到了这里基本就是最后一步了,在所有的反制流程结束或者获得了一定的攻击者信息之后,对攻击者进行画像。
4).CSDN等社交平台关闭微信相关ID、起名字别用QQ号,你等着别人社工库查你吗
5). 关于使用虚拟机的问题,请将时区、语言等设置为与代理相同的时区
7).定期对存放工具的虚拟机进行快照恢复,校验,防止不知不觉被塞东西
一、攻击者画像-攻击行为推演结果
-
其实这是最后一步
-
第一步获取到攻击者的初步信息
- 包括攻击开始时间
- 攻击结束时间
- 攻击过程使用的源IP
- 攻击的目标
- 攻击的漏洞
- 攻击的次数
- 攻击成功事件及服务器情况
-
这就构造出了初步的攻击者画像
-
案例假设
-
攻击开始时间 2023-2-5-00:01:01 攻击结束时间 2023-2-5-00:30:56 攻击源IP xxx.xxx.xxx.xxxxxx.xxx.xxx.xxx 攻击目的IP xxx.xxx.xxx.xxxwww.xxx.com 漏洞利用情况 SQL注入:xx次命令执行:xx次反序列化:xx次 攻击成功事件 xxx服务器命令入漏洞利用成功 服务器失陷情况 xxx.xxx.xxx.xxx服务器失陷
-
-
通过以上信息,我们算是可以交差交一半了
- 常规的溯源加上入口点和加固建议就可以交差了
- 而剩下的攻击者画像,那就是要求高的,也是得碰运气了
二、攻击者画像
-
这一步很难,需要运气,同时还需要过硬的人品
-
如果我们反打成功,这无异于是对我们技术的肯定,也会获得极为强烈的满足感。
-
例如
- 我们溯源到对方服务器有一个关键文档:xxx公司xxx系统攻防演练报告
- 有时候只是服务器被反打还真就不一定会被逮到
- 但是你有这个文件在就尴尬了,除非你是想祸水东引,搞离间计,否则基本完蛋
-
然后通过一些信息找人
-
姓名 性别 年龄 身份证号码 手机号码 邮箱号码 工卡号 单位 家庭住址 社交账号
-
-
这种情况其实还是很普遍的,如果安全意识不强,很有可能就被溯源到
-
-
工作中,被溯源到的原因大致分为以下几种:
-
1. 踩点前使用真实IP物理机去踩点,留下了过多的访问记录 2. 信息收集使用的搜索引擎非匿名,存在大量记录 3. 使用的脚本有自己的签名信息,如:by xxx 4. 乱发朋友圈,项目保密环节未做好 5. 项目文件发送过于随意,项目文件明文展示并且未加密 6. 在群内吹水,电脑微信开启自动下载文件,直接被钓鱼 7. 代理不稳定,挂掉了还在用,自己的物理地址直接就暴露了 8. 使用带有后门的工具箱,被人摘了桃子 9. 虚拟机与物理机不分开用,没有做到一个项目一个虚拟机,并在虚拟机内留下自己的账户信息,如邮箱、浏览器账户、甚至是项目文件 10. 反侦察意识不强,踩蜜罐
-
三、演练防溯源小技巧
- 网络层次
- 实际上攻防演练的时候正规的规矩是不能上匿名网络的,那在不适用匿名网络的前提下,如何更好的做好自身防护
- 前期踩点
- 不建议大家用自己的物理机去踩点
- 比如
- 前期的信息收集工作。
- 存活探测工作,直接上物理机框框扫,这可能不是red干的活。
- 可能是下面的二线三线干的活,但是也增加了暴露的风险。
- 而大多数被溯源的攻防选手,其实也不见得就是IP泄密
- 而是踩到了蜜罐,或者是在机器上留了不该留的东西。
1.防溯源
- 使用虚拟机做攻防,用完一个删一个,这样不会留下太多的数据。
- 做好物理机的防护,防止虚拟机被人拿了逃逸出来。
- 工作报告、日志不要在工作虚拟机中复用,坚持一机一用,别嫌麻烦。
- 演练的时候别用来路不明的工具,那里面可能有马。
- 任何攻防演练的虚拟机都不要留任何个人相关的信息、账户,浏览器最好用隐私模式,别登录,特别是水印问题。
- 实在不行可以在虚拟机里留点别的,比如说其他公司的报告,死道友不死贫道,混淆视听。
- 大家在使用虚拟机做测试时
- 虚拟机里留下的个人信息是别人的不是自己的
- 或者干脆没有个人信息
- 那么蜜罐的作用除了拿到你的IP作用也就不大了
- 因为大多数的蜜罐都是用过JSONP劫持的方式获取个人ID
- 这个ID可能是手机号,可能是邮箱号
- 能拿到什么,取决于你的测试机器里有什么,为什么说用完一个删一个
- 因为可能你自己都不知道自己的账户信息可能保存在机器的内存里面了
- 能力强的可以做一个U盘内存启动的镜像,用完U盘一拔数据直接就没了,谁来也没用。
- 建议大家留一个假的信息
- 在攻击测试机上留一个虚假的弱点。
- 若是这个弱点被人动了,那么就说明存在暴露风险,提前预警了。
- 不是喜欢反打吗,测试人员也可以下一个“蜜罐”,你来踩我就GG。
- 重点就是如何不被通过社交账号被逮住打死
- 能不用热点就不用热点,因为热点踩蜜罐百分百手机号被扒出来
- 除非你的手机号也是匿名的并且没有绑定任何的东西
- 大多数人被逮住都是泄露了邮箱、手机号、微信号等
2.为了给溯源人员增大阻力,大家应该怎么做好个人的隐私保护
1).某宝关闭好友权限,特殊时期关闭所有的加好友方式
- 这样即使他们找到了手机号,也不能通过手机号找到你的支付宝
- 因为支付宝里面有很多的小技巧可以直接拿到你的真实姓名
-
- 为什么说关闭此几项?因为默认情况下向好友是公开真实姓名的
- 而有时候大家莫名其妙的收到转账1分钱的时候大家就要小心了,人家来踩点了,转账会显示一部分名字的。
2).关闭微信及QQ相关功能
- 关闭QQ空间、朋友圈陌生人查看权限、关闭通过手机号找人功能
- 把这几个玩意关了,我相信风险最起码降低了一半。
- 很多小伙伴都是被从QQ空间看到了长相、地址信息,所以别瞎秀自己的长相。
3).手机号,这是一个越不过去的坎儿
- 记得以前拿着手机号去柜台人工充值的时候,是能看到对方绑定的身份证的名字的
- 这就很尴尬了
4).CSDN等社交平台关闭微信相关ID、起名字别用QQ号,你等着别人社工库查你吗
5). 关于使用虚拟机的问题,请将时区、语言等设置为与代理相同的时区
- 当然了,纵使你使用了很强的代理、TOR,依然有被溯源的可能
- 因为你攻击别人的时间是无法隐匿的,别人可以通过时区溯源法进行溯源,获取代理池当天的代理出口地址,找到对应时间的IP地址一个一个筛也筛出来了。
- 同样,最好是使用KVM/VX产品,因为VM产品需要安装tools工具,小心虚拟机逃逸啊
6).从目标机器下载文件,请存放在专门的虚拟机里,断网浏览
- 因为这个文件里可能有东西,你不断网一瞬间你的小秘密就没了,和蜜罐一个道理,同时如何传输这个文件也是个值得考究的话题。