本文簡單寫下紅藍對抗過程中藍隊的一些溯源與反制方法。

一、蜜罐反制
（1）商用型
近年來越來越多的廠商選擇部署商用蜜罐來誘導攻擊者，衡量蜜罐好壞的關鍵因素為誘捕能力，即為誘惑捕捉能力。
利用蜜罐可以做到：獲取攻擊者的P（真實IP，代理IP等）、ID、操作系統、設備信息等，也可通過誘餌進行釣魚反制。
蜜罐常見形式可以直觀的分為web頁面型，命令行型，windows型等。
web頁面例如weblogic、phpmyadmin、crm等，攻擊者可進行弱口令登陸，暴力破解，歷史漏洞，后臺shell等，蜜罐頁面中會插入溯源jsonp，例如百度、163、騰訊、新浪的對攻擊者的ID進行溯源藍隊也可以根據這個思路自己收集一些jsonp用于自制蜜罐中。web型蜜罐的識別方法為查看數據包，如果數據包中出現了很多的不屬于該網站的js信息，很大程度上為蜜罐。另外溯源js經常會在頁面上產生一個細小的像素點，通過像素點也可以來判斷是否踩到了蜜罐。
命令行的例如redis（最常見也是攻擊者最容易踩到的）、ssh等，此類獲取到的信息偏向于IP，對于ID有一定難度。
windows蜜罐例如win7，xp等，其中包含一些歷史漏洞，可以對攻擊者進行反制。
現在的蜜罐除了上述的基本功能外，都有一些自己的花樣，例如誘餌（郵件誘餌，github等），反制誘餌等。
這里的反制誘可以理解為紅隊的釣魚文件，例如在某網站下載鏈接嵌入一個反制exe，當攻擊者點開始便可獲得攻擊者電腦權限，利用查看文件等操作溯源，從而達到反制的目的。

?

（2）開源型
比較出名的開源蜜罐有beef、hfish等，beef自帶功能強大，可以部署出一套完整的蜜網來進行迷惑攻擊者。

二、釣魚郵件溯源
紅隊有時會采用釣魚郵件的方式來進行攻擊，一些安全意識薄弱的員工便會打開該郵件從而上鉤，如果釣到了運維，并且運維電腦上存有未加密的公司服務器信息等，可以說差不多是淪陷。攻擊者在偽造釣魚郵件時，有時出于疏忽，會泄露自己的郵件服務器地址，從而被溯源，下邊來看一個例子。

?

?

紅隊在發送郵件誘餌時，沒有進行偽造，導致自己的郵件服務器泄露，從而被藍隊溯源到真人。

三、IP進行溯源
在對入侵IP進行分類時發現一個IP，應該為攻擊者的代理斷掉了，通過微步等工具進行信息查詢發現其備案域名，域名指向某公司

?

接下來對域名進行whois

?

根據郵箱手機號進行社工庫查詢，從而獲取攻擊者信息。

四、紅隊遺留工具進行溯源
案例1、某單位服務器淪陷，登上服務器對其進行溯源，在e盤找到了紅隊人員自己編寫的工具

?

?

上邊留有攻擊者qq

?

?

在社工庫中進行查詢從而溯源獲取紅隊真實身份信息
案例2、對攻擊者上傳的工具進行分析，物理路徑中包含了文件的名稱
?

?

在github進行搜索找到該項目和攻擊者ID

在知乎，微博等平臺對該用戶進行搜索綜合，或者利用支付寶微信轉賬的方式獲取攻擊者真實信息。

五、反制紅隊服務器
藍隊可以對紅隊IP進行收集，批量進行掃描
攻擊者踩到了蜜罐，并嘗試進行反彈shell

?

發現攻擊者使用的為cs的服務器

?

服務器存在目錄遍歷漏洞，其中存有攻擊者的攻擊日志
?

?

有一條日志暴露了攻擊者的teamserver密碼

?

?

登錄攻擊者teamserver，找到被攻擊主機的外網地址

?

一段時間后teamserver上線了一臺新的主機

?

上線日志如下，可能是攻擊者反彈shell后自己訪問的登錄信息

?

定位成功

總結

以上是生活随笔為你收集整理的蓝队溯源与反制的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。