HW多人运动溯源及反制指北
字数 2595 2025-08-03 16:48:08

HW多人运动溯源及反制技术指南

一、反制团队架构设计

1.1 团队组成与分工

一个完整的反制团队应由以下专业人员组成:

  1. 渗透人员(至少1名):

    • 负责对攻击目标进行反渗透
    • 具备常规渗透测试技能

  2. 内网专家(1名):

    • 擅长内网渗透、钓鱼攻击
    • 精通Cobalt Strike/MSF框架
    • 具备免杀技术能力

  3. 情报/社工人员(至少1名):

    • 对获取的IOC、ID等进行分析
    • 进行社工反制相关人员

  4. 逆向分析人员(1名):

    • 分析获取的样本文件
    • 提取关键信息
    • 分析攻击者后门程序

  5. 漏洞分析专家

    • 熟悉主流Web漏洞
    • 精通浏览器及二进制漏洞
    • 能快速制作反制payload

二、技术反制思路

2.1 服务器取证分析

Windows服务器取证:

  1. 日志分析

    • Security日志/RDP日志:获取连接IP信息
    • 提取历史连接记录

  2. 网络连接分析

    • netstat -ano查看网络连接
    • 识别可疑外联IP

  3. 进程分析

    • tasklist查看运行进程
    • 识别C2服务器端程序

  4. 浏览器取证

    • Chrome/Firefox/IE/360浏览器记录
    • 保存的账号密码信息
    • 历史访问记录

  5. 密码管理工具

    • 提取密码管理工具保存的凭据

  6. 第三方应用日志

    • Python/FTP等应用日志
    • 分析临时中转文件

  7. 代理工具日志

    • Frp等代理工具的连接日志

Linux服务器取证:

  1. 进程与网络分析

    • ps auxwwfw查看进程
    • netstat -anp查看网络连接

  2. 日志分析

    • 用户history日志
    • /var/log/lastlog:最后成功登录记录
    • /var/log/secure:安全日志
    • /var/log/btmp:登录失败记录
    • /var/log/wtmp:所有用户登录记录

  3. 第三方应用日志

    • 代理工具如Frp的日志

2.2 攻击者PC取证分析

若获取攻击者PC控制权,可进行以下取证:

  1. 社交软件分析

    • QQ/微信ID文件夹
    • 数据库解密获取聊天记录

  2. Webshell管理器

    • 提取webshell管理器的数据库
    • 分析受害情况

  3. 文档资料

    • 攻击者日常记录的报告
    • 云端同步的资料

  4. 团队信息挖掘

    • 通过社交软件或协作平台
    • 定位整个红队成员
    • 进一步控制更多设备

三、常见工具反制技术

3.1 Cobalt Strike反制

适用版本:4.0-4.4

技术要点

  1. 从内存中提取Beacon信标:

    • 使用BeaconEye工具
    • 可自行优化改进

  2. 解析CS配置:

    • 使用CobaltStrikeParser
    • 特征码定位:
      • 32位:8? 68 74 74 70
      • 64位:9? 68 74 74 70

  3. 模拟上线攻击:

3.2 MSF反制

技术要点

  1. 使用Yara规则扫描内存中的MSF shellcode:

3.3 DNSLog/HTTPLog反制

技术要点

  1. 获取payload URL后:
    • 使用站长之家批量ping
    • 使用腾讯云函数批量访问
    • 使攻击者日志充满噪声

3.4 Goby反制

技术要点

  1. 利用XSS到RCE漏洞链:
    • 服务端返回恶意header插入XSS
    • XSS引用远程JS文件执行代码
    • 攻击者点击详情触发

PoC示例

<?php
header("X-Powered-By: PHP/");
?>

3.5 蚁剑反制

漏洞版本

  • <= v2.1.6存在反向RCE漏洞
  • <= v2.1.8.1存在View Site RCE漏洞

技术要点

  1. 利用XSS执行代码:
  1. Cookie注入RCE:
document.cookie="a="

3.6 AWVS反制

漏洞版本

  • AWVS 10版本存在漏洞
  • AWVS 14以下版本存在漏洞

3.7 Chromium V8引擎反制

技术要点

  1. 构造恶意JavaScript利用V8漏洞
  2. 替换shellcode部分执行任意代码

PoC框架

ENABLE_LOG = true;
IN_WORKER = true;
// shellcode替换部分
var shellcode = [xxx];

function trigger() {
  var oob = oobAccess();
  var func_ptr = oob.leakPtr(target_function);
  var kCodeInsOffset = 0x1b;
  var code_addr = oob.read32(func_ptr + kCodeInsOffset);
  oob.setBytes(code_addr, shellcode);
  target_function(0);
}

