反制攻击队和防守人员

反制攻击队思路(待完善)

提供一些思路,攻击队和防守人员都适用。

0x00 开局整牌-给攻击队的环境

目前相关活动从上年开始如火如荼的进行。 反制攻击队要多给攻击队一些甜头,帮助他们渗透,同时也要制造点困难,让攻击队使用复杂攻击手段拿到一个假目标,每当攻击队没思路时,留点后门提示,让攻击队始终在欢喜悲伤交替循环。

具体思路如下: 首先要布置一些入口,让攻击队触发。 待写



最后内网

0x01 开局出牌-线上业务

例如,把不必要在线上的业务转到内网,保持之前域名解析、网络架构,上线与之前应用开发架构一致的溯源设备。有预算的话,使用与之前业务相同应用,部署真实设备在外网,比如邮箱,要放一些稍微敏感不致命的大量数据,含一些引导信息,引到自己的蜜网,全程流量监控,也要监控流量监控设备(0day打监控设备),与自己网络物理隔离,专人维护,注意保密。有能力的话使用零信任网络,这样在不使用0day情况下,主要突破口会落到有权限的人身上。

0x02 开局出牌-其他攻击队线上常涉猎的地方

文件信息共享(网盘、在线共享网站、贴吧、知乎、微博等)、代码托管(git、码云等)、社交应用(qq、微信、钉钉)、社工裤(论坛、tg)、招聘(脉脉、领英、boos)、安全信息网站。 github投递exp、钓鱼源码、泄漏敏感信息引导到蜜网。使用蜜罐反制攻击队,比如利用

RMI反序列化
WIN远程连接漏洞CVE-2019-1333
https://paper.seebug.org/1074/
Mysql读文件&反序列化
Dubbo反序列化
恶意vpn
恶意控件
笔记软件rce
社交软件rce
NodeJS库rce
Python package 钓鱼
VSCODE EXTENSION 钓鱼
VS Studio钓鱼
Twitter钓鱼
红包插件钓鱼防撤回插件
解压rce
破解软件钓鱼
docker客户端钓鱼
https://www.blackhat.com/docs/us-17/thursday/us-17-Cherny-Well-That-Escalated-Quickly-How-Abusing-The-Docker-API-Led-To-Remote-Code-Execution-Same-Origin-Bypass-And-Persistence.pdf
docker镜像钓鱼
Xdebug
Ghidra钓鱼
bloodhound钓鱼
Cobalt Strike 漏洞
冰蝎
AWVS钓鱼
蚁剑
浏览器插件
云盘污染


...

安全网站(有个链接总想点,可能养成信息收集习惯)
招聘猎头(很多攻击队是请的外包,会考虑一些岗位,上钩可能性比较大)

0x03 开局出牌-攻击队信息收集阶段的供应链

攻击队常使用fofa(旧版fofa链接处可钓鱼)、钟馗、google、DNSlog平台收集信息,以上可找些洞xss、jsonp、逻辑漏洞收集信息。

0x04 开局出牌-攻击队基础设施

待写

0x05 开局出牌-攻击队横向移动

win登陆认证钓鱼
.PAC网络钓鱼
Ghost potato
路由DNS服务钓鱼
待写

0x06 开局出牌-攻击队线下生活环境

酒店网络
住处(路由器rce、基站)
社交圈(攻击队接触的人)

0x07 开局出牌-人的特性弱点(实施水坑或者其他方式利用)

收集对公司不满的员工,比如论坛,社交微博上的信息等
收集公司人员架构,内部分派,内部矛盾,有些员工出卖其他员工,使其被辞职,不被信任。
先交个朋友,不限男女朋友,建立信任。
外表伪装,年龄小而单纯,眼睛充满迷惑
收集需求,投其所好


RMI反序列化 由于RMI数据通信大量的使用了Java的对象反序列化,所以在使用RMI客户端去攻击RMI服务端时需要特别小心,如果本地RMI客户端刚好符合反序列化攻击的利用条件,那么RMI服务端返回一个恶意的反序列化攻击包可能会导致我们被反向攻击。

Mysql读文件&反序列化 https://github.com/codeplutos/MySQL-JDBC-Deserialization-Payload

Written on June 5, 2020