这个时候你再想一想,如果说你作为一个红队,可能同学们想到应该是权限维持,权限维持这一块我们好像没啥能反思它的,接下来就继续,我们就提他可能会提权,他可能会横向,横向我们是不是就有办法了,我们是不是可以去临时搭建一个类似于蜜罐的一些横向的一些机器,网上也有很多那种专门为了那种游戏多开而调的,不像虚拟机的那种虚拟机,网上也有很多,大家可以去找一找。
就是原本它的作用是拿来作为给那些游戏工作室开多开的,因为有很多游戏会检测一些反虚拟机。所以说他们就做了那种。很多那种伪装成正常电脑的那种虚拟机,然后你也可以去搞一个,只不过我们不拿来打游戏,我们是拿来给它给攻击者伪装成一个正常的电脑,然后要临时的去和这个这台已经被攻击的目标去做一个横向,然后在这台电脑上面,我们去放一些我们精心构造好的一些东西,去诱导它下载过去,点击进去这就是一个诱敌深入的一个思路,这也是以前我自己渗透测试的时候,其实就是实际遇到的一个案例。就是本来也是一样,就是别人打过来了,就是打打过来之后我们发现了,然后我们经过一系列的痕迹排查,发现它只是一个潜伏的一个阶段,就是只做了权限维持,其他啥都没做。然后我们就想该怎么去做,该怎么去搞他,思路也非常简单就是我刚才说的就临时找一个那种网上搞的,网上有很多那种它本来是虚拟机,但是虚拟机的那种、网卡,还有包括它的一些内存结构,看起来根本不像虚拟机的那种那种电脑。然后搞了一台然后里面放了一个什么东西。
放了一个内部的那种connect,大家可以理解为就是说那种OA系统就是那种远程办公那种也差不多吧就那种东西,然后再配上相应的一些文档,这些文档上就写些什么,比如说这个东西该怎么怎么用,然后是伪装成了一个就是说我们当时是拿的是哪个OA系统是有一个客户端的,然后我们去稍微给他改了一下,给他添了一个DLL过去。然后别人就把它下载下来了,攻击者就下载下来之后,然后就触发那个 Dll,然后我们就反向的拿到它的一个。这就是一个反制的一个具体的一个案例和思路。
如果说你被发现了,不要慌,你得去预判一下,就在这里最后判断一下可能下一步的行动,你得想一想,如果说你是红队反制,反制你得先得会攻击,红队的基本流程信息收集漏洞扫描漏洞利用,然后是权限维持,提前横向痕迹清理有这些东西,那你想一想现在别人应该是怎样的步骤了,那么你想一想下一步他可能会干什么然后去诱导他一下不就可以了,当前的流程你可能诱导不了他。
比如说可能横向,不可能权限维持,他已经做过了你再去诱导一些东西可能没啥用他也不可能再去做权限维持那么其实那么你就得去判断一下,他下一步我们就可以去做操作呀,我们提前布置去诱敌深入,然后再做一个反思。也是很简单的一些东西。