你了解APP吗?(没错,你知道我)- 黑山信息安全公司
警告: 本博文中提到的技术和工具可能已过时,不适用于当前情况。然而,这篇博文仍可作为学习机会,并可能更新或整合到现代工具和技术中。
是的,我在博文标题中自曝年龄了。我有时就这么老土。
在上一份工作中,我花了相当多的时间分析高级持续性威胁(APT)的工具、技术和程序(TTP)。现在,作为一名渗透测试员,我经常思考如何应用其中一些技术。如果我需要为特定类型的任务创建一个可销毁且无法追踪的攻击平台,我该怎么做?如何成为一名高级持续性渗透测试员?
我的同事Beau Bullock在B-Sides Orlando上的演讲“从白帽到黑帽的淡出?”以及一个客户的请求重新激发了我的兴趣,该客户希望我们进行黑盒评估,就像我们是试图不被抓住的实际攻击者一样。
显然,这不会与拥有深厚财力支持的国家级攻击者相提并论。甚至可能不是同一场比赛。但这仍然是一个有趣的练习,对于那些#红队时刻,当你想要减少潜在的数字足迹时,这可能会给你一些想法。
在可能的情况下,我不会重复在线可以找到的指令,比如如何制作可启动的USB驱动器。毕竟,这就是互联网的用途,对吧?
还有必要的警告:此配置不应用于尝试入侵您未授权的系统。没有什么是无法追踪和无法归因的,只是可以使其更难。如果您进行非法活动,我相信保持完美的操作安全(OpSec)极其困难,如果执法部门全力追查,您将被抓住。所以不要做会惹上麻烦的蠢事。
所需物品
- 现金(用于购买所有需要的物品,且大部分不被追踪)。
- 笔记本电脑和USB闪存驱动器(用于加载操作系统)。
- 预付手机(用于注册电子邮件地址或其他账户)。
- 用于兑换比特币(BTC)的预付VISA卡。
- 接受比特币的虚拟专用服务器(VPS)。
现金
需要多少?这取决于情况。我已经拥有一台联想t420并选择使用它,但在Craigslist上找到了几乎相同的系统(没有SSD驱动器),价格为250美元。加上笔记本电脑,我的总成本将是423.69美元。
智能手机
获取一部一次性手机。注意,7-11似乎从未有货(我去了三家后才放弃,去了沃尔玛)。一部Tracfone Alcatel OnePlus的价格为63.79美元,附带120分钟计划卡(有特别优惠,分钟数翻了三倍)。
激活似乎需要WiFi来配置Android,但可能可以在设置手机之前在Tracfone.com上激活,以便设置4G连接。如果连接WiFi,考虑连接到公共网络。显然,这是我的第一部Tracfone。
这主要用于账户验证的短信,但嘿,有一部一次性手机应该很方便……也许是为了Defcon?注意,我在设置过程中用Google创建的电子邮件地址将仅用于手机注册。有几个原因。
笔记本电脑设置
本节并非旨在如何创建一个完美安全且匿名的笔记本电脑供长期使用。有其他资源可供参考——我一直在阅读《如何设置用于黑客攻击、隐私、自我保护和深网航行的笔记本电脑*:使用Kali Linux 2.0 + VirtualBox + Whonix + 混淆桥接 + Tor:暗网科学书1》,这很有趣,但本文不会深入讨论。
由于Ripley原则(从轨道上起飞并核平整个站点。这是唯一确定的方法),我们的操作系统将在任务结束后销毁。任务结束后需要保留的任何数据都需要从本地合并并以某种方式存档。毕竟,如果我是实际攻击者,我会尝试为每次活动建立新的基础设施,并在结束后销毁。
从Craigslist购买一台笔记本电脑。我找到了与我已有的联想t420配置相近的系统,价格为250美元。保持便宜,我们运行Linux,你希望它是几年前的产品,它会更好用。我选择Ubuntu 14.04 LTS作为操作系统,因为我知道它与联想t420配合得很好。
我知道,我知道……Ubuntu 14.04开箱即有一些隐私问题。我们将对此进行一些更改。我意识到选择Ubuntu可能会让一些人说你在这里做的事情有其他发行版是更好的选择。可能是这样,我们的行业充满了注意事项,让人们熬夜在会议酒吧争论利弊,并在互联网上引发口水战。我喜欢Ubuntu,因为它对我来说更好用。
下载ISO,验证校验和,并用USB驱动器制作可启动安装驱动器。指令很容易在线找到,适用于任何平台,因此我不重复。
在安装过程中,选择加密安装。选择尽可能长的安全密钥,只要你能记住。
继续默认安装。当选择计算机主机名和用户名时,选择你认为合适的,但我建议不要使用你正常的名字或句柄。使用一些通用且不显眼的东西。
启动到新安装后,更新它:
|
|
接下来,我们将设置一些渗透测试工具。使用git克隆TrustedSec的PTF项目。
|
|
进入ptf/并运行PTF。
|
|
一旦进入框架:
|
|
这需要一段时间,但完成后,将在/pentest中拥有当前的渗透测试工具。
当PTF运行时,按照https://fixubuntu.com/上的说明关闭可能将数据发送给第三方的搜索建议。
PTF仍在安装,因此我建议获取密码管理器来生成和保存长密码。我喜欢Keypass,但只要密钥存储保持本地,应该没问题。当你需要为各种资源创建密码时,生成长随机密码。
如果PTF仍在安装,去喝点咖啡,稍后检查。它需要你回答一些问题,接受默认值。利用这段时间将resolv.conf中的DNS服务器条目更改为指向Google的DNS(或任何不是你的ISP的DNS服务器)。
接下来,安装Virtual Box。下载并为Kali和Tails创建虚拟机。在原生Ubuntu安装上安装Tor浏览器。大部分工作将在虚拟机中进行,但我喜欢原生可用工具的灵活性。
最后,去获取Burp Suite。如果只是为了在必要时代理你的网络流量,免费版本可能适合你。完整版本完全值得,但会增加350美元的成本,而且我相当确定他们不接受比特币。Zed攻击代理也可能适合你的目的。
接下来,注册一个Yahoo电子邮件账户。为什么?因为使用邮件客户端与Yahoo(而非网页界面)可以让你通过它发送恶意负载,以防你需要发送定向钓鱼消息,并能够用Yahoo地址使你的诡计得逞。
这应该为笔记本电脑提供一个坚实且灵活的平台,作为基础攻击平台开始使用。
虚拟专用服务器设置
现在我们需要一个在互联网上的VPS作为我们的测试平台。我们将用它来VPN通过,以及托管命令和控制的监听器。但首先,我们需要一种比信用卡或Paypal更匿名的支付方式。比特币怎么样?我绝不会说我是加密货币专家,但BTC似乎不一定旨在匿名。但它肯定比其他支付选项更匿名。
通过一些谷歌搜索,提供了两种匿名获取比特币的方法:
- 本地,与某人见面并给他们现金
- 预付VISA卡
本地比特币交易者似乎有1BTC的最低限额,在撰写本文时约为450美元,远超过我们一两个月VPS所需,且超出了我的实验舒适区。
我在离家约一英里的当地药店买了两张50美元的Vanilla品牌卡。并不完全“匿名”,因为我还去了隔壁的银行ATM取现金。我肯定在ATM和药店被录像了。但对于测试来说,这已经足够无法追踪了。
并非每个BTC市场都接受预付VISA卡作为支付方式。经过一些研究,paxful.com提供了用几种品牌卡这样做的方法。
创建账户后,选择你拥有的礼品卡品牌。我的在页面上显著列出。
你将通过paxful市场从另一个人那里购买BTC。这种方法下的BTC成本约为每美元0.77美元,并波动几美分。此测试的两笔交易需要卡片正面和背面的图片。如果这些是用智能手机拍摄的,如我的,不要忘记删除exif数据。
|
|
一旦获得足够操作期间的BTC,就是设置VPS的时候了。LibertyVPS (https://libertyvps.net/) 在其服务条款中允许OpenVPN,并托管在荷兰。创建账户并订购最便宜的服务器。
结账时,选择比特币选项。当你发起交易时,由于你的BTC钱包不在本地系统上,而是在paxful.com上,从paxful.com钱包将金额转移到LiberyVPS。LiberyVPS上的结账窗口会挂起,但交易会完成。
创建后,VPS上的SSH应该处于活动状态。一旦连接,我们将与笔记本电脑相同——更新服务器并安装git和PTF。为什么在客户端和服务器上安装相同的工具?嗯,那里有很多工具。最好现在设置你可能需要的东西,而不是后来陷入某事中才意识到应该安装它。
OpenVPN
我遵循了以下说明: https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-14-04
唯一的偏差是必须强制安装一个依赖包:
|
|
一旦openvpn服务器启动并运行,并且客户端文件已配置,使用Linux内置的openvpn客户端连接。
|
|
现在我们有一个笔记本电脑设置,在必要时使用Tor浏览器和Tails进行侦察活动时会更匿名,并VPN到我们的VPS作为主要攻击平台。当VPN连接到系统时,使用Burp Suite从笔记本电脑进行Web应用程序测试,流量应显示来自海外VPS。
连接VPN到VPS后,Google认为我在世界的不同地区。
作为快速测试,我对一个外部面向的主机运行了nmap扫描,并使用tcpdump将网络流量写入文件。我承认这不是一个全面的测试来看是否有任何数据泄漏,但对于渗透测试和红队目的,这应该足够匿名以提高门槛,如果你需要这样做。
非VPN连接从原生笔记本电脑安装扫描:
VPN连接从原生笔记本电脑安装扫描: