红蓝匹敌基础设施架构设想Wiki(下) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

红蓝匹敌基础设施架构设想Wiki(下)

申博_新闻事件 申博 82次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

有效载荷和Web重定向

在供应有效载荷和Web资本时,我们愿望最小化事宜相应者检察文件的才能,并增添胜利实行有效载荷的时机,无论是竖立C2照样收集谍报。

红蓝匹敌基础设施架构设想Wiki(下)

Jeff Dimmock写的关于 Apache Mod_Rewrite的用法和示例:

· 运用 Apache mod_rewrite 模块增强你的收集垂纶要领

· 运用Apache mod_rewrite模块设置无效的 URI 重定向

· 运用 Apache mod_rewrite模块建立基于操纵体系的重定向

· 运用 Apache mod_rewrite 模块匹敌平安事宜相应职员

· 运用 Apache RewriteMap 模块设置逾期的垂纶链接

· Apache mod_rewrite 模块在渗入测试中的几个运用

· 运用 Apache mod_rewrite 模块供应随机的有效载荷

其他关于Apache mod_rewrite的用法和示例:

· 运用 mod_rewrite 划定规矩躲避供应商沙盒 by  Jason Lang @curi0usjack

· 怎样经由过程 NGINX 供应随机的有效载荷- Gist by jivoi

要在重定向器效劳器上自动设置Apache Mod_Rewrite,请检察Julain Catrambone的(@n0pe_sled) 博客两篇文章——自动化设置 Mod_Rewrite 模块 和accompanying tool。

C2重定向

重定向C2流量背地的企图有两个:一个是为了殽杂后端的团队效劳器,若是被事宜相应职员阅读了网站,则可以或许疑惑他们,让网站看起来似乎是正当的网站。经由过程运用Apache mod_rewrite或其他署理(比方运用Python的Web框架Flask),我们可以或许可靠地过滤来自观察流量的实在C2流量。

· 运用      Apache mod_rewrite 模块建立 Cobalt Strike HTTP      C2 重定向器 – Jeff Dimmock

· 运用      Apache mod_rewrite 模块珍爱你的 Empire C2 – Gabriel      Mathenge (@_theVIVI)

· 扩大你的视野: Red Team – 古代 SAAS C2 – Alex      Rymdeko-Harvey (@killswitch-gui)

· 夹杂的      Cobalt Strike 重定向器引见 – Zach Grace (@ztgrace) and @m0ther_

运用HTTPS举行C2重定向

在上面的“C2重定向”的基本上的另外一种要领是让你的重定向效劳器运用Apache的SSL署理引擎来吸收入站SSL要求,并将这些要求署理到反向HTTPS监听器的要求。加密须要在统统阶段运用,你可以或许依据须要在重定向器上替换SSL证书。

为了运用mod_rewrite划定规矩,你须要将划定规矩放在“/etc/apache2/sites-available/000-default-le-ssl.conf”中,假定你已运用LetsEncrypt(又叫做CertBot)安装了证书。另外,要启用SSL ProxyPass引擎,你须要在同一个设置装备摆设文件中包罗以下设置装备摆设行:

# Enable the Proxy Engine #启用署理引擎
SSLProxyEngine On
 
# Tell the Proxy Engine where to forward your requests#关照署理引擎转发要求的地位
ProxyPass / https://DESTINATION_C2_URL:443/
ProxyPassReverse / https://DESTINATION_C2_URL:443/
 
# Disable Cert checking, useful if you're using a self-signed cert
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
SSLProxyCheckPeerExpire off

其他有关于Apache mod_rewrite的资本

· 自动化设置装备摆设      Apache mod_rewrite 模块和 Cobalt Strike      Profiles

· mod-rewrite-模块运用手册.com

· Apache 2.4      mod_rewrite 模块官方申明文档

· Apache mod_rewrite 模块引见

· Apache mod_rewrite 深度剖析

· Mod_Rewrite/.htaccess      字符搜检器引见

修正C2流量

Cobalt Strike

Cobalt Strike运用Malleable C2设置装备摆设文件修正其流量。设置装备摆设文件供应高度可自界说的选项,用于修正效劳器的C2流量在线路上的显现体式格局。 Malleable C2设置装备摆设文件可用于增强躲避事宜相应职员的检测和假装已知敌手或伪装成目的运用的正当内部运用顺序。

· Malleable C2      Profiles 官方申明 – GitHub

· Malleable 敕令及掌握申明文档- cobaltstrike.com

· Cobalt Strike 2.0 –      Malleable 敕令及掌握申明文档 – Raphael Mudge

· Cobalt Strike 3.6 – 特权提拔引见 –      Raphael Mudge

· 英勇的新世界:      Malleable C2 – Will Schroeder (@harmj0y)

· 怎样编写用于Cobalt      Strike  的 Malleable C2      Profiles – Jeff Dimmock

· 内存中的躲避手艺引见 (Video series) – Raphael Mudge

在最先建立或修正Malleable C2设置装备摆设文件时,连结Beacon信息安排的数据巨细限定非常主要。比方,设置装备摆设profile文件使得在URL参数中发送大批数据将须要很多要求。有关这方面的更多信息,请检察Raphael Mudge的博客文章警惕低速下载。

若是你的Malleable C2设置装备摆设文件出现问题并注重到teamserver的掌握台输出了错误信息,请参阅Raphael Mudge的博客文章(打破权限限定和 Malleable C2 Profiles )猎取毛病消除的提示。

Empire

Empire运用通讯设置装备摆设文件,它为GET要求URI,用户署理(User Agent)和HTTP头供应自界说的选项。该设置装备摆设文件由每一个元素构成并由管道字符分开,并在监听器上下文菜单中运用set DefaultProfileoption举行设置。

以下是默许的设置装备摆设文件示例:

"/CWoNaJLBo/VTNeWw11212/|Mozilla/4.0 (compatible; MSIE 6.0;Windows NT 5.1)|Accept:image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*|Accept-Language:en-en"

或许,可以或许经由过程在Empire的初始设置之前修正文件/setup/setup_database.py来设置DefaultProfile的值。这将变动Empire运用的默许通讯设置装备摆设文件。

除通讯设置装备摆设文件以外,请斟酌依照Joe Vest (@joevest) 的文章( Empire – 修正效劳端C2 指示器)中供应的步调来自界说Empire效劳器的stage URI,效劳器标头和默许的网页内容。

· 默许的      Empire 通讯设置装备摆设文件引见 (in Empire GitHub repo)

· 怎样制造      Empire 的通讯设置装备摆设文件 – Jeff Dimmock

第三方C2信道

应用C2的可托正当Web效劳可以或许为你本身设置装备摆设的域名和基本架构供应有代价的支撑。设置装备摆设时候和庞杂性须要依据所运用的手艺和效劳而异。应用第三方效劳举行C2重定向的一个盛行案例是运用Domain Fronting。

Dmain Fronting域名前端

Domain Fronting是一种检察回避效劳和运用顺序用于经由过程正当和高度可托域名路由流量的手艺。支撑Domain Fronting的盛行效劳包罗 Google App Engine, Amazon CloudFront, 和 Microsoft Azure。主要的是要注重很多供应商,比方Google 和 Amazon 已实行针对域名前端的减缓,因而在你实验运用时,此Wiki中供应的某些链接资本或信息可以或许已过期。

简而言之,流量运用了受信托效劳供应商的DNS和SNI称号,以下示例中运用的效劳供应商是Google。当边沿效劳器收到流量时(比方:来自gmail.com的流量),数据包将转发到数据包主机头中指定的源效劳器(比方:phish.appspot.com)。依据效劳供应商的分歧,Origin Server会直接将流量转发到指定的域名,我们将指向我们的团队效劳器,或许须要署理运用顺序来实行终究的流量转发。

红蓝匹敌基础设施架构设想Wiki(下)

有关Domain Fronting怎样事情的更多详细信息,请参阅白皮书(经由过程 domain fronting 手艺阻挠通讯)和TOR项目(申明文档)

除规范的前端域名(比方任何google.com的域名)以外,还可以或许应用其他正当域名举行前端处置惩罚。

有关征采前端域名的更多信息,请检察以下资本:

· 经由过程Cloudfront      替换域举行Domain      Fronting  – Vincent Yiu      (@vysecurity)

· 查找Azure 域名的 Domain Fronting –      thoth / Fionnbharr (@a_profligate)

· Google      Groups: 运用Censys查找2000+ Azure域的博客文章

· FindFrontableDomains      东西引见      – Steve Borosh (@rvrsh3ll)

关于Domain Fronting的更多资本

· 简化Domain      Fronting – Tim Malcomvetter (@malcomvetter)

· 高荣誉重定向器及      Domain Fronting – Raphael Mudge

· Empire Domain      Fronting – Chris Ross (@xorrior)

· 逃走并躲避限定的收集      – Tom Steele (@_tomsteele) and Chris Patten

· 红队洞察之运用      Cobalt Strike 对谷歌效劳器的Domain Fronting进击– Will Vandevanter and      Shay Nahari of CyberArk

· SSL Domain Fronting      101 – Steve Borosh (@424f424f)

· 我们是怎样发明      93k 个可用于 的 Domain Fronting CloudFront 域名的 – Chris      Myers (@SWIZZLEZ_)和Barrett Adams (@PEEWPW)

· 甚么是      Domain Fronting – Vincent Yiu (@vysecurity)

· 无效的      CloudFront SSL 域名 – Vincent Yiu (@vysecurity)

· CloudFront      挟制 – Matt Westfall      (@disloops)

着名IoT公司Sierra 4G网关产物Wireless AirLink ES450多个破绽详细分析

一、摘要 近期,我们发现Sierra Wireless AirLink ES450中存在一些可被利用的漏洞,这是一个专门为分布式企业设计的LTE网关,例如零售销售点或工业控制系统。由于这些漏洞的存在,为恶意行为者提供了许多攻击媒介,并且可以允许他们远程执行受害计算机上的代码、更改管理员密码、公开用户凭据等。这些漏洞中的大多数,都存在于ES450附带的Wbe服务器ACEManager中。 ACEManager负责设备上的大多数交互,包括设备重新配置、用户身份验证和证书管理。 根据我们的协调披露政策,Cisco Talos与Sierra Wireless开展密切合作,以确保这些问题得到

· CloudFrunt GitHub      Repo – MindPointGroup

· 微软      Azure 云的 Metasploit Domain Fronting  (@ch1gg1ns)

· 阿里巴巴      CDN 的      Domain Fronting – Vincent Yiu (@vysecurity)

· CloudFlare      Domain Fronting: 一种简朴的要领来访问(和隐蔽)歹意软件的C&C – @theMiddle (Medium)

PaaS重定向器

很多PaaS和SaaS供应商供应了静态子域或URL以供设置装备摆设实例运用。若是联系关系域名一般是高度可托的,则实例可以或许经由过程购置的域名和VPS为你的C2基本架构供应分外的信托。

要设置重定向,你须要标识一个效劳,该效劳将静态子域名或URL作为实例的一局部宣布。然后,须要运用收集或基于运用顺序的重定向设置装备摆设实例。该实例将充任署理,相似于此Wiki中议论的其他重定向器。

详细实行可以或许因效劳而有很大差别;然则,关于运用Heroku的示例,请检察这篇博客文章(扩大你的视野 – 古代 SaaS C2 by Alex Rymdeko-Harvey (@Killswitch_GUI))。

另外一个值得进一步研讨的风趣手艺是运用太过宽松的Amazon S3存储桶作为C2效劳器。检察Andrew Luke (@Sw4mp_f0x) 宣布的(S3 Buckets for Good and Evil )文章相识有关S3存储桶怎样作为C2效劳器的更多详细信息。这类手艺可以或许与Empire的第三方C2功用连系运用,以便运用目的的正当S3存储桶来匹敌它们。

有关运用PaaS作为C2效劳器的另外一个示例,请参阅Scott Sutherland(@_nullbind)的文章( 数据库和云: SQL Server 作为  C2 )。

其他第三方C2

在曩昔,已经有其他第三方效劳用于C2的案例。应用许可疾速宣布或修正用户天生内容的第三方网站可以或许资助你躲避基于信用的掌握,特别是在第三方网站一般受信托的情况下。

检察以下这些资本可以或许猎取其他第三方C2选项:

· canisrufus (GitHub      Repo) – maldevel

· 外部C2(第三方敕令和掌握)      – Cobalt Strike申明文档

· 穿过外部C2      的 Cobalt Strike ——以最隐蔽的体式格局回连 – Mark Bergman at      outflank.nl

· 用于      Cobalt Strike C2 的 Office 365 义务 – William Knowles      (@william_knows)

