这几天来参加几个攻防演练,加今年各种溯源手段层出不穷,踩了一些坑。写上了一些自己的思考与大家共勉。
一切的大前提:使用虚拟机进行渗透测试,使用win10英文版+英文版浏览器+打上全补丁
1.挂上全局代理之后才能开展渗透测试。配置代理软件掉线禁用网卡、个人匿名vps socks。
2.注销所有一切浏览器登录会话
3.虚拟机不能装网盘、聊天软件、VPN、office等软件,不留任何敏感信息在虚拟机里面,定期做好恢复快照。
4.浏览器关闭自动填充功能。
1.渗透时网上下载的目标单位一切文件先放到另外一个“不出网的虚拟机”进行分析研判是否存在后门。
2.需要手机验证码注册使用的。使用网上的短信验证码接口注册,一定不能使用自己的个人手机号注册。
3.在测试微信公众号需要关注才能使用功能,尽量使用匿名微信关注后测试及在测试后取消关注。以免泄漏个人微信信息。
4.不使用默认冰蝎,使用去特征版冰蝎。蚁剑连接时必须更改aes等编码。
5.webshell上传后必须修改时间,与网站文件创建时间一致。
1.互联网不留存真实的个人信息,比如脉脉、陌陌、探探、微博等社交软件
2.个人博客使用匿名身份证注册、匿名邮箱。vps放在国外。
1.不允许使用公司出口网络进行渗透、不允许使用公司出口网络进行渗透、不允许使用公司出口网络进行渗透。
2.除监管单位要求,平时渗透不允许使用与公司相关网络进行渗透测试。
3.不允许使用公司无线进行渗透,如guest等等与公司有关的无线网络。
4.使用物联网卡无线网络进行渗透。
1.时刻谨记自己是否被爬入蜜罐。
2.github信息手机注意project更新节点,会有误导踩入蜜罐。
1.钓鱼邮件直接发马的话,需要改程序图标、执行后释放正常文件,删除恶意文件。
2.Cobalt Strike一定要用CDN流量上线。通道与控制分离化
3.后门程序防被分析策略,执行需要加参数才能执行,参数不对(直接点击)或直接点击打开自动删除。避免上传到云能直接被分析及防守方人员逆向分析。
4.Cobalt Strike后门上线后,作为控制通道设置time.sleep大于500秒
5.工具去指纹及去个人信息,编程机器pdb调试信息不要带入个人 ID
1.本地工具尽量不能上传到服务器,工具必须去特征化。尽量使用在本地使用代理渗透。
2.frp等代理通道的socks5-----代理端口和账号密码随机化
3.内网工具命令行化---端口扫描、弱口令扫描
4.关于内网扫描,不能上传railgun、routerscan上传到服务器。
5.ms17010使用前必须摸清网络架构、安全设备、防守方情况后,在根据不同场景使用。
6.上传的后门通道改名,比如svchost.exe/putty.exe/mysql.exe等,使用后删除。
7.内网比较大的情况下,尽量在10、172、192不同的段内建立通道。
8.登陆3389不建议添加用户,建议激活guest。如若必须加账户,添加内网用户相关性的即可,避免出现产商词汇,如qax,anheng、alibaba等词汇
9.渗透当天结束后一定要清理后门及业务系统日志及系统日志。