导图社区 红蓝队密罐溯源对抗
蜜罐是一种软件应用系统,用来称当入侵诱饵,引诱黑客前来攻击。攻击者入侵后,通过监测与分析,就可以知道他是如何入侵的,随时了解针对组织服务器发动的最新的攻击和漏洞。
社区模板帮助中心,点此进入>>
论语孔子简单思维导图
《傅雷家书》思维导图
《童年》读书笔记
《茶馆》思维导图
《朝花夕拾》篇目思维导图
《昆虫记》思维导图
《安徒生童话》思维导图
《鲁滨逊漂流记》读书笔记
《这样读书就够了》读书笔记
妈妈必读:一张0-1岁孩子认知发展的精确时间表
红队视角/反制
等等..各位红对大佬比我了解
猜测蓝队的小心思
威胁预警
某些字典一下字就跑出来的域名,有不该被正常用户访问的资产,大概率是肉鸡
攻击转移
内网一些没有保护的高危漏洞设备
攻击流程分析
日志/流量分析
可执行文件
密罐捕获
密罐识别
开源工具
手动识别
非web密罐
低交互
啥也木有,就是伪装服务等你爆破
高交互
更逼真,注意一些常见溯源漏洞
web密罐存在xss,跨与请求等等
流量分析
js代码分析
某些包含常见的溯源域名的url
qq/微信
泄漏社交媒体帐号
淘宝
泄漏ip地址
等等...
自己看常见密罐猜去
混淆严重
函数名/变量名熵高
可能每次打开的js名不同等等
低交互web密罐
服务单一
基本没有危害,可以无视
指纹混淆
黑客工具的流量混淆
cs流量混淆
https反向代理
操作系统的混淆
设备安全性更新
浏览器
指纹修改
反开源情报
ua修改
让漏洞利用误判
稳定版本
凭证删除
常用服务组件语言工具
mysql
java
黑客工具
蚁剑
等等....
肉鸡减少重复使用
邮箱和用户名都不要重复
邮箱不包含真是信息
邮箱不包含用户名
显著增加溯源难度
不同平台用户名不重复
不同类型平台邮箱绑定不重复
低调
反社工和开源情报
尽量保证不同平台无法得到相关性验证
uid不重复
防maigret等工具
邮箱id不重复
防spiderfoot等工具
平台绑定不重复
可以购买回收号码
数据泄漏后及时止损
持久化木马的反调试
加壳
虚拟机识别
内存反调试
确保代理安全性
购买vps
肉鸡代理
代理商
公开代理
尽量小心使用开源工具
关注版本漏洞
小心不安全的语言开发的工具
关注各种密罐技术的文章,了解那些工具会被反制
新的虚拟机环境
减少能被窃取的文件
用完就扔,不会被杀熟...
被蓝队反杀不至于裤子都不剩
注意虚拟机漏洞
蓝队视角
jsonp等平台漏洞
获取数据
非社交媒体信息
登陆时间
基于时间分析地理位置信息
可能的职业
分析红队的来源
所在地
各大平台收集各红队所在地
等等
其它开源情报技术
红队队的社交媒体 信息
qq号
社工库
钓鱼
用户名
maigret/sherlock
平台数据泄漏
平台漏洞
平台开源情报工具
基于用户名猜测邮箱
基于密码等还原手机号
开源情报
微信号
社工钓鱼
基于某开发者平台泄漏得到真实ip
csdn
等等,自己去找
邮箱
找回密码
可能的真实ip
常见信息收集
威胁情报平台
whois
网络空间搜索引擎
nmap/goby等扫描器
ip信息收集
数据处理
同理
数据来源
密罐收集到的攻击ip
黑客留下的木马等分析
钓鱼获取
代理工具漏洞
某些代理平台曝光的泄漏真实ip漏洞,eg: nordvpm
通过黑客肉鸡溯源
浏览器漏洞,黑客常用工具软件漏洞
mysql任意文件读取
能读取文件的漏洞,尝试收集对方的用户路径等到uid
凭证文件
sqlmap命令注入
获取真实ip
建立shell
获得攻击流程等等
xss
窃取cookie
获得真实ip等等
各种浏览器溢出
同命令注入
等等...非常多
每个密罐或多或少都利用了一些
文件钓鱼
注:某些密罐会用的手段
攻击所留下的ssh帐号密码,token等凭证
威胁情报
开源情报工具
对用户名/密码分析
maigret
某开发者平台
开源工具利用
frp token可以直接新建链接
实际只要有用的信息就是情报
屏幕大小
ua
所使用的语言
所使用的工具
.....
利用密罐溯源技术
