红队反溯源与安全线路建设-SkyMine.pdf

1、红队反溯源与安全线路建设自由安全研究员伍智波（SkyMine）伍智波（SkyMine）自由安全研究员，“全栈红队”公众号主理人，某公益计划资助人KCon/HITB/FIT/CIS 演讲者，GeekPwn 获奖者，Security+/CISP-PTS/CISP/CISAW/CIIT/CDPSE 证书持有者6年安全实验室管理和红蓝对抗实战经验，连续3年国护攻击队队长，数十场高级别攻防演练攻击队队长擅长内外网渗透、钓鱼、安全开发、取证、实验室/红队/蓝军建设管理PADI名仕潜水员（全球TOP 2%）红队被溯源案例01红队常见的反溯源策略02IP反溯源及安全通讯线路建设03【案例1】红队被JSONP蜜

2、罐反制浏览器已登陆X度网盘缓存了X度账号cookie误点JSONP蜜罐，蜜罐盗用X度cookie获取X度账号ID用X度账号ID在社工库匹配真实身份信息【案例2】红队钓鱼邮服被反制红队使用Ewomail软件部署了一个自建邮服用于发送钓鱼邮件Ewomail软件存在默认口令红队邮服被蓝队反控蓝队捕获钓鱼邮件查看邮件头X-Originating-IP字段找到红队自建邮服IP地址【案例3】红队被定位公司身份红队在公司进行远程攻击使用公司宽带网络出口蓝队在安全设备抓到IP通过IP数据查到公司位置在这个位置只有1家安全公司蓝队让甲方联系该公司销售谎称了解技术能力套出正在进行某演练的红队【案例4】红队使用CS

3、4.7攻击机被蓝队反制红队在VPS上部署CS 4.7生成木马投放钓鱼蓝队抓到木马样本利用CVE-2022-39197构造上线红队CS4.7收到上线会话使用task list功能时触发EXP蓝队RCE反控红队攻击机HACKED【案例5】红队使用代理隐藏身份后仍被溯源网络代理商配合防守方提供IP实名信息和路由日志中国：网络安全法第三章第一节第二十一条、第二十八条美国：美国爱国者法案206、207、215、702条英国：刑事调查和监测法53-54、56-57、58-59条俄罗斯：俄罗斯联邦刑法典第138.1条法国：信息与自由法第L851-1条、第L852-1条、第L854-1条红队被溯源案例01红队

4、常见的反溯源策略02IP反溯源及安全通讯线路建设03浏览器反溯源：对抗JSONP蜜罐浏览器隐私模式不会使用已保存的cookieJsonp没有cookie不能正常利用使用独立的浏览器进行攻击操作，如日常上网用Firefox，攻击用Chrome*反蜜罐浏览器插件兼顾了便利性，但由于覆盖面有限，安全性不如上述措施浏览器反溯源：对抗BurpSuite反制低版本BurpSuite内置低版本的ChromiumRepeater-Render位置 1Click 触发RCEJavaScript analysis功能 0Click 触发RCE积极将BurpSuite随时更新至最新版本新版本BurpSuite会更新

5、Chromium版本ChromiumBurpSuite浏览器反溯源：浏览器数据转储红队人员电脑意外被控浏览器历史数据被转储严格遵守红队工作纪律红线使用独立虚拟机进行攻击社交媒体反溯源：MySQL蜜罐读取红队微信号红队找到一个外网/内网数据库果断Navicat连上准备拿数据分MySQL蜜罐读取C:WindowsPFRO.log寻获用户名，读取C:UsersusernameDocumentsWeChat FilesAll Usersconfigconfig.data寻获微信号*应当严格遵守红队工作纪律红线，使用独立虚拟机进行攻击社交媒体反溯源：内网渗透泄露攻击机邮箱信息红队撕开口子代理进内网但误用

6、全局代理攻击机全局流量进入目标内网流量中的IMAP/POP3报文泄露邮箱社交媒体反溯源：内网渗透泄露攻击机QQ号红队撕开口子代理进内网但误用全局代理攻击机全局流量进入目标内网流量中的OICQ报文泄露QQ号使用局部代理使用独立虚拟机攻击社交媒体反溯源：微信聊天记录被导出红队人员电脑意外被控微信聊天记录被导出严格遵守红队工作纪律红线使用独立虚拟机进行攻击基础设施反溯源：防止远控服务器被反制使用域前置、云函数隐藏C2真实IPteamserver杜绝弱口令使用自定义端口专机专用不与其他基础设施混用基础设施反溯源：钓鱼邮服被反制钓鱼邮件原文泄露邮服IP访问钓鱼邮服IP发现ewomail软件Ewomail