红蓝对抗中从容应对蓝方蜜罐程序

作者 : laolisafe 本文共1201个字,预计阅读时间需要4分钟 发布时间: 2020-08-20 共204人阅读

俗话说一入蜜罐深似海,一脚踏入地狱门
file
前几天 在公众号后台收到一条消息 称:蓝队所有蜜罐,来自红队的反击。
file
file
随后半信半疑的我 打开了几个网址 确定是蜜罐 但是否为蓝队 便不太清楚了

顺手带走了几个接口
file

普及一下蜜罐:

蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

像蜜罐这种东西,一般是看不出来的 只有在抓包时才能看到 有信息获取 单看JS发现不了什么 并且当碰到蜜罐时 99%的人的信息已经被获取到了,不论你是否做攻击行为,在你访问的那一刻 搜狗、爱奇艺、腾讯、网易等各大平台的信息均被获取到。这你完全是感觉不到的。

在HW过程中,你的信息被抓到 一定是你没有按规矩来 ~

当然 对抗蜜罐方式有很多种

第一种 开隐私窗口,大多的蜜罐都是通过浏览器的JS来获取你的信息 ,开隐私窗口 无痕迹 不会被抓到信息

主要讲讲第二种 使用插件来进行防护

背景

在真实攻防演习中,蓝队不再像以前只是被动防守,而是慢慢开始转变到主动出击的角色。对蓝队反制红队帮助最大的想来非蜜罐莫属,现在的商业蜜罐除了会模拟一个虚拟的靶机之外,还承担了一个很重要的任务:溯源黑客真实身份。相当一部分黑客因为浏览器没开隐身模式导致被利用jsonhijack漏洞抓到真实ID,虽然可以反手一个举报到src换积分,但是在漏洞修复之前,又是一批战友被溯源。相信很对已经被溯源的红方选手对此更有体会。在这种背景下,各位红方老司机应当很需要一个能自动识别这种WEB蜜罐,因此我们写了个简单的chrome插件,用来帮助我们摆脱被溯源到真实ID的困境。插件有两个功能,一是识别当前访问的网站是否是蜜罐,是的话就弹框预警;二是对访问的jsonp接口进行重置,防止对方获取到真实ID。所采用的原理非常简单粗暴,就是判断当前网站域和jsonp接口的域是否是同一个,是的话就预警并阻断。比如我访问一个http://1.2.3.4/的网站,结果这个网站里的js去请求了一个baidu.com的api,那妥妥的有问题了。但是粗暴判断也会带来误报,比如我正常访问baidu.com,但是其引用了个apibaidu.com的jsonp,就一样也会报警和拦截,这种情况下就暂时用白名单来解决了。
这是我昨天测试的例子
file
file
大概可以拦截四十多个api接口

Github地址:https://github.com/cnrstar/anti-honeypot

file

转载声明:本站文章若无特别说明,皆为原创,转载请注明来源:大老李的Blog,谢谢!^^
大老李的Blog|渗透测试论坛|红蓝对抗|大型Web安全问答社区 » 红蓝对抗中从容应对蓝方蜜罐程序

常见问题FAQ

下载须知:
所有工具以及资源来自网络收集,所有下载,仅供学习交流。禁止利用从本站点下载的工具进行非法活动,从事危害国家网络安全等行为,请遵守相关法律规定,如有违反与本站无关。
会员的作用是什么?
本站会上线exp漏洞库与最新0day供会员下载

发表评论

提供最优质的资源集合

立即查看 了解详情