反溯源是攻防過(guò)程中的重要一環(huán)，其主要目的為防止防守方快速找出屏幕后，正在摳腳的你。滲透過(guò)程中有沒(méi)有"事了拂衣去"的灑脫，很大程度在于過(guò)程中反溯源技術(shù)的應(yīng)用程度。下文為筆者對(duì)于溯源技術(shù)總結(jié)。

主機(jī)加固術(shù)

理想條件可以準(zhǔn)備一個(gè)虛擬機(jī)來(lái)專門(mén)進(jìn)行攻擊操作。虛擬機(jī)中只裝滲透需要工具，并設(shè)置快照，每次攻擊前重置攻擊機(jī)。其他通用加固手段如下：

1、攻擊機(jī)中不要保存任何可以用來(lái)分析個(gè)人或公司身份的特征的文件：

如條件有限可以將具備個(gè)人或個(gè)人特征的數(shù)據(jù)放在加密磁盤(pán)內(nèi)，加大溯源難度，當(dāng)然前提你自己不要用弱密碼管理磁盤(pán)加密軟件。

常用加密軟件如VeraCrypt，EasyFileLocker。

2、打全補(bǔ)丁，只對(duì)外開(kāi)放必要端口，危險(xiǎn)服務(wù)或軟件，并安裝有效殺毒軟件：

最好設(shè)置補(bǔ)丁自動(dòng)更新，避免人工打補(bǔ)丁造成疏漏。

3、不連接特征明顯的熱點(diǎn)，如以公司命名的wifi，個(gè)人名字的熱點(diǎn)：

電腦會(huì)記錄WiFi連接記錄，記錄中具備特征的記錄一定要進(jìn)行刪除。

4、電腦用戶名不要使用可能識(shí)別特征的用戶名；

5、不登錄任何社交軟件與社交平臺(tái)；

6、保持瀏覽器中不會(huì)儲(chǔ)存任何個(gè)人相關(guān)信息：

細(xì)節(jié)操作有：開(kāi)啟無(wú)痕模式（或開(kāi)啟退出清空Cookie），關(guān)閉?動(dòng)填充功能，控制網(wǎng)站操作權(quán)限。

7、停用mic與攝像頭等設(shè)備：

如筆記本可以卸載其驅(qū)動(dòng)，并使用不透明貼紙覆蓋覆蓋攝像頭。

特征隱藏術(shù)

工具特征隱藏

1、掃描器、Payload以及其他工具要去除特征，不要帶有任何id，git，博客連接等；

2、DNSLOG、XSS等平臺(tái)不要使用網(wǎng)上在線版本，在線版本特征過(guò)于明現(xiàn)容易被流量設(shè)備識(shí)別；

3、盡量減少文件的落地，落地的文件需要注意隱藏，與目標(biāo)其他文件名稱和時(shí)間屬性進(jìn)行同化，并設(shè)置隱藏；

4、植?Webshell?句話腳本時(shí)，盡量選擇??index?被包含的?件；

5、拿到shell后，開(kāi)啟命令?痕模式；

6、c2，內(nèi)網(wǎng)穿透等工具不要使用默認(rèn)端口，并定期修改密碼。

交互特征隱藏

1、滲透過(guò)程中任何需要交互認(rèn)證的地?，都不要?個(gè)?、公司有關(guān)的名詞 :

涉及手機(jī)號(hào)和郵箱接時(shí)，可考慮使?匿名接收平臺(tái) 。

2、社?過(guò)程中不要使用自己的真實(shí)社交賬號(hào)，有條件的情況最好每次注冊(cè)或購(gòu)買新的賬號(hào)；

3、漏掃自動(dòng)打點(diǎn)時(shí)，盡量使用動(dòng)態(tài)隨機(jī)UA頭，避免被瀏覽設(shè)備識(shí)別并攔截 ；

4、域名或服務(wù)器在創(chuàng)建時(shí)不要使用自己名字。

流量特征隱藏

1、攻擊機(jī)的出口IP，不要使?個(gè)?、公司IP， 盡量使用物聯(lián)?卡、或代理池IP ；

2、C2或其他工具的流量特征需要進(jìn)行對(duì)應(yīng)的去除或者修改 ；

3、各種攻擊資源盡量不要放在一套服務(wù)器上，最好使用短期或定時(shí)重置ip以預(yù)防危險(xiǎn)情報(bào)標(biāo)記；

4、盡量不要直接暴露c2的ip，要使用隱藏技術(shù)保障c2的安全性；

比較常用的隱藏技術(shù)如云函數(shù)，域前置，cdn等技術(shù)。

5、在服務(wù)器上開(kāi)啟?件服務(wù)，需?完即關(guān)，嚴(yán)禁開(kāi)啟各種??的?危端?；

6、盡量使用加密協(xié)議傳輸請(qǐng)求

溯源反制術(shù)

蜜罐簡(jiǎn)單識(shí)別

1、網(wǎng)站是否存在大量請(qǐng)求其他域資源;

2、網(wǎng)站是否對(duì)于各大社交網(wǎng)站發(fā)送請(qǐng)求；

3、網(wǎng)站是否存在大量請(qǐng)求資源報(bào)錯(cuò),克隆其他站時(shí)沒(méi)有修改完成;

4、存在?常多漏洞的站點(diǎn)，拿到shell后處于docker等虛擬環(huán)境，開(kāi)放?量?危端?的;

5、獲取到PC機(jī)器后，PC機(jī)器?戶?時(shí)間劃?摸?;

6、從目標(biāo)獲取的文件需要在沙箱或斷網(wǎng)虛擬機(jī)運(yùn)行，避免被反制：

也可以使用蜜罐識(shí)別插件進(jìn)行識(shí)別如：anti-honeypot

溯源反制思路與手段

攻防的過(guò)程本為一體兩面，上文介紹了反溯源的基本思路，溯源的反制其實(shí)也是溯源技術(shù)的一種另類應(yīng)用，所謂溯源反制大體可以分為兩類：

1、通過(guò)偽造特征，導(dǎo)致溯源到其他人身上，達(dá)到禍水東引的效果：

如將電腦名稱或是工具文件名稱偽造為其他單位或者是人員的名稱

2、通過(guò)追查溯源方的特性，反向溯源出對(duì)方：

特殊情況下也可以誘導(dǎo)溯源方在本地執(zhí)行木馬文件，從而控制對(duì)方主機(jī)

———————————————

作者：方寸明光

原文鏈接：https://blog.csdn.net/CoreNote/article/details/122328787

TOPSEC

十年樹(shù)木，百年樹(shù)人。未來(lái)，天融信將始終積極探索，不斷延展網(wǎng)絡(luò)安全人才培養(yǎng)的寬度和深度，為網(wǎng)絡(luò)安全人才培養(yǎng)與產(chǎn)業(yè)發(fā)展貢獻(xiàn)企業(yè)力量。