# RED TEAM
> Powered by QAX A-TEAM
## Summary
![image](https://github.com/Mel0day/RedTeam-BCS/blob/master/summary.jpeg)
## 情报收集与外网打点
因为起晚了..第一个议题没听着,有点遗憾,补张图
![image](https://github.com/Mel0day/RedTeam-BCS/blob/master/search.jpeg)
## 基础设施架构设计部署
普通架构:红队人员--》teamserver cs--》目标机
缺点:功能未分离、无潜伏通道、回连日志多、灵活性较低
演进架构:DNS/HTTP/HTTPS分离server
tips:1~2cpu 2G内存 10G硬盘,回连数不超过5台,潜伏通道(根据实际目标环境优先)
完整架构: 域名和IP(VPS)teamserver(CS)前置机(redictor)
CS -》teamservers 1/2/3/... 前置层(SMTP/PAYLOAD/C2/隐蔽C2)
![image](https://github.com/Mel0day/RedTeam-BCS/blob/master/arch-design.jpeg)
* 选择域名
![image](https://github.com/Mel0day/RedTeam-BCS/blob/master/15663532496100.jpg)
* 抢注过期域名 expireddomains.net DELETE DOMAIN
* tips1: 不要包含世界大厂和杀毒厂商相关的域名,以及和目标相关的域名
* tips2:注册目标相关区域常见的域名,记得开隐私保护
* 其他:www.freshdrop.com www.domcop.com
* tips3:检查域名是否被分类,金融、医疗、电商、航空、旅游 great
* tips4:去VT、微步检查,域名是否被标黑
* tips5:举报滥用规则仔细阅读(freenom 慎用)
* 培养域名(养号)
* 搭建正常域名,提交至各安全厂商给站点分类
* tips1:把域名A记录解析到大厂ip,使用时候再解析到C2,不用时候解析回大厂ip
* tips2:VT 自评, alex 自评
* 域名解析检测
* 域名分类检测
* domaincheck:
* IP检测
* 外网IP,通过情报站看是否被标黑
* 使用CDN隐藏真实IP(部分安全厂商会拦截CDN IP)
* 借鸡生蛋,
* subdomain takeover:高信誉域名A解析B -》
* 高信誉肉鸡做前置转发
* C2工具
* CS 3.14
* 自定义流量特征:DNS/HTTP/HTTPS/SMB和TCP
* Payload加载流程:shellcode/Loader/Stageless/beacon
* DNS:如果用到dns通道默认参数必须修改(容易被设备检测),不要用DNS做数据通道
* HTTP(S):不要在uri中的文件后缀设置js、css等静态文件,效果:付费证书>免费证书>自签名证书 (Let's Encrypt 免费 3个月过期,开自动续)
* Redirector
* DNS socat|iptables|ssh(tmux和screen选一个)
* Apache|Nginx
* Tips:
* 建议使用**多个判断**过来请求,拒绝使用默认uri,对抗全网C2扫描
* 仅允许目标相关IP访问,对抗云沙盒
* 限定访问时间段,只在某个时间段请求payload
* 不要把非payload的uri重定向到google等高信誉域名
* **建议**:在www.aaa.com搭建来养域名,使用c2.aaa.com的二级域名做C2
* Domain Fronting(隐藏IP、域名的方式)
* Google App Engine| Amazon |Azure|Aliyun CDN
* 可见层:DNS、TLS
* 不可见层:HTTPS
* URL(高信誉) SNI(高信誉) HOST(C2)
* https://github.com/vysecurity/DomainFrontingLists
* 代替方案:HTTP pipelining( >http 1.1 )
* 和 domain fronting 效果相同
* 利用同一个tcp连接发送不同的host的http包
* tips:good domain + bad domain 包一层同时发过去
* 第三方服务用作C2
* Office365、Pastebin、Slack、Facebook、Dropbox、Gmail、Twitter..
