红队基础设施构建
基础设施架构设计部署
- 普通架构:attacker->teamserver->target。
- 演进架构:各种协议回连分离。
- 完整架构:域名和IP(VPS)teamserver(CS)前置机(redictor) CS -》teamservers 1/2/3/… 前置层(SMTP/PAYLOAD/C2/隐蔽C2)
选择域名
- 建议抢注过期域名。
- 不要注册大厂相关以及安全厂商相关域名。
- 注册前去威胁情报平台检测下。
域名保养
- 先正常注册域名并解析,扔给各大安全厂商进行分类。
- 注意正常解析的时候,解析到大厂ip,到行动时再解析到CC。
IP有关
选择IP时,需要先进行被黑检测。真正投入使用时还要部上CDN。
前置层机器,选用高信誉的肉鸡做转发。
C2工具
不用多说CS3.14.
走HTTPS时证书有关,效果上:付费证书>免费证书>自签名证书。
隐蔽性与安全性
- 权限最小化:使用iptables限定组件通讯,ssh进行端口抓发。
- Teamserver:限制端口只能本地访问,限制beacon监听端口的访问。
- 解决VPS被GFW墙掉的问题:V2ray+Nginx+CLoudflare+Freenom+WebSocket。
运维监控
- 记录所有日志,并且设置告警。
- 自动化部署。
- 建立日志中心。
总结
通常在没有一定资金支持的情况下,上面很多都是存在困难的。一般自己搞事来说,前置层这种是搞不来的,最多是在链接CC上多两层隧道,且购买基建是匿名购买。像我下面这样,我也是个菜鸡还在学习,有不对的地方请指正。