2021.3.11

1.目标

通过攻防演练的实践,可以总结出一套能够有效溯源攻击者的攻击者的方法。通过此方法我们可以将攻击者信息有效聚类达到深度溯源的目的,预期的目标包括:

(1)掌握攻击者的攻击手段(特定木马,武器投递方法)
(2)掌握攻击者背后的IP&域名资产(木马C2,木马存放站点,资产站点)
(3)掌握攻击者的真实身份
(4)掌握攻击者武器的检测或发现方法,将捕获的数据形成新的线索

2.方法

针对交付,利用,安装,命令和控制四个阶段捕获到的数据做深度分析,聚类提取数据特点形成规则。将规则应用于一些安全设备产出高可信度的告警用于防御,或者结合情报书数据(样本数据,域名信息,IP信息等)将深度溯源的情报(身份信息,攻击队伍等)产出。

1.部分攻击链中可溯源的关键点

部分攻击链中可溯源的关键点
攻击链的利用阶段可溯源的方法&关键点:
攻击回溯

2.攻击回溯的关键点分为两类:

(1)攻击分类:根据攻击者的漏洞利用数据包特点(字符串格式,特殊字符串格式)
(2)攻击者信息:攻击者使用公司或个人特有的漏洞利用工具时,可能会在请求包中存在公司或个人信息。

3.钓鱼邮件可溯源方法以及关键点:

关键点
(1)发件IP,发件账号,邮件内容(格式特点)可用于将攻击者投递的邮件分类
(2)发件账号可能存在个人信息,例如:”账号@qq.com“,"昵称@gmail.com"等此类字符串,检索该字符串可以用于挖掘个信息
(3)邮件内容大致分为三大类:投递物 钓鱼网站 包含域名,IP,其他:需要研究邮件中的字符串,邮件可能存在其他攻击者的账号

4.后门木马可溯源方法及其关键点

关键点
(1)代码逻辑,红队可能反复使用一些代码,代码特征比较明显,可用于分类和拓线
(2)字符串特点,用于将红队投递的样本分类和拓线更多的样本,将检索的样本再分析
(3)元数据(诱饵类型:LNK,EXE,DOCX)EXE文件:存在PDB信息
(4)回连C2,属攻击者资产

5.攻击者资产维度可溯源方法及其关键点

关键点
(1)域名自身特点:名词字符串
(2)搭建网站(图中四种方法探测资产的现有数据和历史数据)
(a)网站可能存在红队的其他攻击组件
(b)网站可能存在个人简称,昵称
(c)网站备案信息
(3)Whois信息,可能包含:注册者邮箱,电话号码等
(4)IP信息需要考虑如下两点:
(a)是否定位到某个安全公司的地理位置
(b)是否标记为某个安全公司的网关

6.命令控制和控制阶段可产出的数据


(1)用于防御,将掌握的流量规则部署在安全设备当中
(2)积累数据,掌握更多的木马,资产,支撑上述中的各种溯源方法。

身份信息溯源方向

身份信息溯源方向
虚拟身份:
(1)攻击者资产暴露的信息;如Whois,个人网站信息,GitHub个人简介
(2)样本暴露的信息;如:PDB信息,个人昵称,存放特马的GitHub的账号
(3)蜜罐捕获;如:百度,新浪ID等
(4)利用密码找回功能;如:阿里云IP找回,腾讯密码找回,邮箱密码找回等
真实身份:
(1)社交平台(百度贴吧,QQ空间,新浪微博)暴露真实姓名,手机号码
(2)支付宝转账功能,搜索邮箱,手机号
(3)已知的线索(邮箱,QQ,昵称等)在招聘网站搜索
(4)利用搜索引擎;如:手机号和真实姓名的XXX表格/社工库
公司信息:
(1)IP资产定位,域名Whois信息
(2)特有漏洞利用工具暴露的信息;如:User-Agent,Cookie,Payload
(3)社交平台;钉钉,企业微信等
(4)攻击者个人简历中的工作经历

上述提到的框架图中,基础数据可自动或半自动分析,提高溯源效率的同时还能减轻安全人员的运营成本,在溯源真实身份中则更倾向于安全人员使用谷歌或百度检索的能力。需要灵活应用。

3.精准定位

3.1 扫描器

企业安全好比木桶效应,最短的木板是木桶品质的标准,安全最薄弱环节也是决定企业安全好坏的关键。在重保活动中攻击者的目标很明确,找数据进内网,那么如何快速准确的从企业海量的资产中找到漏洞入口点,常用的方法是扫描器。故掌握开源或者商业的扫描器的指纹特征,可以快速的定位真实的攻击IP,做到准确封禁。
指纹特征的提取一般就是基于http请求包或者响应包。

3.2 Crawlergo

0kee-Team开源了360天相的爬虫模块Crawlergo,白帽子通常会把Crawlergo集成到自己开发的扫描器当中去挖掘漏洞,使用Crawlergo扫描网站,HTTP头带有自定义字段Spider-Name:crawlergo,故搜索该规则可以获取到360扫描器的白帽子基于Crawlergo二次开放的扫描地址,例如:
在fofa中:Title=="Acunetix"
请求头:

GET /bak HTTP1.1
User-Agent: xxxxxx
Referer: xxxxxx
X-Forwarded-For: xxxxx
....
Spider-Name: crawlergo

可以检索到Crawlergo爬虫攻击的日志。

3.3 AWVS扫描器

这是一款知名的网络漏洞扫描工具,通过网络爬虫测试网站安全,检测流行安全漏洞。互联网侧存在很多白帽子部署的AWVS扫扫描器,通过fofa检索:title=="Acunetix"可以看到659个IP部署了AWVS,如果企业在互联侧部署有AWVS,则可以将以上IP作为重点监控对象。

在使用AWVS扫描器对企业进行资产扫描时,HTTP请求包和响应包都存在有特征。
(1)Accept:acunetix/wvs
(2)HTTP请求头存在Acuntix-*的自定义字段
(3)HTTP请求包或者相应包中存在hit*.http://bxss.ms

AWVS在进行无回显漏洞探测时会使用DNSLog(http://bxss.me),DNSLog生成规则为:http://hit" + rndToken + 'http://bxsss.me/'随机的三级域名作为paylaod

3.4 DNSLog

DNSLog是一种监控DNS解析记录和HTTP访问记录的工具,将DNSLog平台中的特有字段payload带入目标服务器发起DNS请求,通过DNS解析后的关键信息组合成新的三/四级域名带出,在DNS服务器的DNS日志中显示出来。通常攻击者使用DNSLog测试诸如:sqli,rce,ssrf,rfi等无回显的漏洞。下面举例说明一些常见DNSLog平台,可以根据这些平台的指纹结合空间测绘发现更多的DNSLog。
(1)常见的DNSLog平台
域名 备注
http://ceye.io 知道创宇
admin.dnslog.link 四叶草安全
http://www.dnslog.cn
http://hyuga.co Buzz2d0
http://dnslog.io hackit-me
http://burpcollaborator.net BurpSuite自带的dnslog
http://dns1.tk https://dns.xn--9tr.com/
http://dns.log.cn
http://tu4.org
http://h.i.ydscan.net
(2)开源的DNSLog工具
地址
https://github.com/BugScanTeam/DNSLog
https://github.com/donot-wong/dnslog
https://github.com/chennqi/godnlog
(3)开源工具 Cland Beta
开源工具X-ray提供了一个针对无回显漏洞验证的平台Cland Beta通过fofa语法检索到互联网上存在200多个Cland Beta,可以将以上IP作为重点检测对象。
部署有X-ray的扫描器是可以直接关联到具体组织的,访问Web端接口,页面会请求接口api/graph_batch/,返回banner信息中包含IP归属机构。

如果发现攻击者使用DNSLog攻击业务系统,可以使用如下脚本对DNS平台发送数据包,通过修改URL参数的值诱导攻击者到蜜罐上。

3.5 最新漏洞

在重保攻击中攻击者会利用0Day或者Nday攻击业务系统,通过互联网公开的漏洞情报,基于漏洞利用特征到全流量日志系统中提取相关攻击者IP。比如:fastjson漏洞,可以在日志中检索数据包的请求体中检索关键字:
"rowset.JdbcRowSetlmpl"

3.6 HTTP返回包

攻击者利用远程命令执行漏洞或者webshell执行一些命令后,返回包中会返回命令的执行结果,举一些例子,如果存在以下特征说明漏洞已经利用成功:
(1)"Windows IP"
(2)"Microsoft Corporation"
(3)"drwxr--r--"/"-rwxr-xr-x"

3.7 Referer来源

渗透测试第一步是信息收集,信息的方法有很多种,有一种就是结合搜索引擎,例如在fofa上搜索企业相关的资产,如果我们直接从fofa上面跳转到目标站点,那么请求数据包的Referer字段就会有fofa.info可以作为此判断维度 ,梳理攻击者IP。类似的还有Google,Zoomeye,shodan,Baidu,Censys等。

3.8 其他手段

(1)http请求包中有个X-Forwarded-For字段。某些情况下我们将其修改为127.0.0.1可以绕过一些系统限制,因此提取数据包中包含这个字段的相关IP。
(2)大多数系统需要登录才能进一步操作,那么登录处大概率攻击者会尝试弱口令攻击,所以在数据包的请求中找username=test,username=admin等字段,如果IP存在多次尝试登录,那么这个IP也可以封了
(3)有些攻击者不注意自己的隐私,用个人信息注册目标业务系统,如果业务系统不注重用户隐私,可能数据包的cookie字段明文显示攻击者使用的手机号或者常用ID,在流量日志分析中检索这些敏感信息的IP是否存在攻击行为。
(4)查询User-Agent字段包括python,golang等脚本日志语言,因为大部分开源漏洞工具没有设置User-Agent字段,可以通过UA判断哪些是脚本利用,但是从搜索结果上来看,并不是太准确,因为互联网上的僵尸网络也会利用自定义脚本攻击业务系统。

4.一次溯源过程

1.收到某个攻击IP进行溯源分析,并对整个过程进行记录
IP:101.35.xxx.xxx

2.对IP进行初步的收集
站长工具查IP定位,地点在日本东京
日本东京
对IP进行简单探测,利用Masscan+Nmap
Mansscan
Nmap
mansscan的部分用法:

用法类似于nmap。扫描某个网段的某些端口:
# masscan -p80,8000-8100 10.0.0.0/8 2603:3001:2d00:da00::/112
扫描10.x.x.x子网和2603:3001:2d00:da00::x子网

在两个子网上扫描端口 80 和范围 8000 到 8100,或总共 102 个端口

具体用法在GitHub上参考Read.me:

sudo masscan -p80 127.0.0.0.1/24

sudo masscan -iL target.txt -p0-65535 -oX filename

免责声明:这里部分显示的IP地址为测试IP,如果被恶意测试,暴力扫描,本人不承担任何责任,希望遵守网络安全法,且忽非法未授权渗透测试。

如果IP被封禁了,直接上Goby进行探测
Goby探测

如果还是扫不到可以在线扫描进行探测
在线探测

开起来22端口有可能是liunx,开启了3306就是MySQL数据库(默认端口)

3.对IP进行web渗透

对网站进行指纹识别,看是否存在WAF,关键建站方式比如PHP,如果不存在WAF那么就使用AWVS进行扫描

运气的不错的话可以扫到一处PHP远程代码执行

获取网站权限

BurpSuite验证漏洞

反弹shell

首先执行set+o history取消shell历史命令记录,再使用history -d id 删除历史命令中set +o history记录,就可以接下来的渗透操作了。

对获取到的权限就行信息收集

查出最近当前哪些IP地址登陆过系统,大多数为*IP,没有意义

查看机器为202*年,内核为2.6.xx,如果能提权就提权,不行就放弃

Ps -aux 发现两个IP,一个还是境外IP,但有一个是阿里云IP(重点)

查看与计划任务相关的 cat /var/log/cron 发现新的IP

启动项目发现开启启动创建一个目录但是目录下没有东西,查看当前使用工具没有工具安装

查看内存站前五的:

ps auxw | head -1;ps auxw|sort -rn -k4|head -5

去找熟悉的进程,可以看到挖矿木马,kill无法删除

systemctl status pid

查看发现挖矿存在守护进程,获取到植入挖矿IP,先kill掉守护进程

find / -name "kxxxxxxxx" 查询是否存在其他挖矿文件

对发现的IP进行渗透

共发现4个IP

195.3..
194.87..
120.79.. 阿里云IP
58.45.. 湖南

利用Goby进行扫描,发现阿里云IP的7879疑似spring框架,使用swagger发现框架无法利用,对redis和Mysql进行弱口令爆破无果,利用mansscan+nmap进行全端口探测,发现8088存在tomcat,并且存在弱口令

获取阿里云的网站权限

利用弱口令登录tomcat,部署websehll

jar cvf test.war test.jsp 使用命令冰蝎jsp打包war

对阿里云IP进行信息收集

发现tomcat还部署了一个后台,冰蝎连接后找了许久的配置文件但是无果,但是弱口令进去了,但是没有有用信息。
在root用户命令找到一个URL链接
发现一开始的的IP,入侵证据,对链接进行访问发现为企业网络安全攻防实训平台,历史命令是从越下面代表越后面执行的命令,这样子就了了,入侵者入侵这台机器让后往自己平台测试网络,最后入侵主机再对目标网站发起扫描。(假设)
查看日志目录可以发现已计划任务相关的日志已经清0,并且邮件数量很大,在这其中还发现了QQ号。

整合收集到信息

IP:193.112.. 企业网络实训攻防平台

微步威胁情报分析,反查域名,继续通过微步查询域名,获取到注册手机号和邮箱
通过QQ邮箱发现为渗透测试,软件开发人员,继续通过社工库进行信息查询,获取到地址,证件,车牌,以及一些历史密码,到此为止。

最后修改:2022 年 03 月 19 日 08 : 30 PM
如果觉得这篇文章不错,不妨赏我碎银几两。