《红队反溯源与安全线路建设-SkyMine.pdf》由会员分享,可在线阅读,更多相关《红队反溯源与安全线路建设-SkyMine.pdf(40页珍藏版)》请在三个皮匠报告上搜索。
1、红队反溯源与安全线路建设自由安全研究员伍智波(SkyMine)伍智波(SkyMine)自由安全研究员,“全栈红队”公众号主理人,某公益计划资助人KCon/HITB/FIT/CIS 演讲者,GeekPwn 获奖者,Security+/CISP-PTS/CISP/CISAW/CIIT/CDPSE 证书持有者6年安全实验室管理和红蓝对抗实战经验,连续3年国护攻击队队长,数十场高级别攻防演练攻击队队长擅长内外网渗透、钓鱼、安全开发、取证、实验室/红队/蓝军建设管理PADI名仕潜水员(全球TOP 2%)红队被溯源案例01红队常见的反溯源策略02IP反溯源及安全通讯线路建设03【案例1】红队被JSONP蜜
2、罐反制浏览器已登陆X度网盘缓存了X度账号cookie误点JSONP蜜罐,蜜罐盗用X度cookie获取X度账号ID用X度账号ID在社工库匹配真实身份信息【案例2】红队钓鱼邮服被反制红队使用Ewomail软件部署了一个自建邮服用于发送钓鱼邮件Ewomail软件存在默认口令红队邮服被蓝队反控蓝队捕获钓鱼邮件查看邮件头X-Originating-IP字段找到红队自建邮服IP地址【案例3】红队被定位公司身份红队在公司进行远程攻击使用公司宽带网络出口蓝队在安全设备抓到IP通过IP数据查到公司位置在这个位置只有1家安全公司蓝队让甲方联系该公司销售谎称了解技术能力套出正在进行某演练的红队【案例4】红队使用CS
3、4.7攻击机被蓝队反制红队在VPS上部署CS 4.7生成木马投放钓鱼蓝队抓到木马样本利用CVE-2022-39197构造上线红队CS4.7收到上线会话使用task list功能时触发EXP蓝队RCE反控红队攻击机HACKED【案例5】红队使用代理隐藏身份后仍被溯源网络代理商配合防守方提供IP实名信息和路由日志中国:网络安全法第三章第一节第二十一条、第二十八条美国:美国爱国者法案206、207、215、702条英国:刑事调查和监测法53-54、56-57、58-59条俄罗斯:俄罗斯联邦刑法典第138.1条法国:信息与自由法第L851-1条、第L852-1条、第L854-1条红队被溯源案例01红队
4、常见的反溯源策略02IP反溯源及安全通讯线路建设03浏览器反溯源:对抗JSONP蜜罐浏览器隐私模式不会使用已保存的cookieJsonp没有cookie不能正常利用使用独立的浏览器进行攻击操作,如日常上网用Firefox,攻击用Chrome*反蜜罐浏览器插件兼顾了便利性,但由于覆盖面有限,安全性不如上述措施浏览器反溯源:对抗BurpSuite反制低版本BurpSuite内置低版本的ChromiumRepeater-Render位置 1Click 触发RCEJavaScript analysis功能 0Click 触发RCE积极将BurpSuite随时更新至最新版本新版本BurpSuite会更新
5、Chromium版本ChromiumBurpSuite浏览器反溯源:浏览器数据转储红队人员电脑意外被控浏览器历史数据被转储严格遵守红队工作纪律红线使用独立虚拟机进行攻击社交媒体反溯源:MySQL蜜罐读取红队微信号红队找到一个外网/内网数据库果断Navicat连上准备拿数据分MySQL蜜罐读取C:WindowsPFRO.log寻获用户名,读取C:UsersusernameDocumentsWeChat FilesAll Usersconfigconfig.data寻获微信号*应当严格遵守红队工作纪律红线,使用独立虚拟机进行攻击社交媒体反溯源:内网渗透泄露攻击机邮箱信息红队撕开口子代理进内网但误用
6、全局代理攻击机全局流量进入目标内网流量中的IMAP/POP3报文泄露邮箱社交媒体反溯源:内网渗透泄露攻击机QQ号红队撕开口子代理进内网但误用全局代理攻击机全局流量进入目标内网流量中的OICQ报文泄露QQ号使用局部代理使用独立虚拟机攻击社交媒体反溯源:微信聊天记录被导出红队人员电脑意外被控微信聊天记录被导出严格遵守红队工作纪律红线使用独立虚拟机进行攻击基础设施反溯源:防止远控服务器被反制使用域前置、云函数隐藏C2真实IPteamserver杜绝弱口令使用自定义端口专机专用不与其他基础设施混用基础设施反溯源:钓鱼邮服被反制钓鱼邮件原文泄露邮服IP访问钓鱼邮服IP发现ewomail软件Ewomail
7、存在默认密码,反制红队邮服基础设施反溯源:防止钓鱼邮服被反制使用可靠的邮服软件使用第三方托管邮服专机专用不与其他基础设施混用红队被溯源案例01红队常见的反溯源策略02IP反溯源及安全通讯线路建设03IP地址溯源风险电信商配合防守方提供IP实名信息软件配合防守方提供IP关联信息网络代理商配合防守方提供IP实名信息IP关联地理定位国内攻防演练场景下的安全线路建设红队攻击机A云服务商VPSH云服务商VPST云服务商VPS目标系统*使用多个云服务商作为节点来搭建线路跨国犯罪侦查场景下的安全线路建设侦查员工作机跨境网络专线A国甲云服务商 VPSB国乙云服务商 VPS目标系统*使用多个国家、多个云服务商作
