红队笔记|反溯源技术在攻防实战中的应用

反溯源是攻防过程中的重要一环，其主要目的为防止防守方快速找出屏幕后，正在抠脚的你。渗透过程中有没有"事了拂衣去"的洒脱，很大程度在于过程中反溯源技术的应用程度。下文为笔者对于溯源技术总结。

主机加固术

理想条件可以准备一个虚拟机来专门进行攻击操作。虚拟机中只装渗透需要工具，并设置快照，每次攻击前重置攻击机。其他通用加固手段如下；

1、攻击机中不要保存任何可以用来分析个人或公司身份的特征的文件；

如条件有限可以将具备个人或个人特征的数据放在加密磁盘内，加大溯源难度，当然前提你自己不要用弱密码管理磁盘加密软件。常用加密软件如VeraCrypt，EasyFileLocker。

2、打全补丁，只对外开放必要端口，危险服务或软件，并安装有效杀毒软件；

最好设置补丁自动更新，避免人工打补丁造成疏漏

3、不连接特征明显的热点，如以公司命名的wifi，个人名字的热点；

电脑会记录WiFi连接记录，记录中具备特征的记录一定要进行删除

4、电脑用户名不要使用可能识别特征的用户名；

5、不登录任何社交软件与社交平台；

6、保持浏览器中不会储存任何个人相关信息；

细节操作有：开启无痕模式（或开启退出清空Cookie），关闭⾃动填充功能，控制网站操作权限。

7、停用mic与摄像头等设备；

如笔记本可以卸载其驱动，并使用不透明贴纸覆盖覆盖摄像头

特征隐藏术

工具特征隐藏

1、扫描器、Payload以及其他工具要去除特征，不要带有任何id，git，博客连接等；

2、DNSLOG、XSS等平台不要使用网上在线版本，在线版本特征过于明现容易被流量设备识别；

3、尽量减少文件的落地，落地的文件需要注意隐藏，

与目标其他文件名称和时间属性进行同化，并设置隐藏；

4、植⼊Webshell⼀句话脚本时，尽量选择⾸⻚index⾥被包含的⽂件；

5、拿到shell后，开启命令⽆痕模式；

6、c2，内网穿透等工具不要使用默认端口，并定期修改密码；

交互特征隐藏

1、渗透过程中任何需要交互认证的地⽅，都不要⽤个⼈、公司有关的名词 ；

涉及手机号和邮箱接时，可以考虑使⽤匿名接收平台 。

2、社⼯过程中不要使用自己的真实社交账号，有条件的情况最好每次注册或购买新的账号；

3、漏扫自动打点时，尽量使用动态随机UA头，避免被浏览设备识别并拦截 ；

4、域名或服务器在创建时不要使用自己名字；

流量特征隐藏

1、攻击机的出口IP，不要使⽤个⼈、公司IP， 尽量使用物联⽹卡、或代理池IP ；

2、C2或其他工具的流量特征需要进行对应的去除或者修改 ；

3、各种攻击资源尽量不要放在一套服务器上，最好使用短期或定时重置ip以预防危险情报标记；

4、尽量不要直接暴露c2的ip，要使用隐藏技术保障c2的安全性；

比较常用的隐藏技术如云函数，域前置，cdn等技术。

5、在服务器上开启⽂件服务，需⽤完即关，严禁开启各种⽆⽤的⾼危端⼝；

6、尽量使用加密协议传输请求

溯源反制术

蜜罐简单识别

1、网站是否存在大量请求其他域资源;

2、网站是否对于各大社交网站发送请求；

3、网站是否存在大量请求资源报错,克隆其他站时没有修改完成;

4、存在⾮常多漏洞的站点，拿到shell后处于docker等虚拟环境，开放⼤量⾼危端⼝的;

5、获取到PC机器后，PC机器⽤户⻓时间划⽔摸⻥;

6、从目标获取的文件需要在沙箱或断网虚拟机运行，避免被反制;

也可以使用蜜罐识别插件进行识别如：anti-honeypot

溯源反制思路与手段

攻防的过程本为一体两面，上文介绍了反溯源的基本思路，溯源的反制其实也是溯源技术的一种另类应用，所谓溯源反制大体可以分为两类；

1、通过伪造特征，导致溯源到其他人身上，达到祸水东引的效果；

如将电脑名称或是工具文件名称伪造为其他单位或者是人员的名称

2、通过追查溯源方的特性，反向溯源出对方；

特殊情况下也可以诱导溯源方在本地执行木马文件，从而控制对方主机

作者：方寸明光

原文链接：https://blog.csdn.net/CoreNote/article/details/122328787