3.8 Burp Suite反制

技术要点

  1. 指纹识别

    • 利用跨域请求识别Burp
    
<script src="http://burp/jquery.js" onload="alert('found burp')"></script>

  2. 漏洞利用

    • 针对2021年3月3日前版本
    • 利用Live audit或Render功能触发

3.9 sqlmap反制

技术要点

  1. 构造钓鱼页面诱骗攻击者:
<html>
<body>
<form id="myForm" action="username.php" method="post" enctype="text/plain">
  <input type='hidden' name='name' value='sdf&sadf=sadf&command="&&whoami"'>
  <input type="submit" onclick="myForm.submit()" value="Submit">
</form>
</body>
</html>

3.10 Git相关反制

技术要点

  1. Git CLI漏洞(CVE-2020-26233)

    • 创建恶意仓库包含重命名的git.exe
    • 等待受害者fork触发RCE

  2. 源码泄露工具反制

    • 构造恶意路径../
    • 写入后门到启动项或定时任务
    • 受影响工具:
      • GitHack
      • dumpall
      • GitHacker
      • git-dumper

3.11 Webshell后门反制

技术要点

  1. 隔离服务器后在webshell中"加料"
  2. 获取连接者的User-Agent
  3. 利用浏览器漏洞进行反制

3.12 数据库连接反制

MySQL反制

  1. 伪造恶意MySQL服务器
  2. 利用LOAD DATA LOCAL INFILE读取客户端文件
  3. 可获取微信ID、NTLM hash等
  4. 参考工具:MysqlHoneypot

3.13 远程桌面/共享反制

技术要点

  1. 针对mstsc连接或VMware共享
  2. 往启动项投放可执行文件
  3. 实现RCE控制

四、蜜罐技术

4.1 基础蜜罐部署

  • 内外网广泛部署
  • HW必备设施

4.2 高级蜜罐技术

  1. JSONP/WebRTC获取真实IP

    • 绕过代理获取真实IP
    • 利用社交账号精准溯源

  2. WebRTC IP泄露

<script>
  // 创建RTCPeerConnection
  var pc = new RTCPeerConnection(servers, mediaConstraints);
  
  // 获取候选IP
  pc.onicecandidate = function(ice){
    if(ice.candidate) handleCandidate(ice.candidate.candidate);
  };
</script>
  1. VPN类蜜罐
    • 部署二级域名VPN蜜罐
    • 利用360Connect/Sangfor VPN客户端漏洞
    • DLL劫持技术
    • 自签名证书伪装

五、溯源技术

5.1 IP溯源

  1. 排除CDN干扰
  2. 常规方法:
    • Whois查询
    • 域名反查
    • 反渗透
  3. 高级方法:
    • 威胁情报分析
    • 历史解析记录
    • 关联样本分析

5.2 域名溯源

  1. 历史解析记录分析
  2. Whois信息关联

5.3 红队人员溯源

  1. 社交论坛分析
  2. 招聘信息挖掘
  3. 各类APP身份定位

5.4 病毒源码溯源

  1. 分析debug信息
  2. 提取编译信息
  3. 使用VirusTotal追踪
  4. Go语言样本特别分析:

5.5 手机号溯源

  1. 通过社交API定位
  2. 多平台关联分析

六、参考资料

  1. MySQL蜜罐技术
  2. Chromium V8漏洞分析
  3. Git漏洞分析
  4. WebRTC IP泄露
  5. Burp反制技术
HW多人运动溯源及反制技术指南 一、反制团队架构设计 1.1 团队组成与分工 一个完整的反制团队应由以下专业人员组成: 渗透人员 (至少1名): 负责对攻击目标进行反渗透 具备常规渗透测试技能 内网专家 (1名): 擅长内网渗透、钓鱼攻击 精通Cobalt Strike/MSF框架 具备免杀技术能力 情报/社工人员 (至少1名): 对获取的IOC、ID等进行分析 进行社工反制相关人员 逆向分析人员 (1名): 分析获取的样本文件 提取关键信息 分析攻击者后门程序 漏洞分析专家 : 熟悉主流Web漏洞 精通浏览器及二进制漏洞 能快速制作反制payload 二、技术反制思路 2.1 服务器取证分析 Windows服务器取证: 日志分析 : Security日志/RDP日志:获取连接IP信息 提取历史连接记录 网络连接分析 : netstat -ano 查看网络连接 识别可疑外联IP 进程分析 : tasklist 查看运行进程 识别C2服务器端程序 浏览器取证 : Chrome/Firefox/IE/360浏览器记录 保存的账号密码信息 历史访问记录 密码管理工具 : 提取密码管理工具保存的凭据 第三方应用日志 : Python/FTP等应用日志 分析临时中转文件 代理工具日志 : Frp等代理工具的连接日志 Linux服务器取证: 进程与网络分析 : ps auxwwfw 查看进程 netstat -anp 查看网络连接 日志分析 : 用户history日志 /var/log/lastlog :最后成功登录记录 /var/log/secure :安全日志 /var/log/btmp :登录失败记录 /var/log/wtmp :所有用户登录记录 第三方应用日志 : 代理工具如Frp的日志 2.2 攻击者PC取证分析 若获取攻击者PC控制权,可进行以下取证: 社交软件分析 : QQ/微信ID文件夹 数据库解密获取聊天记录 Webshell管理器 : 提取webshell管理器的数据库 分析受害情况 文档资料 : 攻击者日常记录的报告 云端同步的资料 团队信息挖掘 : 通过社交软件或协作平台 定位整个红队成员 进一步控制更多设备 三、常见工具反制技术 3.1 Cobalt Strike反制 适用版本 :4.0-4.4 技术要点 : 从内存中提取Beacon信标: 使用 BeaconEye 工具 可自行优化改进 解析CS配置: 使用 CobaltStrikeParser 特征码定位: 32位: 8? 68 74 74 70 64位: 9? 68 74 74 70 模拟上线攻击: 使用 CS_ mock 或 CobaltSpam 注意修改cookie值匹配攻击者配置 3.2 MSF反制 技术要点 : 使用Yara规则扫描内存中的MSF shellcode: 参考 yara规则库 注意存在部分误报 3.3 DNSLog/HTTPLog反制 技术要点 : 获取payload URL后: 使用站长之家批量ping 使用腾讯云函数批量访问 使攻击者日志充满噪声 3.4 Goby反制 技术要点 : 利用XSS到RCE漏洞链: 服务端返回恶意header插入XSS XSS引用远程JS文件执行代码 攻击者点击详情触发 PoC示例 : 3.5 蚁剑反制 漏洞版本 : <= v2.1.6存在反向RCE漏洞 <= v2.1.8.1存在View Site RCE漏洞 技术要点 : 利用XSS执行代码: Cookie注入RCE: 3.6 AWVS反制 漏洞版本 : AWVS 10版本存在漏洞 AWVS 14以下版本存在漏洞 3.7 Chromium V8引擎反制 技术要点 : 构造恶意JavaScript利用V8漏洞 替换shellcode部分执行任意代码 PoC框架 : 3.8 Burp Suite反制 技术要点 : 指纹识别 : 利用跨域请求识别Burp 漏洞利用 : 针对2021年3月3日前版本 利用Live audit或Render功能触发 3.9 sqlmap反制 技术要点 : 构造钓鱼页面诱骗攻击者: 3.10 Git相关反制 技术要点 : Git CLI漏洞(CVE-2020-26233) : 创建恶意仓库包含重命名的git.exe 等待受害者fork触发RCE 源码泄露工具反制 : 构造恶意路径 ../ 写入后门到启动项或定时任务 受影响工具: GitHack dumpall GitHacker git-dumper 3.11 Webshell后门反制 技术要点 : 隔离服务器后在webshell中"加料" 获取连接者的User-Agent 利用浏览器漏洞进行反制 3.12 数据库连接反制 MySQL反制 : 伪造恶意MySQL服务器 利用 LOAD DATA LOCAL INFILE 读取客户端文件 可获取微信ID、NTLM hash等 参考工具: MysqlHoneypot 3.13 远程桌面/共享反制 技术要点 : 针对mstsc连接或VMware共享 往启动项投放可执行文件 实现RCE控制 四、蜜罐技术 4.1 基础蜜罐部署 内外网广泛部署 HW必备设施 4.2 高级蜜罐技术 JSONP/WebRTC获取真实IP : 绕过代理获取真实IP 利用社交账号精准溯源 WebRTC IP泄露 : VPN类蜜罐 : 部署二级域名VPN蜜罐 利用360Connect/Sangfor VPN客户端漏洞 DLL劫持技术 自签名证书伪装 五、溯源技术 5.1 IP溯源 排除CDN干扰 常规方法: Whois查询 域名反查 反渗透 高级方法: 威胁情报分析 历史解析记录 关联样本分析 5.2 域名溯源 历史解析记录分析 Whois信息关联 5.3 红队人员溯源 社交论坛分析 招聘信息挖掘 各类APP身份定位 5.4 病毒源码溯源 分析debug信息 提取编译信息 使用VirusTotal追踪 Go语言样本特别分析: 使用 go-strip 工具 5.5 手机号溯源 通过社交API定位 多平台关联分析 六、参考资料 MySQL蜜罐技术 Chromium V8漏洞分析 Git漏洞分析 WebRTC IP泄露 Burp反制技术