蓝队溯源反制技术 HW的起源和演变过程概述护网行动网络攻防演习是由公安机关所组织的，覆盖政府、能源、交通、卫生以及金融教育等行业中去集中的网络攻防演练行动，其时间约为2-3周。攻击方式：组织其120-130支攻击队伍，对各个行业重点单位目标系统对其重点攻击，检验防守方对攻击的防护以及看目标单位的系统安全性，以积分的方式对其确定防守方的排名。参演方攻击方：由公安机关授权的国家科研机构、安全公司/团队组成。防守方：防守企业。指挥部：根据攻防双方报告的信息，进行评分。HW前的蓝队准备系统安全系统：Windows * 打补丁使用沙箱：BufferZone，SandBox，360沙箱，Returnil，Private Workplace等沙箱软件。配置蜜罐软件：着重讲解HFish蜜罐检测内网警告：分析日志报告社工防守安全预防钓鱼：HW钓鱼方式有很多种，防不胜防，列如：一封邮件，标题：关于2022护网暂停通知.doc。物理层面：物理层面无人机绑定大菠萝对其打入内网进行渗透。HFish蜜罐系统download: https://hfish.io/#/Hfish蜜罐是一款成熟的蜜罐系统，该蜜罐系统具有多种服务协议，搭建简单，有手就行反制物理黑客-无人机劫持IOT技术通过智能收集在没有其他控制器的情况下控制DJI无人机。对DJI Spark来说，控制器是可以单独售卖也可以与Spark Combo一起售卖，在没有控制器的情况下，手机应用就是唯一可以控制DJI Spark的，无人机会创建一个WIFI热点来供应用连接，热点使用WPA2协议确保安全的，并且同时只允许一个用户连接。web-socket接口可以完全访问FIWI网络设定，通过建立web-socket服务器的网络连接，攻击者可以看到WIFI网络的设定并与另一个人的无人机建立连接，但是如果改变了设置，无人机就会与用户断开连接，攻击者就会变成无人机的独有者。https://github.com/embedi/dji-ws-tools/blob/master/dji_ws_exploit.py简单暴力，直接使用aireplay-ng打WIFI，从而导致无人机失联状态。防伪后缀名文件钓鱼第一种后缀欺骗方式第二种后缀欺骗方式蓝队溯源反制技术情报收集IP反查http://ip.aa2.cn/https://ipwhois.cnnic.net.cn/index.jsp批量ip归属https://ip.tool.chinaz.com/siteiphttp://www.jsons.cn/ipbatch/https://ip.tool.chinaz.com/https://www.cip.cc/威胁情报推荐地址https://x.threatbook.cn/https://ti.dbappsecurity.com.cn/样本查询地址https://www.virustotal.com/gui/home/upload精准定位https://www.ipuu.net/https://chaipip.com/aiwen.html利用钓鱼邮件溯源在邮件头部信息中查看X-Originating-IP选项，可以获取发送者的IP地址。Windows RDP日志溯源Windows系统系统日志位于计算机管理->系统工具->事件查看器->Windows日志4648日志代码，RDP登陆成功，可溯源到IP地址4625日志代码，RDP登陆失败，可溯源到IP地址Linux日志文件溯源/var/log/mysql.log | Mysql登陆日志/var/log/httpd/access.log | httpd登陆日志/用户/.bashrc | 记录用户操作日志/var/log/auth.log | 包含系统授权信息，包括用户登陆和使用的权限机制等信息/var/log/lastlog | 记录登陆的用户，可以使用命令lastlog查看/var/log/secure | 记录大多数应用输入的账号与密码，登陆成功与否/var/log/cron | 记录crontab命令是否被正确的执行https://github.com/JeffXue/web-log-parser 日志分析工具WAF红队攻击特征信息cobalt strike反制大部分的时间我们就可以直接去看WAF得到有关的攻击信息，当WAF被报警的时候，我们得到的就是攻击者发来的payload，其中有命令执行反弹shell，我们就可以直接溯源到对方的IP地址。其中sqlmap的特征最为明显，因为注入语句被编码了好几次，并且一眼就看出来尝试在注入。另外还有fastjson，weblogic，shiro中间件漏洞等，大部分都会被WAF检测到。cobalt strike我们可以使用python脚本进行爆破cs服务器，爆破完成后我们即可控制其该红队cs服务器。可以使用csbruter工具进行爆破。暴力反制cobalt strike如果cs无法爆破出来，我们可以将自己的cs目标IP和端口修改成所反制的源地址IP和端口，之后上传杀毒网站。对方会上线无数个来自杀毒病毒库分析的机器，并且其造成一定的骚扰。