最近一些心得:
threathunter又打不開了;認識threathunter運維的人可以幫忙問問....
1.一句話搜哈跑非 http/https/tcp協議:
很多時候都需要powershell bitsadmin mstha等鏈接遠程執行; 或者是載體(shellcode)一同打包發過去,對方點解了就加載載體執行.
這些思路感覺還是有點不足,萬一對方http/https/tcp出不來咋辦; 連同載體打包發過去有點不優雅. 是不是有辦法一句話搜哈跑dns icmp udp 甚至 獲取代理配置 通過代理(http proxy 、socks4/5、squid等 直接上網)......
但是現在經過一些文章學習姿勢,實踐研究了一些可以繞過lnk限制長度(理論上其它可執行後綴格式也可以,只要繞過長度限制就行),再讓開發去改良,可以實現lnk powershell一句話搜哈跑dns協議 (理論上一句話搜哈跑udp icmp 或者其它猥瑣東西都可以.)
或者理論上想辦法實現這樣的執行思路也是可行的:
類似:echo payload |base64 -d >dns.exe && run dns.exe
echo payload |base64 -d >icmp.exe && run icmp.exe
echo payload |base64 -d >udp.exe && run udp.exe
....(大家思考)
參考:http://www.mottoin.com/reports/114030.html
https://www.jianshu.com/p/10d370d635ab
https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-%E5%BF%AB%E6%8D%B7%E6%96%B9%E5%BC%8F%E6%96%87%E4%BB%B6%E7%9A%84%E5%8F%82%E6%95%B0%E9%9A%90%E8%97%8F%E6%8A%80%E5%B7%A7/
[我們還需要一個獲取TXT記錄並執行的腳本,這裏我改了一個腳本:〕
https://m.jb51.net/article/126181.htm
2.相對隱藏反連的url 和 ip
很多時候url 和 ip ,我覺得可以加上第三方雲/cdn 或者 公用的雲/cdn達到相對隱匿效果.
還有就是 Domain Fronting 和 Tor Fronting ; 很少人實戰會使用,確實很實用.
https://mp.weixin.qq.com/s/BlssgysUVcebkX9JZ71zMg
http://app.myzaker.com/news/article.php?pk=5b457d2c77ac64329837575b
https://blog.csdn.net/qq_27446553/article/details/59545673
https://github.com/rvrsh3ll/FindFrontableDomains
http://www.4hou.com/technology/3516.html
http://securityaffairs.co/wordpress/57456/apt/apt29-group-domain-fronting.html
除了獲取 IE/chrome/Firefox 代理配置之外:
IE/chrome/Edg內核一樣 獲取代理配置相對通用.
Firefox代理配置文件:%user%\hasee\AppData\Roaming\Mozilla\Firefox\Profiles\hxhvs2tj.default\prefs.js
獲取註冊表、客戶端配置 是否有mail smtp/pop3/imp相關配置,
獲取各類瀏覽器記錄是否有mail相關登陸信息,
......
可以通過發送mail 來實現交互payload執行.
查看目標辦公和內網情況,是否有用到一些類似 (syncbox dropbox google drive onedrive AWS 等等.) 通過這些類通訊.
查看目標辦公和內網情況,是否有用到一些(skype,whatsapp,emessage,instagram 等能外部註冊的;註冊兩個賬號來實現交互通訊).
......
......
3.一些攻防 bypass:
執行命令
wscript.shell 被監控
Shell.Application 執行
https://www.cnblogs.com/cnxkey/articles/3944461.html (有點像以前asp年代,N點主機,星外主機,旁站提權的年代.)
因爲絕大部分釣魚執行 最終都會調用到:vbscript javascript 來加載本地域 調用com組件 或者 直接 wscript.shell來執行命令;很容易被 反APT產品檢測到.
另外大家平時有沒有整理:
檢測虛擬機、檢測和繞沙箱、檢測殺軟和動態執行秒殺、還有持久駐留的各種姿勢(win、linux、unix、busybox、AIX、solaris、suse、smp、elsmp 等各種系統)
4.對測評 和 安服 一個升級亮點:
最近在幫單位去報一些所謂的測評服務體系亮點時候想的,感覺可落地性很大.
[終端資產識別,促進安全服務和測評服務深入;能達到最大化能加固系統的效果]
很多時候測評或者安服就給你一個ip url 或者 ip段;最多附帶你多一個vpn 和 測試賬號密碼.
....
但是我們系統可以做到xxxxx:
例如:
tomcat 版本5.5; spring xxx版本 版本號xxx
裏面lib類庫有 xxx 版本號是xxxx,xxx版本號是xxxx,xxx版本號是xxxx,xxx版本號是xxxx,xxx版本號是xxxx
服務器Linux版本號爲xxxxx , uname -a 和 /etc/issue ,lsb_release -a ,/proc/version 等等信息描述出來,還有補丁日誌 和 操作系統更新日期描述出來,甚至可以把系統打過的補丁也列出來。
服務器內網ip多少、網站絕對路徑多少、網上通過什麼方式可以反連上網(例如:icmp、dns txt? CNAME? MX?、udp、http/https、還是特定端口或者要走代理服務器才行等等,識別自動描述出來)、用到的數據庫ip是多少和具體的版本型號是多少(例如:oracle x64 10.0.3g 更新日期爲20140321)
服務器文件上傳功能上傳後的絕對路徑和相對在哪裏(因爲一些測試很多可能是上傳後找不到路徑)、服務器用的什麼終端防護產品(具體到哪個版本和型號)、服務器用了什麼waf/ids/ips等等(具體到哪個版本和型號)
可能描繪得可能比較抽象,總之按照這個思路往這個方向去添加,去思考就是了。。 是否可以扯上供應鏈安全捏。?
結論:【我們的系統可以智能輸出這些信息給到安全服務 和 測評人員,讓他們對系統更加深入的測試;從而也讓系統得到最大化安全的加固。】