什么是蜜罐
蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。
还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
常见蜜罐使用类型和场景
溯源蜜罐
web蜜罐-jsonp
获取社交网站ID、手机号…(大部分蜜罐都是获取BaiduID)
mysql蜜罐-load data local infile
读取本机文件获取相关信息(电脑用户名、chrome保存密码、chrome收藏夹.chrome历史记录、Xshell账密、Crt账密、finalshell账密、MobXterm账密…)
溯源思路
溯源原则
证明所有已发现的社交信息是互相关联的,且证明所有获得的信息都是出自同一个攻击者。该原则在确定攻击者身份的过程中非常重要。
IP溯源
IP地址定位
使用IPUU可以查询IP地址的归属地,查询结果中会显示IP地址所属的国家、省份、城市和运营商等信息。(准确率不高)
IP反查域名
使用iP地址查询 (ip138.com)或者https://dns.aizhan.com/可以反查域名,可以根据查询到的域名进行更深入的溯源,如果域名为攻击者个人技术博客,则可以进一步查询博客网站的ICP备案信息,同时在博客中检索是否包含相关联系方式。
域名WHOIS查询
使用站长工具_whois查询工具_爱站网 (aizhan.com)查询&微步在线-数字时代网络威胁应对专家 (threatbook.cn)可以查询域名的注册信息,查询结果中会显示域名的注册者、注册时间、到期时间等信息。
IP反制
对恶意IP进行渗透,拿取权限后再检索恶意主机上是否留存相关信息,再以收集到的信息进一步渗透。
社交溯源
1.百度找回密码模块佐证手机号与百度ID的关联性
2.钉钉搜索手机号佐证手机号与姓名的关联性
3.支付宝手机号转账确认相关手机与姓名的关联性
4.支付宝找回账号确认姓名与身份证的关联性
5.QQ账号找回密码可以看到部分手机号码
防止蜜罐捕捉思路
1.浏览器插件
蜜罐溯源这部分用到的技术主要是jsonp
jsonp全称是 JSON with Padding ,是基于 JSON 格式的为解决跨域请求资源而产生的解决方案。
如果某些站点存在jsonp劫持漏洞,加入这个站点有个jsonp接口暴露者,功能就是返回用户的姓名:
插件地址:https://github.com/jayus0821/Armor
2.渗透环境
- 准备虚拟机环境,日常工作时全部操作均在虚拟机中完成
- 渗透环境、开发环境、调试环境需要分开,从目标服务器上下载的程序需要在单独的环境中测试运行
- 渗透虚拟机中全程使用代理IP上网,可以使用小飞机结合代理池做负载或者用专业的代理软件
- 物理机必须安装安全防护软件,并安装最新补丁,卸载与公司相关的特定软件,办公电脑尽量不存储个人文件
- fofa、cmd5、seebug、天眼查等第三方工具平台帐号密码不得与公司有关,云协作平台同理
- RAT使用CDN保护的域名上线,域名申请国外的匿名域名确保使用whois查不到个人关联性
- 尽量不使用公司网络出口,可以使用移动4G网卡,然后虚拟机再连代理
- 项目结束之后,虚拟机恢复快照,并且不再复测之前的目标或之前未成功利用的漏洞
- 工作记录使用加密记录软件或者放在加密文件夹,不将敏感的文件放在桌面,不使用在线文档,本地word等
- 虚拟机中不登陆个人帐号,如QQ、微信、网盘、CSDN等
- 添加账号名称应符合已有账号规则,尽量不要与个人公司有关
3.工具环境
- WebShell不能使用普通一句话木马,连接端使用加密流量,建议使用蚁剑,冰蝎需要二开
- 内网渗透时使用socks代理,尽量压缩加密流量
- 上传程序到目标服务器时,需要修改文件名:如svchost等,尽量不上传内部自研工具
- 公开工具需要去除特征指纹,如:sqlmap、masscan、Beacon证书
- 工具需要设置线程或访问频率,如sqlmap的–delay、内网扫描时线程不大于5
- Cobalt Strike后门上线后,权限维持时设置time.sleep大于500秒
- 手机短信验证码需使用在线平台,临时邮件接收使用临时邮箱
- 禁止在C2服务器上开启web服务,特别是注意不要为了方便在/home目录下开
- 小范围流传的工具建议各大微信群公开,以免被人上传后被意外溯源,藏木于林
- 木马编译环境中用户名使用administrator,禁止使用自己的ID
- 自建dnslog平台的whois信息需要隐藏
- 自研扫描器不要带有特征,特别是XX自研、XX内部专用
- 及时关闭漏洞测试环境,文件包含或远程调用操作结束后及时关闭开启服务