其他分享
首页 > 其他分享> > 红队笔记之反溯源技术在攻防过程中的应用

红队笔记之反溯源技术在攻防过程中的应用

作者:互联网

反溯源是攻防过程中的重要一环,其主要目的为防止防守方快速找出屏幕后,正在抠脚的你。渗透过程中有没有"事了拂衣去"的洒脱,很大程度在于过程中反溯源技术的应用程度。下文为笔者对于溯源技术总结。

主机加固术

理想条件可以准备一个虚拟机来专门进行攻击操作。虚拟机中只装渗透需要工具,并设置快照,每次攻击前重置攻击机。其他通用加固手段如下;

1、攻击机中不要保存任何可以用来分析个人或公司身份的特征的文件;

2、打全补丁,只对外开放必要端口,危险服务或软件,并安装有效杀毒软件;

3、不连接特征明显的热点,如以公司命名的wifi,个人名字的热点;

4、电脑用户名不要使用可能识别特征的用户名;

4、不登录任何社交软件与社交平台;

5、保持浏览器中不会储存任何个人相关信息;

6、停用mic与摄像头等设备;

特征隐藏术

工具特征隐藏

1、扫描器、Payload以及其他工具要去除特征,不要带有任何id,git,博客连接等;

2、DNSLOG、XSS等平台不要使用网上在线版本,在线版本特征过于明现容易被流量设备识别;

3、尽量减少文件的落地,落地的文件需要注意隐藏,

4、植⼊Webshell⼀句话脚本时,尽量选择⾸⻚index⾥被包含的⽂件;

5、拿到shell后,开启命令⽆痕模式;

交互特征隐藏

1、渗透过程中任何需要交互认证的地⽅,都不要⽤个⼈、公司有关的名词 ;

2、社⼯过程中不要使用自己的真实社交账号,有条件的情况最好每次注册或购买新的账号;

3、漏扫自动打点时,尽量使用动态随机UA头,避免被浏览设备识别并拦截 ;

4、域名或服务器在创建时不要使用自己名字;

流量特征隐藏

1、攻击机的出口IP,不要使⽤个⼈、公司IP, 尽量使用物联⽹卡、或代理池IP ;

2、C2或其他工具的流量特征需要进行对应的去除或者修改 ;

3、各种攻击资源尽量不要放在一套服务器上,最好使用短期或定时重置ip以预防危险情报标记;

4、尽量不要直接暴露c2的ip,要使用隐藏技术保障c2的安全性;

5、在服务器上开启⽂件服务,需⽤完即关,严禁开启各种⽆⽤的⾼危端⼝;

6、尽量使用加密协议传输请求

溯源反制术

蜜罐简单识别

1、网站是否存在大量请求其他域资源;

2、网站是否对于各大社交网站发送请求;

3、网站是否存在大量请求资源报错,克隆其他站时没有修改完成;

4、存在⾮常多漏洞的站点,拿到shell后处于docker等虚拟环境,开放⼤量⾼危端⼝的;

5、获取到PC机器后,PC机器⽤户⻓时间划⽔摸⻥;

6、从目标获取的文件需要在沙箱或断网虚拟机运行,避免被反制;

也可以使用蜜罐识别插件进行识别如:anti-honeypot

溯源反制思路与手段

攻防的过程本为一体两面,上文介绍了反溯源的基本思路,溯源的反制其实也是溯源技术的一种另类应用,所谓溯源反制大体可以分为两类;

1、通过伪造特征,导致溯源到其他人身上,达到祸水东引的效果;

2、通过追查溯源方的特性,反向溯源出对方;

为了您和您家人的幸福,请不要利用文中技术在用户未授权情况下开展渗透测试!!!

《中华人民共和国刑法》

第二百八十五条
违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚

标签:不要,特征,之反,反制,使用,红队,隐藏,溯源
来源: https://blog.csdn.net/CoreNote/article/details/122328787