可获得攻击者电脑权限,利用查看文件等操作溯源,从而达到反制的目的。


(2)开源型

比较出名的开源蜜罐有beef、hfish等,beef自带功能强大,可以部署出一套完整的蜜网来进行迷惑攻击者。


钓鱼邮件溯源,红队有时会采用钓鱼邮件的方式来进行攻击,一些安全意识薄弱的员工便会打开该邮件从而上钩,如果钓到了运维,并且运维电脑上存有未加密的公司服务器信息等,可以说差不多是沦陷。攻击者在伪造钓鱼邮件时,有时出于疏忽,会泄露自己的邮件服务器地址,从而被溯源,下边来看一个例子。红队在发送邮件诱饵时,没有进行伪造,导致自己的邮件服务器泄露,从而被蓝队溯源到真人。


三、IP进行溯源


在对入侵IP进行分类时发现一个IP,应该为攻击者的代理断掉了,通过微步等工具进行信息查询发现其备案域名,域名指向某公司,接下来对域名进行whois,根据邮箱手机号进行社工库查询,从而获取攻击者信息。


四、红队遗留工具进行溯源

案例1、某单位服务器沦陷,登上服务器对其进行溯源,在e盘找到了红队人员自己编写的工具,上边留有攻击者qq,在社工库中进行查询从而溯源获取红队真实身份信息,案例2、对攻击者上传的工具进行分析,物理路径中包含了文件的名称。


在github进行搜索找到该项目和攻击者ID,


在知乎,微博等平台对该用户进行搜索综合,或者利用支付宝微信转账的方式获取攻击者真实信息。

分享: