ツールセクション#
WebShell は通常の一行コードのバックドアを使用できません。接続ポイントでは暗号化トラフィックを使用し、通常の中国のナイフを使用しないでください。
デフォルトの Iceworm を使用しないでください。セキュリティベンダーによってトラフィックが検出されます(デフォルトを使用すると、入り口を見つけるのが難しいですが、接続は 1 時間で検出され、クリアされます)。
ツールをサーバーにアップロードする際には、frp、nc、lcx などのデフォルトの名前を使用しないでください。
sqlmap を使用する場合は、--random-agent パラメータを追加してください。
nmap、zmap のスキャンでは特徴を削除してください。
ツールの判断には信頼しないでください。ツールでテストし、手動でテストしてください。
sqlmap のインジェクション頻度の問題については、--delay、--safe-url、--safe-freq | ID:SewellDinG を使用してください。
Cobalt Strike の Beacon 証明書と特徴は、デフォルトを使用すると検出されます。
Cobalt Strike では、ドメインフロントテクニックを使用して、ホワイトサイトのドメインに偽装し、実際の C2 サーバーの IP を隠します。 (デフォルトで起動する CS は、ほとんどのベンダーのデバイスによって検出されます)
可能性のある管理者の注意を引く操作を行う場合(リモートデスクトップへのログインなど)、ターゲットの地域に応じて対応する IP を選択してください。 (一部の場合、異なる場所からのログインを通知するメッセージが表示されます)
大陸以外のタイムゾーンを選択し、作業時間をタイムゾーンに合わせてください
自分自身の DNS ログを使用してください。現在、オンラインの DNS ログサイトは監視されており、ドメイン名を要求すると監視されます。
セキュリティ意識セクション#
侵入作業用のコンピュータのブラウザには個人情報を保存しないでください。情報が取得されるのを防ぎます。
管理者パスワードやバックエンドのパスワードを勝手に変更しないでください。
大きなファイルはパッケージ化してダウンロードしてください。
国内の VPS(Alibaba Cloud、Tencent Cloud)を CobaltStrike のリモート制御サーバーとして使用しないでください。
侵入プロジェクトが終了したら、テストを続けないでください。
開発コードには個人 ID を残さないでください。マルウェアを生成する際には、個人のコンピュータで生成しないでください。コンピュータのパス、コンピュータの名前が含まれます。
常に仮想マシンで操作し、実際のマシンでは操作しないでください
仮想マシンのスナップショットを作成し、ウイルス対策ソフトウェアをインストールしないでください。プロジェクトが完了したら、スナップショットを復元してください
コンピュータの言語は日本語、英語、繁体字を使用し、中国語は使用しないでください(プロジェクトの要件によりますが、一般的には使用しません)。
ルーターを設定して、1723 などの他の VPN ポートのみがインターネットに接続できるようにしてください。 VPN が切断されると自動的にネットワークが切断されます。スキャン中に VPN が切断されると、実際の IP アドレスが公開されます(プロジェクトの要件によりますが、一般的には使用しません)。
ターゲットから取り戻したファイルを、オンラインのマシンで開かないでください。専用のオフラインマシンで開いてください。
侵入物理マシンをオフラインにする(ファイル、情報などを保存するため)、仮想マシンで構築したゲートウェイからのネットワークトラフィックを USB ネットワークカード + 匿名ルートで送信します(プロジェクトの要件によりますが、一般的には使用しません)。
登録ウェブサイトにはキャプチャコードを使用してください。仮受信プラットフォームを使用してください。
重役のメールアドレス、運用スタッフのメールアドレスで VPN アカウントや重要なシステムのログインアドレスが見つかった場合、アクセスには注意が必要です。特に、ダウンロードコントロールを必要とする場合、"安全ログインコントロール.exe" など
Github でターゲット情報を収集する際には、プロジェクトの更新時間に特に注意してください。比較的新しい場合、アクセスには注意が必要です。攻撃者をサンドボックスに誘導する可能性があります。
その他#
いくつかの大手企業のドメインを模倣するために、多くのドメインを準備しておいてください。通常は Google または 8.8.8.8 に向けてポイントし、使用するときに自分のサーバーに解決します。使用しない場合はすぐに変更してください。(ドメインを一時的に登録するか、短期間で使用する場合、多くの時間を浪費する可能性があり、セキュリティデバイスに検出される可能性があります。これは一般的なことであり、常に備えておく必要があります。ドメインの信頼性を向上させます。)
アップロードしたマルウェアを覚えておいて、アドレスを保持してください。プロジェクトが終了したら、削除または提出してください。防御側に発見されるのを忘れないでください。
許可されたプロジェクトでは、Web スクレイピングのプロセスで誤操作が発生し、ウェブサイトに対して不可逆な影響を与える可能性があります(リンクをスクレイプする場合、特にログインしている場合、削除ページにアクセスするとデータが削除されます)
ログをクリアする場合は、ファイルを上書きして削除し、データの復元を防止するか、指定された ID のログのみを削除してください。
チームは団結し、お互いを受け入れ、お互いを助けて学び、成長する必要があります。争いを避けてください。そうでなければ、個々のメンバーが優れていても、チームはばらばらになります。
すべてのブラウザを最新バージョンにアップグレードし、古いバージョンの Google Chrome を使用しないでください。
ハニーポット対策の反ハニーポットプラグインを使用してください。ツールは信頼できません。防御側は標的をハニーポットに偽装します。