* 缺点:需要硬编码到第三方服务
* 第三方服务用作C2相关资源汇总
https://pentestarmoury.com/2017/07/19/s3-buckets-for-good-and-evil/
https://rhinosecuritylabs.com/aws/hiding-cloudcobalt-strike-beacon-c2-using-amazon-apis/
https://github.com/daniel-infosec/wikipedia-c2
https://unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-used-for-c2-in-large-scale-campaign
https://www.harmj0y.net/blog/powershell/command-and-control-using-active-directory/
https://blog.netspi.com/databases-and-clouds-sql-server-as-a-c2/
https://outflank.nl/blog/2017/09/17/blogpost-cobalt-strike-over-external-c2-beacon-home-in-the-most-obscure-ways
https://labs.mwrinfosecurity.com/blog/tasking-office-365-for-cobalt-strike-c2
https://github.com/maldevel/canisrufus
https://unit42.paloaltonetworks.com/darkhydrus-delivers-new-trojan-that-can-use-google-drive-for-c2-communications
https://github.com/byt3bl33d3r/gcat
https://github.com/maldevel/gdog
https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf
https://github.com/bkup/SlackShell
https://github.com/j3ssie/c2s
https://github.com/praetorian-code/slack-c2bot
https://github.com/microsoft/skype-dev-bots
https://github.com/PaulSec/twittor
https://blog.talosintelligence.com/2017/04/introducing-rokrat.html
https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf
https://github.com/woj-ciech/Social-media-c2
* 邮件钓鱼(SMTP)
* 域名:同C2域名选择
* 高信誉的邮件发送者:Mailchimp、Sendgrid
* 正确配置SPF、DKIM\DMARC
* SSL证书
* 发送时间和频率
* 一键部署
* 钓鱼邮件框架:Gophish (https://github.com/gophish/gophish)
* 隐蔽性和安全性
* 权限最小化:使用iptalbes限定组件通讯,SSH进行端口转发
* Teamserver:限制端口只能本地访问,限制beacon监听端口只能redirector访问
* Tips:VPS容易被GFW拦截?
* 解决方案:V2ray + Nginx + CLoudflare + Freenom+ Websocket 搭建代理
* 基础设施监控系统
* 记录完整日志,设置告警
* 自动化部署 LuWu(https://github.com/QAX-A-Team/LuWu)
* 日志中心
## 邮件钓鱼之前期信息收集与侦查
* 面临的技术挑战:
* 邮件网关 mail gateway
* 浏览器
* EDR、IDS
* Mail Gateway
* ANTI-SPAM
* SPF
* DKIM
* 新注册域名
* 生僻域名后缀
* 敏感关键字
* 特性:
* 邮件退信默认开启
* MTA默认不开启 Recipient Validation
* 结论:当我们发送一封钓鱼邮件给一个不存在的邮箱账户时,如果能收到NDR,证明钓鱼邮件通过了邮件网关安全审查(BACKSCATTER ATTACK)
* BYPASS ANTI-SPAM
* 通过上述结论,探测,fuzzing ANTI-SPAM 引擎规则
* 稳定触发NDR的办法:
* 正文大于10M
* 收件人超过5000个
* BYPASS ANTI-MALWARE
* NDR
* 总结
![image](https://github.com/Mel0day/RedTeam-BCS/blob/master/RTsteps.jpeg)
## 钓鱼样本制作
* 钓鱼邮件类型
* 恶意的chm文档:利用easy,但目前比较难过杀软,免杀效果差
* 带有恶意宏代码的office文档:易于混淆(结合图片模糊之类),但需要手动开宏,进程链可疑
* 白加黑钓鱼:利用带签名的白程序,通过DLL劫持的方案加载恶意DLL;比较容易过AV,但需要解压执行
* LNK文件钓鱼:链接对象是Powershell,进程链完善
* PPT钓鱼样本:PPT超链接,弹出“安全声明”,不用启动宏,但必须全屏播放,启用才执行;不推荐使用
* 漏洞利用的钓鱼邮件:效率高,同样成本也高
* 写工具自动化生成恶意lnk,关键函数:
* IShellLink::SetIconLocation()
* IShellLink::SetShowCmd() 窗口显示
* IShellLink::SetArguments()
* IShellLink::SetPath()
* ...
* LNK钓鱼邮件制作
* 钓鱼简历的编写:内容可选浮夸,让HR打开看完后大概率删除,防止提给技术人员
* LNK图标的显示:改成各个系统都能默认显示的通用图标
* 如何隐藏行为:SetShowCmd() 最小化窗口
* Word文档存放:
* 联网下载Word文档
* (New-Object System.Net.WebClient).DownloadFile(url, file_path);