红蓝匹敌基础设施架构设想Wiki(上) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

红蓝匹敌基础设施架构设想Wiki(上)

申博_新闻事件 申博 127次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

此Wiki的目的是为渗入测试职员供运用于设置弹性Red Team基础架构的资本。这是为了增补Steve Borosh(@424f424f)和Jeff Dimmock(@bluscreenofjeff) BSides NoVa 2017演讲“Doomsday Preppers:强化你的红队基础设施”的议题 (点此下载PPT)。

若是你有想要增加的内容,请提交Pull Request或在repo上提交题目。

谢谢本维基中援用内容的一切作者和一切人!

目次

  • 设想注重事项

    • 功用断绝

    • 运用重定向器

    • 样例设想

    • 更多资本

  • 域名

    • 域名分类和黑名单搜检资本

  • 网络垂纶

    • 轻松的提议基于Web的网络垂纶

    • Cobalt Strike 网络垂纶

    • 网络垂纶框架

  • 重定向器

    • SMTP

      • 发送邮件

        • 删除之前的服务器标头

        • 设置装备摆设一个 catch-all 地点

      • 后缀

    • DNS

      • 运用socat 转发DNS 流量

      • 运用 iptables 转发 DNS 流量

    • HTTP(S)

      • socat 与mod_rewrite的对照

      • 运用 socat 转发HTTP 流量

      • 运用 iptables 转发HTTP 流量

      • 运用 SSH 转发HTTP 流量

      • 有用载荷和Web重定向

      • C2 重定向

        • 运用 HTTPS 举行C2重定向

      • 其他的 Apache mod_rewrite 资本

  • Modifying C2 Traffic

    • Cobalt Strike

    • Empire

  • 第三方 C2  信道引见

    • Domain Fronting

      • 关于 Domain Fronting 的其他资本

    • PaaS 重定向器

    • 其他第三方C2

  • 隐蔽基础设施

  • 珍爱基础设施

  • 自动布置

  • 一样平常提醒

  • 谢谢贡献者

设想注重事项

功用断绝

在设想须要经得起积极相应或延续临时介入(数周,数月,数年)的赤色团队基础架构时,依据功用分别每一个资产异常主要。当运动资产最先被检测到时,这就为蓝队供应了弹性和灵活性。比方,若是识别出评价的网络垂纶电子邮件,则红队只须要竖立新的SMTP服务器和有用载荷托管服务器,而不是全部团队服务器设置。

斟酌将这些功用星散到分歧的资产:

· SMTP网络垂纶SMTP

· Phishing payloads

· 网络垂纶有用载荷

· 临时批示和掌握(C2)服务器

· 短时候C2 服务器

每一个社会工程运动可以或许都须要这些功用。因为运动事宜相应在红队评价中是典范的,因而应为每一个运动实行一组新的基础设施。

运用重定向器

为了进一步规复和隐蔽,每一个后端资产(即团队服务器)都应该在其前面安排一个重定向器。目的是一直在目的和后端服务器之间具有主机。以这类体式格局设置基础架构可以或许更快,更轻松地变更新的基础架构 – 无需从新组建新的团队服务器,迁徙会话和从新衔接未被发现的后端资产。

罕见的重定向器范例:

· SMTP

· 有用载荷

· 网络流量

· Web Traffic

· C2服务器(HTTP(S),DNS等)

每一个重定向器范例都有多个最合适分歧场景的完成选项。这些选项将在Wiki的后续的重定向器章节中进一步细致议论。重定向器可以或许是VPS主机,专用服务器,以至是在Platform-as-a-Service实例上运转的运用程序。

样例设想

这是一个样例设想,在你的脑子里记着功用断绝和重定向器的运用:

红蓝匹敌基础设施架构设想Wiki(上)

更多资本

· 分布式运作红队渗入测试运动的愿景 – Raphael Mudge (@armitagehacker)

· 红队运作的基础设施近况 – Raphael Mudge

· 高等要挟战术 (2/9): 基础设施 – Raphael Mudge

· 基于云的分布式C2重定向器- Raphael Mudge

· 六个红队基础设施技能- Alex Rymdeko-Harvey (@killswitch-gui)

· 怎样运用数字海洋(Digital Ocean)构建C2基础设施 – Part 1 – Lee Kagan (@invokethreatguy)

· 运用 Terraform 自动化布置红队基础设施- Part 1 – Rasta Mouse      (@_RastaMouse)

域名

依据你的目的运用的产物及其设置装备摆设,感知域名信用会有很大差别。因而,挑选适用于你的目的的域名并非一门准确的科学。开源谍报网络(OSINT)关于资助对掌握状况和搜检域名的资本举行最好预测至关主要。荣幸的是,在线告白客户面临着一样的题目,并制造了一些我们可以或许运用的解决计划。

expireddomains.net是一个用于搜刮近来逾期或删除的域名的搜刮引擎。它供应搜刮和高等过滤,比方到期时候,反向链接数目,Archive.org快照数目,SimilarWeb得分。运用该网站,我们可以或许注册预先运用的域名,这些域名将与域名的运用限期一致,看起来与我们的目的相似,也许只是可以或许融入我们的目的网络。

红蓝匹敌基础设施架构设想Wiki(上)

在为C2或数据泄漏挑选域名时,请斟酌挑选归类为财政或医疗保健的域名。因为存在执法或数据敏感性题目,许多构造不会对这些种别实行SSL middling。确保你挑选的域名与之前的任何歹意软件或网络垂纶运动无关,这一点也很主要。

Charles Hamilton((@MrUn1k0d3r)编写的东西CatMyFish运用expireddomains.net和BlueCoat自动实行搜刮和Web分类搜检。可以或许对其举行修正,以便对搜刮运用更多过滤器,以至可以或许对你注册的资产举行临时监控。

Joe Vest(@joevest)和Andrew Chiles(@andrewchiles)的另一个东西DomainHunter可以或许返回BlueCoat / WebPulse,IBM X-Force和Cisco Talos分类,域名运用时长,备用可用TLD,Archive.org链接和HTML申报。另外,它还运用Malwaredomains.com和MXToolBox实行已知歹意软件和网络垂纶运动的搜检。该东西还包罗绕过BlueCoat / WebPulse验证码的OCR支撑。有关细致信息,请检察有关该东西的初始版本。

另有另一个由Max Harley (@Max_68)编写的东西AIRMASTER,经由过程运用expireddomains.net和Bluecoat来查找分类域名。该东西运用OCR绕过BlueCoat验证码,进步了搜刮速率。

若是之前注册的域名不可用或你更喜好自身注册的域名,则可以或许自行对域名举行分类。运用下面的链接或Dominic Chell(@domchell)编写的Chameleon之类的东西。在肯定域名的分类时,大多数分类产物将疏忽重定向或克隆的内容。有关变色龙(Chameleon )运用的更多信息,请检察Dominic的文章——域名分类不再是平安界限。

末了,确保你的DNS设置已准确流传。

· DNS Propogation      Checker

域名分类和黑名单搜检资本

· McAfee(麦咖啡)

· Fortiguard

· Symantec + BlueCoat

· Checkpoint (须要免费帐户)

· Palo Alto

Beapy Cryptojacking蠕虫正在袭击中国企业

自2019年1月以来,赛门铁克研究团队首次发现了一种名为Beapy的Cryptojacking攻击行动。Cryptojacking是一种网络攻击方式,黑客通过在网站中加入恶意代码的方式将挖矿程序植入用户的电脑,非法调用用户的硬件资源进行“挖矿”。Beapy通过利用“永恒之蓝”漏洞和窃取硬编码凭证在网络上快速传播。此次攻击行动主要针对中国的企业,自今年3月初以来一直呈现增长势头。 Beapy (W32.Beapy)是一种基于文件的coinminer,它使用电子邮件作为初始感染载体。在201

· Sophos (仅提交;不搜检) – 单击提交样本 -> Web 地点

· TrendMicro(趋向)

· Brightcloud

· Websense  (Forcepoint)

· Lightspeed Systems

· Chameleon

· SenderBase

· MultiBL

· MXToolBox – 黑名单

网络垂纶设置

轻松的提议基于Web的网络垂纶

轻松和网络垂纶这两个词好像从未真正融会在一同。竖立恰当的网络垂纶基础设施多是一个真正痛楚的事变。以下教程将为你供应疾速设置网络垂纶服务器的学问和东西,该服务器将“大多数”垃圾邮件过滤器通报至今,并为你供应RoundCube界面,以完成轻松的网络垂纶体验,包罗与目的举行双向通讯。关于网络垂纶有许多设置的要领和文章。这只是一种要领。

一旦你具有经由过程上一节中列出的准确搜检的域并让你的网络垂纶服务器启动,你就须要为你的域名竖立一对“A”纪录,如图所示。

红蓝匹敌基础设施架构设想Wiki(上)

接下来,ssh到你的网络垂纶服务器,并确保你的/etc/hosts中列出了准确的FQDN主机名。比方:

“127.0.0.1 email.yourphishingserver.com email localhost”

如今,你只需几个简朴的步调便可装置网络前端举行网络垂纶。首先将最新的 iRedMail  “BETA”版本下载到你的网络垂纶服务器上。一个简朴的要领是右键单击下载按钮,复制链接地点,运用wget直接下载到你的网络垂纶服务器上。接下来,举行解压“tar -xvf iRedMail-0.9.8-beta2.tar.bz2”。翻开解压缩的文件夹并使iRedMail.sh剧本可实行(chmod + x iRedMail.sh)。以root身份实行剧本,依照提醒操纵,你可以或许须要从新启动能力完成一切操纵。

你须要确保具有合适你的邮件服务器的一切准确的DNS纪录(https://docs.iredmail.org/setup.dns.html)。关于DKIM,列出你的DKIM密钥的新敕令应该是 “amavisd-new showkeys”。

关于DMARC,我们可以或许运用(https://www.unlocktheinbox.com/dmarcwizard/)来天生我们的dmarc条目。

红蓝匹敌基础设施架构设想Wiki(上)

如今,竖立一个用户举行网络垂纶的用户。

红蓝匹敌基础设施架构设想Wiki(上)

与你的新用户一同登录RoundCube界面并负责任地举行网络垂纶!

红蓝匹敌基础设施架构设想Wiki(上)

红蓝匹敌基础设施架构设想Wiki(上)

Cobalt Strike网络垂纶

Cobalt Strike供应可定制的鱼叉式网络垂纶功用,以支撑外部渗入测试职员或红队电子邮件网络垂纶。它支撑HTML和/或纯文本格式的模板,附件,回弹地点,URL嵌入,长途SMTP服务器运用和单音讯发送耽误。另一个风趣的功用是可以或许为每一个用户的嵌入式URL增加独一符号以举行点击跟踪。

红蓝匹敌基础设施架构设想Wiki(上)

有关更多细致信息,请检察以下资本:

· Cobalt Strike – 鱼叉式网络垂纶申明文档

· Cobalt Strike 官方博客 – 甚么是网络垂纶手艺和怎样运用?

· 运用 Cobalt Strike 提议鱼叉网络垂纶进击-  Raphael Mudge

· 高等要挟战术(3 / 9) – 有针对性的进击 – Raphael Mudge

网络垂纶框架

除运用你自身的网络垂纶设置或运用像Cobalt Strike如许的渗入测试或赤色团队框架以外,另有许多特地用于电子邮件网络垂纶的东西和框架。虽然这个wiki不会细致引见每一个框架,但下面网络了一些资本也许对你有用:

Gophish

· Gophish 官当网站

· Gophish GitHub 存储库

· Gophish 用户指南

 Frenzy网络垂纶

· Phishing Frenzy 官方网站

· Phishing Frenzy  GitHub 存储库

· 网络垂纶简介 Frenzy – Brandon McCann (@zeknox)

