匿名链路
攻击队安全意识不足,会被溯源的。
用现金买张物联网4G卡,插卡到路由器,第一台路由器是匿名4G卡。
再买一个路由器,后买的路由器配SSR 配wireguard 梯子,第二台路由器地址在国外。
再现金买vps(要买渗透目标的对家,这样就无法取证),再叠一层。
再买一台专用电脑,这个电脑上不能有任何信息,这个电脑是小黑屋。
- 不能登录微信、访问网站
- 不能有个人、公司相关文件
- 把声卡和录像的驱动删除
- 用贴纸封掉摄像头
一跳路由器180左右,二跳390,一张卡40左右。
每个月成本,一跳一个月48,二跳一个月79。
这样保证哪怕这台电脑被控制,蓝队什么信息也得不到。
反溯源
一切攻击操作在虚拟机中执行
- 虚拟机中不登录任何社交平台、软件
- 不带任何有自己、公司身份的系统、软件、文档和工具
- 不连接个人、公司等能被相关联ID的无线热点
- 打上全补丁、安装杀软不裸奔
- 不安装微软office等易爆发漏洞的软件wps
- 打好初始快照
- 渗透工具、脚本、Webshell文件名、密码等,去个人及公司ID特征、博客地 址、github项目地址等
- 域名、邮箱临时创建,未个人实名备案
- 服务器上开启文件服务,需用完即关,严禁开启各种无用的高危端口, 禁止在root根目录等敏感目录开启
- 社交软件社工钓⻥,使用小号
- 需要短信、邮箱接收时,使用临时接收平台
- DNSLOG、XSS等平台不使用网上在线,需自建去ID特征,并做好安全防护
- 内网渗透尽量无文件落地。推荐Powershell、Cobalt Strike的execute-assembly。如要上传文件建议传至 C:$RECYCLE.BIN\,修改名称如svchost.exe、 microsoftupdate.exe,在使用后删除
- 植入Webshell一句话,尽量选择将Webshell添加到首页index里被include的 文件里,并还原文件时间,这样首页地址就是菜刀连接地址
- 上传Web上的工具、代理脚本,尽量和目标网站其他名称同化,修改文件时 间与网站文件创建时间一致,并设置attrib C:\test.exe +s +h进行隐藏
蜜罐判断
- 若访问某个系统时,数据包一直对各个社交网站发包,大概率是蜜罐
- 存在非常多漏洞的站点,拿到shell后处于docker等虚拟环境,开放大量高危端口的,大概率为蜜罐
- 若通过社工钓⻥获取到PC机器后,PC机器用户⻓时间划水摸⻥,且不连 入VPN和内网,大概率是被应急
- 获取到目标机器的exe执行文件、word文档,或者通过钓⻥社工手段获取 到目标发送的软件、文档时,应在沙箱或虚拟机内且断网的情况下运行