8、为节点来搭建线路C国丙云服务商 VPS传统多跳代理网络方案多层VPN 3跳11.11.11.11(第一跳)22.22.22.22(第二跳)33.33.33.33(第三跳)VPNVPNSecNet多跳点反追踪安全线路搭建工具 免费、一键、简单、红队专用的 SecNet 多跳点反追踪安全线路搭建工具11.11.11.1122.22.22.2233.33.33.33自备若干台干净的VPS,有多少台就是多少跳,示例演示3跳操作系统要求:CentOS 7+/Ubuntu 18+*基于相关法律法规,本程序不能在中国大陆以外的VPS上运行SecNet 多跳点反追踪安全线路搭建工具11.11.11.11第一跳
9、(入口点)22.22.22.22第二跳(中间节点)33.33.33.33第三跳(出口点)首先在作为入口点的VPS上执行一键安装命令(见最后一页)按照提示,输入第二跳IP地址22.22.22.22SecNet 多跳点反追踪安全线路搭建工具11.11.11.11第一跳(入口点)22.22.22.22第二跳(中间节点)33.33.33.33第三跳(出口点)然后在作为中间节点的VPS上执行一键安装命令(见最后一页)按照提示,输入第三跳IP地址33.33.33.33SecNet 多跳点反追踪安全线路搭建工具11.11.11.11第一跳(入口点)22.22.22.22第二跳(中间节点)33.33.33.3
10、3第三跳(出口点)最后在作为出口点的VPS上执行一键安装命令(见最后一页)安装完成,获得一个openVPN账号密码SecNet 多跳点反追踪安全线路搭建工具11.11.11.11第一跳(入口点)22.22.22.22第二跳(中间节点)33.33.33.33第三跳(出口点)此时3个节点(3跳)已经被串起来了使用openVPN账号密码连接入口点IP 11.11.11.11即可接入安全线路此时用ip138查IP显示的是出口点IP 33.33.33.33SecNet 多跳点反追踪安全线路搭建工具 3跳11.11.11.11第一跳(入口点)22.22.22.22第二跳(中间节点)33.33.33.33第
11、三跳(出口点)SecNet 多跳点反追踪安全线路搭建工具 6跳11.11.11.11第一跳(入口点)66.66.66.66第六跳(出口点)第2、3、4、5跳(中间节点)自搭建安全线路的局限支付身份风险中间通信安全性中间节点隐蔽性线路通讯体验深度优化安全线路使用AES256全链路加密中间节点部署仿真业务自研私有通讯协议解决TCP固有缺陷多链路负载均衡节点优选深度优化安全线路 3跳11.11.11.11第一跳(入口点)33.33.33.33第三跳(出口点)22.22.22.22第二跳(中间节点)深度优化安全线路 6跳11.11.11.11第一跳(入口点)第2、3、4、5跳(中间节点)66.66.6
12、6.66第六跳(出口点)国内场景优化效果对比(4M带宽接入)传统方案传统方案 3跳跳传统方案传统方案 6跳跳SecNet 3跳跳SecNet 6跳跳下行速率均值(下行速率均值(MB/s)0.170.030.820.16下行速率峰值(下行速率峰值(MB/s)0.220.051.210.20折合带宽均值(折合带宽均值(Mbps)1.330.314.081.25Ping时延均值(时延均值(ms)29175178113跨国场景优化效果对比(100M带宽接入)传统方案传统方案 3跳跳传统方案传统方案 6跳跳SecNet 3跳跳SecNet 6跳跳深度优化方案深度优化方案 3跳跳深度优化方案深度优化方案
13、6跳跳下行速率均值(下行速率均值(MB/s)0.150.060.820.2012.3712.19下行速率峰值(下行速率峰值(MB/s)0.200.111.210.2912.6112.70折合带宽均值(折合带宽均值(Mbps)1.220.506.571.5998.9697.59Ping时延均值(时延均值(ms)62968议题总结关注“全栈红队”公众号回复231123获取SecNet安装教程安装教程、PPT及议题文章议题文章浏览器反溯源:浏览器反溯源:开启浏览器的隐私模式使用独立浏览器进行攻击社交媒体反溯源:社交媒体反溯源:打内网时禁止全局代理使用专用虚拟机进行攻击基础设施反溯源:基础设施反溯源:使用域前置、云函数隐藏C2 IP专机专用,申请充足的项目预算IP反溯源:反溯源:不使用单位网络出口进行攻击使用SecNet多跳安全线路进行攻击THANKS关注“全栈红队”公众号回复231123获取SecNet安装教程安装教程、PPT及议题文章议题文章