紅隊筆記|反溯源技術在攻防實戰中的應用

反溯源是攻防過程中的重要一環，其主要目的為防止防守方快速找出屏幕后，正在摳腳的你。滲透過程中有沒有"事了拂衣去"的灑脫，很大程度在于過程中反溯源技術的應用程度。下文為筆者對于溯源技術總結。

主機加固術

理想條件可以準備一個虛擬機來專門進行攻擊操作。虛擬機中只裝滲透需要工具，并設置快照，每次攻擊前重置攻擊機。其他通用加固手段如下；

1、攻擊機中不要保存任何可以用來分析個人或公司身份的特征的文件；

如條件有限可以將具備個人或個人特征的數據放在加密磁盤內，加大溯源難度，當然前提你自己不要用弱密碼管理磁盤加密軟件。常用加密軟件如VeraCrypt，EasyFileLocker。

2、打全補丁，只對外開放必要端口，危險服務或軟件，并安裝有效殺毒軟件；

最好設置補丁自動更新，避免人工打補丁造成疏漏

3、不連接特征明顯的熱點，如以公司命名的wifi，個人名字的熱點；

電腦會記錄WiFi連接記錄，記錄中具備特征的記錄一定要進行刪除

4、電腦用戶名不要使用可能識別特征的用戶名；

5、不登錄任何社交軟件與社交平臺；

6、保持瀏覽器中不會儲存任何個人相關信息；

細節操作有：開啟無痕模式（或開啟退出清空Cookie），關閉?動填充功能，控制網站操作權限。

7、停用mic與攝像頭等設備；

如筆記本可以卸載其驅動，并使用不透明貼紙覆蓋覆蓋攝像頭

特征隱藏術

工具特征隱藏

1、掃描器、Payload以及其他工具要去除特征，不要帶有任何id，git，博客連接等；

2、DNSLOG、XSS等平臺不要使用網上在線版本，在線版本特征過于明現容易被流量設備識別；

3、盡量減少文件的落地，落地的文件需要注意隱藏，

與目標其他文件名稱和時間屬性進行同化，并設置隱藏；

4、植?Webshell?句話腳本時，盡量選擇??index?被包含的?件；

5、拿到shell后，開啟命令?痕模式；

6、c2，內網穿透等工具不要使用默認端口，并定期修改密碼；

交互特征隱藏

1、滲透過程中任何需要交互認證的地?，都不要?個?、公司有關的名詞 ；

涉及手機號和郵箱接時，可以考慮使?匿名接收平臺 。

2、社?過程中不要使用自己的真實社交賬號，有條件的情況最好每次注冊或購買新的賬號；

3、漏掃自動打點時，盡量使用動態隨機UA頭，避免被瀏覽設備識別并攔截 ；

4、域名或服務器在創建時不要使用自己名字；

流量特征隱藏

1、攻擊機的出口IP，不要使?個?、公司IP， 盡量使用物聯?卡、或代理池IP ；

2、C2或其他工具的流量特征需要進行對應的去除或者修改 ；

3、各種攻擊資源盡量不要放在一套服務器上，最好使用短期或定時重置ip以預防危險情報標記；

4、盡量不要直接暴露c2的ip，要使用隱藏技術保障c2的安全性；

比較常用的隱藏技術如云函數，域前置，cdn等技術。

5、在服務器上開啟?件服務，需?完即關，嚴禁開啟各種??的?危端?；

6、盡量使用加密協議傳輸請求

溯源反制術

蜜罐簡單識別

1、網站是否存在大量請求其他域資源;

2、網站是否對于各大社交網站發送請求；

3、網站是否存在大量請求資源報錯,克隆其他站時沒有修改完成;

4、存在?常多漏洞的站點，拿到shell后處于docker等虛擬環境，開放?量?危端?的;

5、獲取到PC機器后，PC機器?戶?時間劃?摸?;

6、從目標獲取的文件需要在沙箱或斷網虛擬機運行，避免被反制;

也可以使用蜜罐識別插件進行識別如：anti-honeypot

溯源反制思路與手段

攻防的過程本為一體兩面，上文介紹了反溯源的基本思路，溯源的反制其實也是溯源技術的一種另類應用，所謂溯源反制大體可以分為兩類；

1、通過偽造特征，導致溯源到其他人身上，達到禍水東引的效果；

如將電腦名稱或是工具文件名稱偽造為其他單位或者是人員的名稱

2、通過追查溯源方的特性，反向溯源出對方；

特殊情況下也可以誘導溯源方在本地執行木馬文件，從而控制對方主機

作者：方寸明光

原文鏈接：https://blog.csdn.net/CoreNote/article/details/122328787