详细谈谈什么是网络安全蜜罐

什么是蜜罐

蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。
还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

常见蜜罐使用类型和场景

溯源蜜罐

web蜜罐-jsonp

获取社交网站ID、手机号…(大部分蜜罐都是获取BaiduID)

mysql蜜罐-load data local infile

读取本机文件获取相关信息(电脑用户名、chrome保存密码、chrome收藏夹.chrome历史记录、Xshell账密、Crt账密、finalshell账密、MobXterm账密…)

溯源思路

溯源原则

证明所有已发现的社交信息是互相关联的,且证明所有获得的信息都是出自同一个攻击者。该原则在确定攻击者身份的过程中非常重要。

IP溯源

IP地址定位

使用IPUU可以查询IP地址的归属地,查询结果中会显示IP地址所属的国家、省份、城市和运营商等信息。(准确率不高)

IP反查域名

使用iP地址查询 (ip138.com)或者https://dns.aizhan.com/可以反查域名,可以根据查询到的域名进行更深入的溯源,如果域名为攻击者个人技术博客,则可以进一步查询博客网站的ICP备案信息,同时在博客中检索是否包含相关联系方式。

域名WHOIS查询

使用站长工具_whois查询工具_爱站网 (aizhan.com)查询&微步在线-数字时代网络威胁应对专家 (threatbook.cn)可以查询域名的注册信息,查询结果中会显示域名的注册者、注册时间、到期时间等信息。

IP反制

对恶意IP进行渗透,拿取权限后再检索恶意主机上是否留存相关信息,再以收集到的信息进一步渗透。

社交溯源

1.百度找回密码模块佐证手机号与百度ID的关联性
2.钉钉搜索手机号佐证手机号与姓名的关联性
3.支付宝手机号转账确认相关手机与姓名的关联性
4.支付宝找回账号确认姓名与身份证的关联性
5.QQ账号找回密码可以看到部分手机号码

防止蜜罐捕捉思路

1.浏览器插件

蜜罐溯源这部分用到的技术主要是jsonp

jsonp全称是 JSON with Padding ,是基于 JSON 格式的为解决跨域请求资源而产生的解决方案。
如果某些站点存在jsonp劫持漏洞,加入这个站点有个jsonp接口暴露者,功能就是返回用户的姓名:

插件地址:https://github.com/jayus0821/Armor

2.渗透环境

  1. 准备虚拟机环境,日常工作时全部操作均在虚拟机中完成
  2. 渗透环境、开发环境、调试环境需要分开,从目标服务器上下载的程序需要在单独的环境中测试运行
  3. 渗透虚拟机中全程使用代理IP上网,可以使用小飞机结合代理池做负载或者用专业的代理软件
  4. 物理机必须安装安全防护软件,并安装最新补丁,卸载与公司相关的特定软件,办公电脑尽量不存储个人文件
  5. fofa、cmd5、seebug、天眼查等第三方工具平台帐号密码不得与公司有关,云协作平台同理
  6. RAT使用CDN保护的域名上线,域名申请国外的匿名域名确保使用whois查不到个人关联性
  7. 尽量不使用公司网络出口,可以使用移动4G网卡,然后虚拟机再连代理
  8. 项目结束之后,虚拟机恢复快照,并且不再复测之前的目标或之前未成功利用的漏洞
  9. 工作记录使用加密记录软件或者放在加密文件夹,不将敏感的文件放在桌面,不使用在线文档,本地word等
  10. 虚拟机中不登陆个人帐号,如QQ、微信、网盘、CSDN等
  11. 添加账号名称应符合已有账号规则,尽量不要与个人公司有关

3.工具环境

  1. WebShell不能使用普通一句话木马,连接端使用加密流量,建议使用蚁剑,冰蝎需要二开
  2. 内网渗透时使用socks代理,尽量压缩加密流量
  3. 上传程序到目标服务器时,需要修改文件名:如svchost等,尽量不上传内部自研工具
  4. 公开工具需要去除特征指纹,如:sqlmap、masscan、Beacon证书
  5. 工具需要设置线程或访问频率,如sqlmap的–delay、内网扫描时线程不大于5
  6. Cobalt Strike后门上线后,权限维持时设置time.sleep大于500秒
  7. 手机短信验证码需使用在线平台,临时邮件接收使用临时邮箱
  8. 禁止在C2服务器上开启web服务,特别是注意不要为了方便在/home目录下开
  9. 小范围流传的工具建议各大微信群公开,以免被人上传后被意外溯源,藏木于林
  10. 木马编译环境中用户名使用administrator,禁止使用自己的ID
  11. 自建dnslog平台的whois信息需要隐藏
  12. 自研扫描器不要带有特征,特别是XX自研、XX内部专用
  13. 及时关闭漏洞测试环境,文件包含或远程调用操作结束后及时关闭开启服务

 

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