· 用于 Cobalt      Strike 的外部C2框架– Ryan Hanson      (@ryhanson)

· 用于      Cobalt Strike 的外部C2框架– Jonathan Echavarria      (@Und3rf10w)

· 外部C2框架      (GitHub Repo) – Jonathan Echavarria      (@Und3rf10w)

· 躲在云中:运用亚马逊API      的      Cobalt Strike Beacon C2 – Rhino Security Labs

· 探究      Cobalt Strike的 外部 C2 框架 – Adam (@xpn)

基本设施隐约处置惩罚

用于进击运动的基本设施一般很轻易被检测到,就像正当效劳器的外壳一样。我们须要对我们的基本架构接纳分外步调,以增添在目的构造或目的可以或许运用的效劳之间与实在效劳器夹杂的可以或许性,以此来隐约化我们的基本设施。

重定向器可以或许经由过程重定向到无效的URI、到期的垂纶有效载荷链接或壅塞通用的事宜相应手艺来资助混入;然则,还应注重基本主体及其目标。

比方,在John Menerick(@Lord_SQL)宣布的这篇文章(检测Empire)中引见了在互联网上检测Empire效劳器的要领。

为了匹敌这些及相似的目标,最好修正C2传输形式和效劳器登录页面,限定开放端口和修正默许的HTTP相应标头。

有关怎样为多个进击框架实行这些操纵和其他战略的更多详细信息,请检察以下文章:

· Empire – 修正效劳器      C2 特性 – Andrew Chiles

· 征采红队的      Empire C2 基本设施 – chokepoint.net

· 征采红队的      Meterpreter C2 基本设施 – chokepoint.net 

· 发明      Empire 的 HTTP 监听器 (Tenable Blog) – Jacob Baines

· 主机标头操纵-      Vincent Yiu (@vysecurity)

珍爱基本设施

用于进击运动的基本架构可以或许像任何其他衔接互联网的主机一样遭到进击,而且因为运用中的数据和与目的情况的衔接,它应该被视为高度敏感的基本设施。

2016年,最罕见的一些进击东西中被披露了长途实行代码破绽:

· 2016      Metasploit RCE静态密钥反序列化

· 2017      Metasploit Meterpreter 目次遍历 Bug 汇总

· Empire 的失利      – Will Schroeder

· Cobalt      Strike 3.5.1 主要平安更新 – Raphael Mudge

iptables运用于过滤不须要的流量并限定所需的基本架构元素之间的流量。比方,若是Cobalt Strike团队效劳器仅为Apache重定向器供应资产,则iptables划定规矩应仅许可来自重定向器的源IP的80端口。这关于任何治理接口特别主要,比方SSH或Cobalt Strike的默许端口50050。还要斟酌阻挠非目的国度/地区的IP。作为替换计划,请斟酌运用VPS供应商供应的虚拟机治理顺序防火墙。比方,Digital Ocean供应的云防火墙可以或许珍爱一个或多个droplet产物。

chattr可以或许在团队效劳器上运用,可以或许防备修正cron目次。运用chattr,你可以或许限定任何用户(包罗root)修正文件,直到删除chattr属性。

SSH应仅限于公钥考证,并设置装备摆设为运用有限权限的用户举行初始登录。为了增添平安性,请斟酌向SSH增加多重身份考证。

更新!若是没有提示你按期更新体系并依据须要运用热修复来修复破绽,则没法取得平安列表。

固然,此列表并不能详实你可以或许接纳哪些步伐来珍爱团队效劳器。在统统基本架构中遵照以下罕见的强化实践:

· 红帽企业版      Linux 6 平安指南

· 有关强化的Debian文档

· 珍爱      Debian 平安手册

· 20 个      Linux效劳器强化平安妙技      – nixCraft

· SANS 宣布的 Linux 平安自查表

· 应用      Docker 完成你的敕令&掌握效劳器 (C2) – Alex Rymdeko-Harvey      (@killswitch_gui)

一些详细的强化资本

网上有很多资本可以或许议论基本设施的平安设置和设想。并不是每一个设想斟酌都适用于每一个进击基本架构,但相识哪些选项可用和其他测试职员正在做甚么黑白常有效的。

以下是一些有关的资本:

· 负责任的红队      – Tim MalcomVetter (@malcomvetter)

· 珍爱红队基本设施      – Tim MalcomVetter (@malcomvetter)

· 红队基本设施之加密的AWS-EBS      – @_rastamouse

· 进击基本设施的日记纪录      – Gabriel Mathenge (@_theVIVI)

自动布置

本文章中涵盖的主题增强了进击基本设施,但一般须要大批的时候来设想和实行。经由过程自动化可以或许大大收缩布置时候,使你可以或许在更短的时候内布置更庞杂的设置。

检察有关进击基本架构自动化的一些资本:

· 运用Terraform自动化红队基本设施布置 – 第1局部 – @_RastaMouse

· 运用Terraform自动化红队基本设施布置 – 第2局部 – @_RastaMouse

· Mod_Rewrite 模块自动化设置 – Julian Catrambone      (@n0pe_sled)

· 自动布置      Empire 基本设施– Jeremy Johnson      (@beyondnegative)

· RTOps: 运用Ansible自动实行重定向器布置 – Kevin Dick

· 运用Ansible和Docker自动化Gophish宣布– Jordan Wright      (@jw_sec)

· Red Baron GitHub      Repo – Marcello      (@byt3bl33d3r)

· 自动化用于要挟谍报相应的 Apache mod_rewrite 模块和 Cobalt Strike      Malleable C2  – Joe Vest (@joevest)

· 运用      Terraform 将基本设施模块化 – Liam Somerville (@liamsomerville)

经常使用的布置妙技

· 纪录统统内容 –  运转庞杂的红队基本架构意味着须要挪动很多部件。请务必纪录每一个资产的功用及其流量的发送地位。

· 在分歧的效劳供应商和地区之间拆分资产 – 基本设施资产应散布在多个效劳供应商和地舆地区。蓝队成员可以或许会对被辨认为主动实行进击的供应商进步监控阈值,以至可以或许直接阻挠给定的效劳供应商。注重:若是跨境发送加密或敏感数据,请切记国际隐私法。

· 不要玩的太过 – 渗入测试职员很轻易对先进的手艺觉得高兴,并愿望将这些手艺用到目的上。若是你正在模仿特定的匹敌性要挟,则只应用要挟脚色运用的实在要挟脚色或妙技组合中的手艺就好了。若是你的红队测试职员会临时进击雷同的目的,请斟酌在最先时“轻松一些”并在你的评价中逐渐举行更高等的攻防。与蓝队一同生长红队的手艺将会一向推进企业构造向前生长,但与此同时,用蓝队袭击统统可以或许会压服蓝队并减缓进修的历程。

· 监控日记 – 应该在全部介入过程当中监控统统日记:SMTP日记,Apache日记,socat重定向器上的tcpdump,iptables日记(特定于流量转发或目的过滤),收集日记,Cobalt Strike / Empire / MSF日记。将日记转发到中间日记处置惩罚中间,比方运用rsyslog,以便于监控。保存操纵员的终端数据可以或许在操纵时期用于回溯汗青敕令的运用情况。@Killswitch_GUI建立了一个名为lTerm的易于运用的顺序,它可以或许将统统bash终端敕令纪录到一个中间地位。运用ITerm纪录统统的终端输出 。检察Vincent Yiu的文章CobaltSplunk,相识怎样将Cobalt Strike日记发送到Splunk举行高等基本架构监控和剖析。

· 实行高代价事宜警报 – 设置装备摆设进击基本架构以天生高代价事宜的警报,比方新的C2会话或凭据捕捉掷中。完成警报的一种盛行体式格局是经由过程谈天平台的API,比方Slack。检察以下有关Slack警报的文章:Slack Shell 机器人 – Russel Van Tuyl (@Ne0nd0g), 将Slack 关照用于 Cobalt Strike – Andrew Chiles (@AndrewChiles), 将 Slack 机器人用于垂纶和事情k – Jeff Dimmock (@bluscreenfojeff)

· 指纹事宜相应 – 若是可以或许,在评价最先之前实验实行被迫或主动的指纹IR操纵。比方,向目的发送一般的收集垂纶电子邮件(运用不相关的基本架构)并监控基本架构吸收的流量。 IR团队的观察事情可以或许披显露目的有关团队怎样运作和他们运用何种基本设施的大批信息。若是可以或许在评价之前肯定,则可以或许直接过滤或重定向流量。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明红蓝匹敌基础设施架构设想Wiki(下)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址