社会工程学工程师东西包

· 社会工程学工程师东西包 GitHub 存储库

· 社会工程学工程师东西包用户手册

FiercePhish(原FirePhish)

· FiercePhish GitHub  存储库

· FiercePhish Wiki

转向器或重定向器

SMTP

“重定向器”可以或许不是形貌我们将要完成的目的的最好辞汇,但其目的与我们的其他重定向雷同。我们愿望从终究的电子邮件标头中删除我们的网络垂纶源的任何陈迹,并在受害者和我们的后端服务器之间供应缓冲区。抱负情况下,SMTP重定向器将须要疾速设置并易于停用。

我们要将两个症结操纵设置装备摆设为要实行的SMTP重定向器:

发邮件

删除之前的服务器标头

将以下行增加到/etc/mail/sendmail.mc的末端:

define(`confRECEIVED_HEADER',`by $j ($v/$Z)$?r with $r$. id $i; $b')dnl

增加到/ etc / mail / access的末端:

IP-to-Team-Server *TAB* RELAY
Phish-Domain *TAB* RELAY

怎样从收到的邮件头中删除发件人的IP地点

怎样从邮箱后缀设置中移除标头

设置装备摆设一个catch-all地点

这会将*@phishdomain.com收到的任何电子邮件转发至所选的电子邮件地点。这关于吸收针对网络垂纶电子邮件的任何复兴或邮件退回异常有用。

echo PHISH-DOMAIN >> /etc/mail/local-host-names

在/etc/mail/sendmail.mc的 //Mailer Definitions//(到末了)之前增加以下行:

FEATURE(`virtusertable', `hash -o /etc/mail/virtusertable.db')dnl

将以下行增加到/ etc / mail / virtusertable的末端:

@phishdomain.com  external-relay-address

注重:这两个字段应以制表符分开

邮箱后缀

Postfix为sendmail供应了一种更轻易的替换计划,具有更普遍的兼容性。 Postfix还为Dovecot供应了完全的IMAP支撑。这许可渗入测试职员可以或许及时的与网络垂纶目的对原始音讯做出相应举行通讯而不是依赖于catch-all地点而且必需运用你的网络垂纶东西竖立新音讯。

有关设置Postfix邮件服务器举行网络垂纶的完全指南,请参阅Julian Catrambone(@n0pe_sled)的文章——怎样让邮件服务器变得简朴?。

DNS

红蓝匹敌基础设施架构设想Wiki(上)

注重:运用C2重定向器时,应在后破绽运用框架上设置装备摆设外部监听器,以经由过程重定向器域名发送分段流量。这将致使受沾染的主机像C2流量自身一样经由过程重定向器举行分级。

运用socat 转发DNS 流量

socat可用于将端口53上传入的DNS数据包重定向到我们的团队服务器。虽然这类要领有用,然则有些用户申报了Cobalt Strike的暂存题目和运用此要领的耽误题目。编纂4/21/2017:因为来自@xorrior的测试,以下socat敕令好像运转优越:

socat udp4-recvfrom:53,reuseaddr,fork udp4-sendto:<IPADDRESS>; echo -ne

重定向 Cobalt Strike DNS Beacons – Steve Borosh

运用 iptables 转发 DNS 流量

iptables DNS转发划定规矩可以或许与Cobalt Strike一同运用。好像socat处置惩罚此类流量没有任何的题目。

下面是DNS重定向器划定规矩集的示例。

iptables -I INPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to-destination <IP-GOES-HERE>:53
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -I FORWARD -j ACCEPT
iptables -P FORWARD ACCEPT
sysctl net.ipv4.ip_forward=1

另外,将“FORWARD”链条战略更改成“接收”

DNS重定向也可以或许在NAT背面完成

有些人可以或许须要或须要在内部网络上托管c2服务器。比方,运用IPTABLES,SOCAT和反向ssh隧道的组合,我们固然可以或许经由过程以下体式格局完成此目的。

红蓝匹敌基础设施架构设想Wiki(上)

在这类情况下,我们运用IPTables的volitile重定向器运用本节前面引见的划定规矩示例转发一切的DNS流量。接下来,我们从内部c2服务器到主重定向器竖立SSH反向端口转发隧道。这会将主重定向器在端口6667上吸收的任何流量转发到内部c2服务器的6667端口上。如今,在我们的团队服务器上启动socat,将端口6667上的任何传入的TCP流量分配到UDP的 53端口上,这就是我们须要监听的DNS c2。末了,我们相似地在主重定向器上设置一个socat实例,将任何传入的UDP的 53端口上的流量重定向到端口6667上的SSH隧道。

HTTP(S)

注重:运用C2重定向器时,应在后破绽运用框架上设置装备摆设外部监听器,以经由过程重定向器域名发送分段流量。这将致使受沾染的主机像C2流量自身一样经由过程重定向器举行分级。

socat与mod_rewrite的对照

socat供应了“dumb pip”(哑管)重定向。 socat在指定的源接口或端口上吸收的任何要求都将重定向到目的IP 或端口。没有过滤或前提重定向。另一方面,Apache mod_rewrite供应了许多要领来增强你的网络垂纶并进步测试基础架构的弹性。 mod_rewrite可以或许依据要求属性实行前提重定向,比方URI,用户署理,查询字符串,操纵系统和IP。 Apache mod_rewrite运用htaccess文件来设置装备摆设Apache应怎样处置惩罚每一个传入要求的划定规矩集。比方,运用这些划定规矩,你可以或许运用默许的wget用户署理将发送到你的服务器的要求重定向到目的网站上的正当页面。

简而言之,若是你的重定向器须要实行前提重定向或高等过滤,请运用Apache mod_rewrite。不然,运用带有可选的iptables过滤划定规矩的socat重定向就足够了。

运用socat转发HTTP流量

socat可用于将指定端口上的任何传入的TCP数据包重定向到我们的团队服务器。

将localhost上的TCP 80端口重定向到另一台主机上的80端口的基础语法是:

socat TCP4-LISTEN:80,fork TCP4:<REMOTE-HOST-IP-ADDRESS>:80

若是你的重定向器设置装备摆设了多个网络接口,则可以或许运用以下语法将socat绑定到特定接口(按IP地点):

socat TCP4-LISTEN:80,bind=10.0.0.2,fork TCP4:1.2.3.4:80

在此示例中,10.0.0.2是重定向器的当地IP地点之一,1.2.3.4是长途团队服务器的IP地点。

运用 iptables 转发HTTP 流量

除socat以外,iptables还可以或许经由过程NAT实行“哑管”重定向。要将重定向器的当地80端口转发到长途主机,请运用以下语法:

iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination <REMOTE-HOST-IP-ADDRESS>:80
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -I FORWARD -j ACCEPT
iptables -P FORWARD ACCEPT
sysctl net.ipv4.ip_forward=1

运用SSH转发HTTP流量

我们之前已引见过运用SSH举行DNS隧道。 SSH可以或许作为一种牢靠且壮大的要领来打破NAT并取得后门衔接到重定向器和服务器情况的要领。在设置SSH重定向器之前,必需将以下行增加到/etc/ssh/sshd_config:

# Allow the SSH client to specify which hosts may connect #许可SSH客户端指定可以或许衔接的主机
GatewayPorts yes
# Allow both local and remote port forwards#许可当地和长途端口转发
AllowTcpForwarding yes

要将重定向器的当地80端口转发到内部的teamrver(团队服务器),请在内部服务器上运用以下语法:

tmux new -S redir80
ssh <redirector> -R *:80:localhost:80
Ctrl+B, D

你还可以或许转发多个端口,比方,若是你愿望一次性翻开443和80端口:

tmux new -S redir80443
ssh <redirector> -R *:80:localhost:80 -R *:443:localhost:443
Ctrl+B, D

申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明红蓝匹敌基础设施架构设想Wiki(上)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址