BCS（北京网络安全大会）2019 红队行动会议重点内容.zip

# RED TEAM > Powered by QAX A-TEAM ## Summary  ## 情报收集与外网打点 因为起晚了..第一个议题没听着，有点遗憾，补张图  ## 基础设施架构设计部署 普通架构：红队人员--》teamserver cs--》目标机 缺点：功能未分离、无潜伏通道、回连日志多、灵活性较低 演进架构：DNS/HTTP/HTTPS分离server tips：1~2cpu 2G内存 10G硬盘，回连数不超过5台，潜伏通道（根据实际目标环境优先） 完整架构： 域名和IP（VPS）teamserver（CS）前置机（redictor） CS -》teamservers 1/2/3/... 前置层（SMTP/PAYLOAD/C2/隐蔽C2）  * 选择域名  * 抢注过期域名 expireddomains.net DELETE DOMAIN * tips1: 不要包含世界大厂和杀毒厂商相关的域名，以及和目标相关的域名 * tips2：注册目标相关区域常见的域名，记得开隐私保护 * 其他：www.freshdrop.com www.domcop.com * tips3：检查域名是否被分类，金融、医疗、电商、航空、旅游 great * tips4：去VT、微步检查，域名是否被标黑 * tips5：举报滥用规则仔细阅读（freenom 慎用） * 培养域名（养号） * 搭建正常域名，提交至各安全厂商给站点分类 * tips1：把域名A记录解析到大厂ip，使用时候再解析到C2，不用时候解析回大厂ip * tips2：VT 自评， alex 自评 * 域名解析检测 * 域名分类检测 * domaincheck： * IP检测 * 外网IP，通过情报站看是否被标黑 * 使用CDN隐藏真实IP（部分安全厂商会拦截CDN IP） * 借鸡生蛋， * subdomain takeover：高信誉域名A解析B -》 * 高信誉肉鸡做前置转发 * C2工具 * CS 3.14 * 自定义流量特征：DNS/HTTP/HTTPS/SMB和TCP * Payload加载流程：shellcode/Loader/Stageless/beacon * DNS：如果用到dns通道默认参数必须修改（容易被设备检测），不要用DNS做数据通道 * HTTP（S）：不要在uri中的文件后缀设置js、css等静态文件，效果：付费证书>免费证书>自签名证书 （Let's Encrypt 免费 3个月过期，开自动续） * Redirector * DNS socat|iptables|ssh（tmux和screen选一个） * Apache|Nginx * Tips： * 建议使用**多个判断**过来请求，拒绝使用默认uri，对抗全网C2扫描 * 仅允许目标相关IP访问，对抗云沙盒 * 限定访问时间段，只在某个时间段请求payload * 不要把非payload的uri重定向到google等高信誉域名 * **建议**：在www.aaa.com搭建来养域名，使用c2.aaa.com的二级域名做C2 * Domain Fronting（隐藏IP、域名的方式） * Google App Engine| Amazon |Azure|Aliyun CDN * 可见层：DNS、TLS * 不可见层：HTTPS * URL（高信誉） SNI（高信誉） HOST(C2) * https://github.com/vysecurity/DomainFrontingLists * 代替方案：HTTP pipelining（ >http 1.1 ） * 和 domain fronting 效果相同 * 利用同一个tcp连接发送不同的host的http包 * tips：good domain + bad domain 包一层同时发过去 * 第三方服务用作C2 * Office365、Pastebin、Slack、Facebook、Dropbox、Gmail、Twitter.. * 缺点：需要硬编码到第三方服务 * 第三方服务用作C2相关资源汇总 https://pentestarmoury.com/2017/07/19/s3-buckets-for-good-and-evil/ https://rhinosecuritylabs.com/aws/hiding-cloudcobalt-strike-beacon-c2-using-amazon-apis/ https://github.com/daniel-infosec/wikipedia-c2 https://unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-used-for-c2-in-large-scale-campaign https://www.harmj0y.net/blog/powershell/command-and-control-using-active-directory/ https://blog.netspi.com/databases-and-clouds-sql-server-as-a-c2/ https://outflank.nl/blog/2017/09/17/blogpost-cobalt-strike-over-external-c2-beacon-home-in-the-most-obscure-ways https://labs.mwrinfosecurity.com/blog/tasking-office-365-for-cobalt-strike-c2 https://github.com/maldevel/canisrufus https://unit42.paloaltonetworks.com/darkhydrus-delivers-new-trojan-that-can-use-google-drive-for-c2-communications https://github.com/byt3bl33d3r/gcat https://github.com/maldevel/gdog https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf https://github.com/bkup/SlackShell https://github.com/j3ssie/c2s https://github.com/praetorian-code/slack-c2bot https://github.com/microsoft/skype-dev-bots https://github.com/PaulSec/twittor https://blog.talosintelligence.com/2017/04/introducing-rokrat.html https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf https://github.com/woj-ciech/Social-media-c2 * 邮件钓鱼（SMTP） * 域名：同C2域名选择 * 高信誉的邮件发送者：Mailchimp、Sendgrid * 正确配置SPF、DKIM\DMARC * SSL证书 * 发送时间和频率 * 一键部署 * 钓鱼邮件框架：Gophish (https://github.com/gophish/gophish) * 隐蔽性和安全性 * 权限最小化：使用iptalbes限定组件通讯，SSH进行端口转发 * Teamserver：限制端口只能本地访问，限制beacon监听端口只能redirector访问 * Tips：VPS容易被GFW拦截？ * 解决方案：V2ray + Nginx + CLoudflare + Freenom+ Websocket 搭建代理 * 基础设施监控系统 * 记录完整日志，设置告警 * 自动化部署 LuWu（https://github.com/QAX-A-Team/LuWu） * 日志中心 ## 邮件钓鱼之前期信息收集与侦查 * 面临的技术挑战： * 邮件网关 mail gateway * 浏览器 * EDR、IDS * Mail Gateway * ANTI-SPAM * SPF * DKIM * 新注册域名 * 生僻域名后缀 * 敏感关键字 * 特性： * 邮件退信默认开启 * MTA默认不开启 Recipient Validation * 结论：当我们发送一封钓鱼邮件给一个不存在的邮箱账户时，如果能收到NDR，证明钓鱼邮件通过了邮件网关安全审查（BACKSCATTER ATTACK） * BYPASS ANTI-SPAM * 通过上述结论，探测，fuzzing ANTI-SPAM 引擎规则 * 稳定触发NDR的办法： * 正文大于10M * 收件人超过5000个 * BYPASS ANTI-MALWARE * NDR * 总结  ## 钓鱼样本制作 * 钓鱼邮件类型 * 恶意的chm文档：利用easy，但目前比较难过杀软，免杀效果差 * 带有恶意宏代码的office文档：易于混淆（结合图片模糊之类），但需要手动开宏，进程链可疑 * 白加黑钓鱼：利用带签名的白程序，通过DLL劫持的方案加载恶意DLL；比较容易过AV，但需要解压执行 * LNK文件钓鱼：链接对象是Powershell，进程链完善 * PPT钓鱼样本：PPT超链接，弹出“安全声明”，不用启动宏，但必须全屏播放，启用才执行；不推荐使用 * 漏洞利用的钓鱼邮件：效率高，同样成本也高 * 写工具自动化生成恶意lnk，关键函数： * IShellLink::SetIconLocation() * IShellLink::SetShowCmd() 窗口显示 * IShellLink::SetArguments() * IShellLink::SetPath() * ... * LNK钓鱼邮件制作 * 钓鱼简历的编写：内容可选浮夸，让HR打开看完后大概率删除，防止提给技术人员 * LNK图标的显示：改成各个系统都能默认显示的通用图标 * 如何隐藏行为：SetShowCmd() 最小化窗口 * Word文档存放： * 联网下载Word文档 * (New-Object System.Net.WebClient).DownloadFile(url, file_path);